Права пользователя (групп).

[sbonus]

Уже несколько раз попадал на такую ситуацию: несколько пользователей в двух, а то и в трёх группах (понимаю, что это не хорошо, но не мной это было сделано). Поступает задача создать новую группу, и двух пользователей (из предыдущих групп) переместить в эту группу, чтобы они работали отдельно. Для того чтобы они безболезненно начали работу, нужно копировать все права из двух (трёх) предыдущих групп и наделить ими эту группу. Как это сделать? Возможно ли слияние (наследование) прав доступа? В какихом виде и где хранятся эти настройки? Просто так лазить по дереву настроек не дело, ибо изменений за год было сделано куча. Экспорт и импорт известны, меня интересует именно слияние прав двух и более групп в одну.
Заранее спасибо.

[sukhanchik]

Quote:

Originally Posted by sbonus

Возможно ли слияние (наследование) прав доступа?

Невозможно. Возможно сделать некоторую доработку - которая при импорте "складывает" права - т.е. смотрит на уровень доступа - и выбирает наибольший.

Quote:

Originally Posted by sbonus

В какихом виде и где хранятся эти настройки?

таблички \System Documentation\Tables\AccessRightsList, \Data Dictionary\Tables\SysSecurityFormTable, \Data Dictionary\Tables\SysSecurityFormControlTable
Поищите по форуму - по названию (не полному пути, а только названию) - найдете точно.

Quote:

Originally Posted by sbonus

Просто так лазить по дереву настроек не дело, ибо изменений за год было сделано куча. Экспорт и импорт известны, меня интересует именно слияние прав двух и более групп в одну.

Да уж, просто так не налазиешься. Однако и таблички просто так неоткопируешь - поищите по форуму - я расписывал механизм. Однако технически - реализовать за некоторое разумное время то, что вы хотите - возможно.

[leshy]

Quote:

Originally Posted by sbonus

: несколько пользователей в двух, а то и в трёх группах (понимаю, что это не хорошо. .

А почему вы считаете что это нехорошо?

[blokva]

Quote:

Originally Posted by leshy

А почему вы считаете что это нехорошо?

Да действительно почему?
ИМХО наоборот если создать набор групп с минимально-возможномы наборами прав и комбинируя членством пользователей в них можно созать практически-любые комбинации!

[sbonus]

Quote:

Originally Posted by blokva

Да действительно почему?
ИМХО наоборот если создать набор групп с минимально-возможномы наборами прав и комбинируя членством пользователей в них можно созать практически-любые комбинации!

Я считаю, юзер (пользователь одного отдела, должности) должен быть членом только одной группы, со всеми только этой группе присущими настройками. В большом количестве маленьких групп однозначно можно так запутаться, что выйти будет уже трудно. Да и каждая группа соотвествует определённому направлению дейтельности, зачем её права давать ещё кому-то? А если прав у трёх групп не хватит, что делать, создавать новую группу и там новые права писать, или в одной из существующих добавлять?.. Если в существующей, то в какой?.. Их же много...А если надо лишить определённую группу пользователей (а они находятся в пяти группах в Аксапте) доступа куда-либо, то где искать эти доступы, в какой из пяти групп? И где гарантия, что другие пользователи (соседнего отдела, которые тоже входят в одну из этих пяти групп) не лишатсся этого доступа? А когда группа одна, то и вопросов таких не возникает, и каждое направление деятельности отслеживается и настраивается корректно и без подобных проблем.
С уважением.

[blokva]

Ну это как раз кому как нравицца, или создать еданую концепцию, а под нее кучу групп и потом не заморачиваться на включение и выключение ключей, размножения и слияния групп (в чем собственно и состоял вопрос топика) или заниматься постоянными подгонками прав под существующие группы и создание новых в случае невозможности использовать существующие... хотя как всегда можно иметь и комбинированный вариант я высказал свое ИМХО

[sukhanchik]

Quote:

Originally Posted by sbonus

А если прав у трёх групп не хватит, что делать, создавать новую группу и там новые права писать, или в одной из существующих добавлять?.. Если в существующей, то в какой?.. Их же много...А если надо лишить определённую группу пользователей (а они находятся в пяти группах в Аксапте) доступа куда-либо, то где искать эти доступы, в какой из пяти групп?

