AXForum  
Вернуться   AXForum > Microsoft Dynamics AX > DAX: Администрирование
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск Все разделы прочитаны

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 29.04.2015, 18:39   #1  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
:( АХ 2012 пускает пользователя, когда он исключен из AD
1) Заводим пользователя в группу "AX users" в AD
2) Назначаем ему права в АХ
3) убираем пользователя из AD

По идее, пользователь вообще теперь не должен иметь права в АХ, т.к. приоритет у AD должен быть выше, но почему-то пользователь может зайти в АХ все равно.

Как исправить? Что проверить?
Несколько месяцев назад обновили АХ до CU7. Может быть что-то изменилось? Вроде бы раньше такого не было...

Всем заранее благодарен за помощь.
Старый 29.04.2015, 20:04   #2  
_scorp_ is offline
_scorp_
Участник
Аватар для _scorp_
MCBMSS
 
481 / 338 (12) ++++++
Регистрация: 25.07.2007
Адрес: Москва
А как пользователь вообще в windows залогинился?
За это сообщение автора поблагодарили: DSPIC (5).
Старый 29.04.2015, 21:26   #3  
lvan is offline
lvan
Участник
Аватар для lvan
Лучший по профессии 2014
 
759 / 61 (4) ++++
Регистрация: 15.04.2011
это нормально, например, если я к сети доменной не подключен, то я могу залогиниться на комп, даже если AD сервер недоступен (и потом зайти в AX)
мне кажется, AX тут ни при чем, это винда так работает.
Старый 29.04.2015, 22:03   #4  
Logger is offline
Logger
Участник
Лучший по профессии 2014
 
2,883 / 1500 (56) ++++++++
Регистрация: 12.10.2004
А в момент логина разве нельзя проверять что пользователь не исключен из АД ?
Так что легко можно починить.
Но глюк прикольный.
Старый 29.04.2015, 22:22   #5  
gl00mie is offline
gl00mie
Участник
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
MCBMSS
Most Valuable Professional
 
3,483 / 4388 (153) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Цитата:
Сообщение от igortsk Посмотреть сообщение
1) Заводим пользователя в группу "AX users" в AD
3) убираем пользователя из AD
Переведите, что именно означает третий пункт.
Цитата:
Сообщение от igortsk Посмотреть сообщение
По идее, пользователь вообще теперь не должен иметь права в АХ, т.к. приоритет у AD должен быть выше, но почему-то пользователь может зайти в АХ все равно.
Сколько у вас доменных контроллеров (DC)? Какой из них использует хост АОСа, к которому подключается пользователь? К какому из них подключаетесь вы для манипуляций с группой пользователей? AD - это, кроме прочего, распределенная база данных, реплики которой хранятся локально на каждом DC. Изменения, сделанные на одном контроллере, распространяются по другим постепенно, обычный интервал обмена изменениями - 15 минут. Исключение составляют блокировка пользователя и изменение пароля - такие изменения DC стараются распространить сразу же.
Так что если вы подключились к одному DC, произвели изменения в группе пользователей, а затем сразу запустили клиента АХ и подключились к АОСу, который работает с другим DC, то вполне логично, что АОС оказывается еще "не в курсе", что в доступе пользователю должно быть отказано.
Утилиты работы с AD, вроде оснастки "AD Users and Computers" или ADSIEdit, умеют подключаться к произвольному DC. Запросы от обычных приложений вроде АОСа идут к какому-то одному DC на усмотрение виндов на локальном хосте. Если вы залогинились на такой хост, можно для простоты посмотреть имя DC в переменной окружения LOGONSERVER.
Старый 30.04.2015, 04:59   #6  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
Цитата:
Сообщение от gl00mie Посмотреть сообщение
Переведите, что именно означает третий пункт.Сколько у вас доменных контроллеров (DC)? Какой из них использует хост АОСа, к которому подключается пользователь? К какому из них подключаетесь вы для манипуляций с группой пользователей? AD - это, кроме прочего, распределенная база данных, реплики которой хранятся локально на каждом DC. Изменения, сделанные на одном контроллере, распространяются по другим постепенно, обычный интервал обмена изменениями - 15 минут. Исключение составляют блокировка пользователя и изменение пароля - такие изменения DC стараются распространить сразу же.
Так что если вы подключились к одному DC, произвели изменения в группе пользователей, а затем сразу запустили клиента АХ и подключились к АОСу, который работает с другим DC, то вполне логично, что АОС оказывается еще "не в курсе", что в доступе пользователю должно быть отказано.
Утилиты работы с AD, вроде оснастки "AD Users and Computers" или ADSIEdit, умеют подключаться к произвольному DC. Запросы от обычных приложений вроде АОСа идут к какому-то одному DC на усмотрение виндов на локальном хосте. Если вы залогинились на такой хост, можно для простоты посмотреть имя DC в переменной окружения LOGONSERVER.
3) значит исключаю пользователя из группы ax users

Я понял Ввше предположение и в курсе, что нужно время на обмен
Но я смог зайти и через сутки . Сутки обмен явно не должен длится , поэтому к сожалению пока тоже вариантов нет ...
Старый 30.04.2015, 08:58   #7  
axm2013 is offline
axm2013
Banned
 
668 / 62 (0) ++++
Регистрация: 04.12.2013
Пользователь в аксапте как мне кажется, с группами пользователей AD не особо соотносится, после создания.

>Как исправить? Что проверить?
Как ту советовали: проверять при входе, следует правда помнить что обращение к AD за информацией порой тормозит (можно наверное чтобы не отягащать пользователя ожиданием делать в отдельном потоке).

