Тема: АХ 2012 пускает пользователя, когда он исключен из AD
Показать сообщение отдельно
Старый 01.05.2015, 14:42   #12  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,275 / 3476 (122) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от igortsk Посмотреть сообщение
Правильно ли я Вас понял, что если я:
1) импортирую пользователя из AD в АХ
2) Назначаю ему группу прав
3) по какой-то причине решаю вообще запретить ему доступ в АХ

мне не достаточно теперь просто исключить его из группы в актив директори, но еще и в АХ надо зайти и из группы пользователей в АХ его убрать (тогда он в систему будет заходить), а если хочу чтоб вообще не заходил - только полностью из АХ мочить пользователя?

А как-то автоматизировать нельзя? Чтобы из одного места удалил из АД например и все?
Так... У вас тут идет смешение терминов.
Давайте по порядку.
1. Вы импортируете пользователя из AD в AX. Какие роли в АХ при этом Вы ему назначаете? Нельзя проимпортировать без указания хоть какой-то роли.

2. Или Вы заводите группу AD, как пользователя в АХ (указываете в АХ, что этот пользователь есть группа из AD)? Тогда на эту группу в АХ Вы вешаете роли. И тогда АХ сама создаст пользователя, когда он попытается зайти, если он входит в эту группу в АD.

AD тут вообще ни при чем. AD нужен лишь для того, чтобы сгруппировать пользователей.

Так все-таки - опишите - что Вы делаете?

Цитата:
Сообщение от igortsk Посмотреть сообщение
мне не достаточно теперь просто исключить его из группы в актив директори
Что значит теперь? Чтобы исключить пользователя из группы в AD нужно сделать 2 действия:
1. Исключить его в оснастке AD
2. Сделать логофф пользователю, если он был залогинен.
Если Вы не сделали п.2 - то Вы не исключили из AD.
И еще момент. В предыдущих версиях такой возможности (создания группы AD, как пользователя АХ) вообще не было. Если Вы сравниваете функциональность с предыдущей версией - то это несравнимо.

Цитата:
Сообщение от igortsk Посмотреть сообщение
По поводу WINDOWS и применения настроек АД:
а если я захожу под пользователем тест из под другого пользователя (своего) в АХ, используя "шифт+зайти от имени др. пользователя"? (В это время под пользователем "тест" никто не сидит). По идее мой выход из АХ в данном случае можно рассматривать как логоф и возможность АД применить изменения?
Применительно к данной сессии - да.
Тут логика такая - если Вы исключили пользователя из группы в AD - то пользователь изменение почувствует только после того, как он вновь залогинится (сделает логон). Если пользователь был уже залогинен - ему нужно перезайти. Если пользователь был залогинен на 100500 компьютерах - то на этих компьютерах пока он не перезайдет - изменения не применятся.
Если он не был залогинен на 100501-м компьютере - то там изменения он почувствует сразу.

Цитата:
Сообщение от igortsk Посмотреть сообщение
Вот что интересного произошло:
Итак, прошло пару дней и мне понадобилось перезагрузить все АОС.
Я это сделал.
После этого проверяю своего пользователя (тестового) на всякий случай, которого 2 дня назад убрал из АД.
При заходе в АХ теперь сообщение "не удалось войти в Microsoft dynamics"! Т.е. то, что мне и было нужно. Вопрос как это произошло? Ведь я 2 суток ничего не делал, а лишь перезагрузил АОС. Не кешируется ли что-то на стороне АОС по правам на столько, что это ничем кроме рестарта не выбить??
Если это кэш какой-то, как его чистить во время работы АОС?
Вполне логичное поведение системы. Windows, где запущен клиент - еще не прознал про отсутствие прав пользователя. А Windows, где запущен АОС - прознал.

Типичная ситуация у пользователя - когда у него истек срок действия пароля, но он еще не перезашел в Windows. У него начинают отваливаться все сетевые ресурсы.
__________________
Возможно сделать все. Вопрос времени
Последний раз редактировалось sukhanchik; 02.05.2015 в 13:01.