Группы прав можно формировать исходя из двух взаимоисключающих принципов:
1) группа=набор функциональных обязанностей пользователей
2) группа=минимально неделимый функционал (например создание заказов, без права разноски)
В первом случае (это Ваш случай) - действительно - один пользователь должен состоять в одной группе. Если ему нужно дать/отнять права - нужно этой группе - включить/выключить соотв ключик/набор ключиков.
Во втором случае каждая группа является по сути набором ключиков. И хочется для приведения к первому случаю поиметь дерево групп, которого в Аксапте нет. Однако, в случае использования второго механизма - при ведении некоторой системы именования групп - за раздачу прав может отвечать вообще говоря необученный Аксапте человек. Во втором случае легко решается проблема дать челу доступ еще на дополнительный функционал - не нужно думать - какие ключики нужно включать (очевидно - что будет не один ключик - меню, таблицы, формы).
Запрос - где искать доступы - решабелен через дополнительные доработки. И эту информацию можно получить за вполне удобоваримое время.

Так что смотрите сами - как удобнее. Я лишь развил мысль г-на blokva

[blokva]

Quote:

Originally Posted by sukhanchik

Так что смотрите сами - как удобнее. Я лишь развил мысль г-на blokva

Совершенно справедливо, полностью согласен.
Спасибо за развитие мысли!

[sbonus]

Quote:

Originally Posted by sukhanchik

Однако, в случае использования второго механизма - при ведении некоторой системы именования групп - за раздачу прав может отвечать вообще говоря необученный Аксапте человек.

Весьма смело, я не решился бы давать управление группами и вообще права админа не обученному человеку, хотя всем всегда приходится с чего-то начинать. Да и приходится вести систему именования групп, а так как функционал у них минимальный, то групп должно быть много (я правильно понял?). На самом деле обе версии (и моя и Ваша) имеют право на существование. Но вопрос (!), как поведут себя права доступа к какому-либо полю (к примеру), если в одной группе они только для чтения, а в другой возможна правка (а так же в какой группе менять право доступа, если определённому юзеру их надо именно сменить)? А юзера надо сделать именно членом этих групп. То есть вопрос пересчения прав доступа. ИМХО, должны быть выставлены максимальные права. Но так ли это всегда? А непредсказуемости я просто боюсь и стараюсь её всегда избегать. Мне проще создать несколько базовых групп, а потом от них (почти как наследованием, жаль что в Аксапте нету механизма наследования прав) экспортом уже создавать новые эксклюзивные группы, которые наделять только им присущими правами, и уже в эти группы включать пользователей.
С уважением.

[sukhanchik]

Quote:

Originally Posted by sbonus

Весьма смело, я не решился бы давать управление группами и вообще права админа не обученному человеку, хотя всем всегда приходится с чего-то начинать.

Я подразумевал - делегирование процедуры назначения прав человеку, на которого ляжет ответственность за доступ к различным функциям в системе (без вдавания в подробности). Это рутина (люди приходят и уходят; обязанности меняются; на время отпуска проиходит замещение и т.п.). В то время - как расстановка галок и создание самих групп - это разовое занятие (настроил и все - при условии некардинальных модификаций конечно)

Quote:

Originally Posted by sbonus

Да и приходится вести систему именования групп, а так как функционал у них минимальный, то групп должно быть много (я правильно понял?).

Ага, совершенно верно - вот почему я и заговорил о дереве групп прав - для группировки.

Quote:

Originally Posted by sbonus

Но вопрос (!), как поведут себя права доступа к какому-либо полю (к примеру), если в одной группе они только для чтения, а в другой возможна правка (а так же в какой группе менять право доступа, если определённому юзеру их надо именно сменить)? А юзера надо сделать именно членом этих групп. То есть вопрос пересчения прав доступа. ИМХО, должны быть выставлены максимальные права. Но так ли это всегда?

Это так всегда - однако необходимо учитывать такой факт: в 3.0 права можно давать как на ключики, так и на менюайтемы и контролы. Это приводит к тому - что для разрешения к примеру пункта меню - должен быть доступ на менюайтем и на ключик, который указан в свойствах менюайтема. Ну и про контролы не надо забывать, тем более - что это механизм может сбойнуть при модификации формы. (если сменится ID контрола в форме)

Quote:

Originally Posted by sbonus

А непредсказуемости я просто боюсь и стараюсь её всегда избегать. Мне проще создать несколько базовых групп, а потом от них (почти как наследованием, жаль что в Аксапте нету механизма наследования прав) экспортом уже создавать новые эксклюзивные группы, которые наделять только им присущими правами, и уже в эти группы включать пользователей.

Абсолютно согласен - что если не дошли руки чтобы залезть внутрь - то именно так и надо поступать. Непредсказуемости нужно избегать. В Вашем случае спокойствие важнее. Однако - как человек, поковыряшийся в правах (когда делал всякие утилитки нашим консалтам) - могу предположить с большой долей уверенностью - где возможно искать подводные камни при настройке прав. Более того - возможно (и весьма несложно напрограммировать и будет быстро работать) - получить информацию - о том, какая группа разрешает тот или иной ключик.