По поводу WINDOWS и применения настроек АД:
а если я захожу под пользователем тест из под другого пользователя (своего) в АХ, используя "шифт+зайти от имени др. пользователя"? (В это время под пользователем "тест" никто не сидит). По идее мой выход из АХ в данном случае можно рассматривать как логоф и возможность АД применить изменения?
Вот что интересного произошло:
Итак, прошло пару дней и мне понадобилось перезагрузить все АОС.
Я это сделал.
После этого проверяю своего пользователя (тестового) на всякий случай, которого 2 дня назад убрал из АД.
При заходе в АХ теперь сообщение "не удалось войти в Microsoft dynamics"! Т.е. то, что мне и было нужно. Вопрос как это произошло? Ведь я 2 суток ничего не делал, а лишь перезагрузил АОС. Не кешируется ли что-то на стороне АОС по правам на столько, что это ничем кроме рестарта не выбить??
Если это кэш какой-то, как его чистить во время работы АОС?
Цитата:
Сообщение от
sukhanchik
Попробовал смоделировать ситуацию.
Сразу скажу - выключение пользователя из группы в АD применяется только при следующем входе пользователя в систему (не коннект /дисконнект для терминалки, а именно логофф/логон). Т.о. если вы дали в Windows пользователю права админа, а потом их отняли - то пока пользователь не перезайдет в систему - у него права не отберутся. И никто даже не чухнется, что права изменились.
Важно: Речь идет не об отключении пользователя в AD, а именно об исключении его из группы.
Если при создании нового пользователя в АХ указать, что это не пользователь, а группа пользователей в AD, то система создаст запись в таблице пользователей в АХ и позволит на эту запись назначить те или иные права.
Когда пользователь из АD, входящий в группу пользователей, которую мы завели в АХ попытается зайти в систему - ему будет присвоен некий код пользователя, назначенный системой (в моем случае - это $E971). При этом автоматически будет создана запись в таблице пользователей в АХ и этот пользователь получит все те права, которые мы назначили на группу пользователей.
Т.о. выведение пользователя из группы AD не удалит запись о пользователе в таблице пользователей АХ и он будет иметь возможность заходить в АХ.
Единственное, что - он не будет иметь прав, т.к. права ему копируются с прав той группы пользователей, которую мы завели. Т.о. в систему он войдет, но прав дальше ни на что он иметь не будет.
Соответственно, в случае топикстартера - скорее всего информация о том, что пользователь состоит в AD-шной группе "не дошла" до AX и поэтому она назначает ему права. Тем не менее - ошибка о том, что пользователь не существует - все равно выдаваться не будет до тех пор, пока вручную не будет прибита / отключена запись с этим пользователем ($E971)