Последний раз редактировалось axm2013; 30.04.2015 в 09:35.
Старый 30.04.2015, 09:17   #8  
Ivanhoe is offline
Ivanhoe
КОРУС Консалтинг
Аватар для Ivanhoe
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
КОРУС Консалтинг
 
3,502 / 1664 (63) ++++++++
Регистрация: 29.09.2005
Адрес: Санкт-Петербург
Цитата:
Сообщение от igortsk Посмотреть сообщение
1) Заводим пользователя в группу "AX users" в AD
2) Назначаем ему права в АХ
3) убираем пользователя из AD

По идее, пользователь вообще теперь не должен иметь права в АХ, т.к. приоритет у AD должен быть выше, но почему-то пользователь может зайти в АХ все равно.
Всем заранее благодарен за помощь.
Цитата:
Сообщение от igortsk Посмотреть сообщение
3) значит исключаю пользователя из группы ax users
В вашем сценарии не понятно, как п.1. влияет на п.2 и вообще на Акс. Как используется группа ax users применительно к Аксапте?
__________________
Ivanhoe as is..
Старый 30.04.2015, 09:59   #9  
sukhanchik is offline
sukhanchik
Moderator
Аватар для sukhanchik
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
MCBMSS
Злыдни
 
2,468 / 1557 (56) ++++++++
Регистрация: 13.06.2004
Адрес: Москва
Попробовал смоделировать ситуацию.
Сразу скажу - выключение пользователя из группы в АD применяется только при следующем входе пользователя в систему (не коннект /дисконнект для терминалки, а именно логофф/логон). Т.о. если вы дали в Windows пользователю права админа, а потом их отняли - то пока пользователь не перезайдет в систему - у него права не отберутся. И никто даже не чухнется, что права изменились.
Важно: Речь идет не об отключении пользователя в AD, а именно об исключении его из группы.

Если при создании нового пользователя в АХ указать, что это не пользователь, а группа пользователей в AD, то система создаст запись в таблице пользователей в АХ и позволит на эту запись назначить те или иные права.

Когда пользователь из АD, входящий в группу пользователей, которую мы завели в АХ попытается зайти в систему - ему будет присвоен некий код пользователя, назначенный системой (в моем случае - это $E971). При этом автоматически будет создана запись в таблице пользователей в АХ и этот пользователь получит все те права, которые мы назначили на группу пользователей.

Т.о. выведение пользователя из группы AD не удалит запись о пользователе в таблице пользователей АХ и он будет иметь возможность заходить в АХ.
Единственное, что - он не будет иметь прав, т.к. права ему копируются с прав той группы пользователей, которую мы завели. Т.о. в систему он войдет, но прав дальше ни на что он иметь не будет.

Соответственно, в случае топикстартера - скорее всего информация о том, что пользователь состоит в AD-шной группе "не дошла" до AX и поэтому она назначает ему права. Тем не менее - ошибка о том, что пользователь не существует - все равно выдаваться не будет до тех пор, пока вручную не будет прибита / отключена запись с этим пользователем ($E971)
__________________
Возможно сделать все. Вопрос времени
Старый 01.05.2015, 10:49   #10  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
Правильно ли я Вас понял, что если я:
1) импортирую пользователя из AD в АХ
2) Назначаю ему группу прав
3) по какой-то причине решаю вообще запретить ему доступ в АХ

мне не достаточно теперь просто исключить его из группы в актив директори, но еще и в АХ надо зайти и из группы пользователей в АХ его убрать (тогда он в систему будет заходить), а если хочу чтоб вообще не заходил - только полностью из АХ мочить пользователя?

А как-то автоматизировать нельзя? Чтобы из одного места удалил из АД например и все?
Старый 01.05.2015, 10:58   #11  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
По поводу WINDOWS и применения настроек АД:
а если я захожу под пользователем тест из под другого пользователя (своего) в АХ, используя "шифт+зайти от имени др. пользователя"? (В это время под пользователем "тест" никто не сидит). По идее мой выход из АХ в данном случае можно рассматривать как логоф и возможность АД применить изменения?

Вот что интересного произошло:
Итак, прошло пару дней и мне понадобилось перезагрузить все АОС.
Я это сделал.
После этого проверяю своего пользователя (тестового) на всякий случай, которого 2 дня назад убрал из АД.
При заходе в АХ теперь сообщение "не удалось войти в Microsoft dynamics"! Т.е. то, что мне и было нужно. Вопрос как это произошло? Ведь я 2 суток ничего не делал, а лишь перезагрузил АОС. Не кешируется ли что-то на стороне АОС по правам на столько, что это ничем кроме рестарта не выбить??

Если это кэш какой-то, как его чистить во время работы АОС?


Цитата:
Сообщение от sukhanchik Посмотреть сообщение
Попробовал смоделировать ситуацию.
Сразу скажу - выключение пользователя из группы в АD применяется только при следующем входе пользователя в систему (не коннект /дисконнект для терминалки, а именно логофф/логон). Т.о. если вы дали в Windows пользователю права админа, а потом их отняли - то пока пользователь не перезайдет в систему - у него права не отберутся. И никто даже не чухнется, что права изменились.
Важно: Речь идет не об отключении пользователя в AD, а именно об исключении его из группы.

Если при создании нового пользователя в АХ указать, что это не пользователь, а группа пользователей в AD, то система создаст запись в таблице пользователей в АХ и позволит на эту запись назначить те или иные права.

Когда пользователь из АD, входящий в группу пользователей, которую мы завели в АХ попытается зайти в систему - ему будет присвоен некий код пользователя, назначенный системой (в моем случае - это $E971). При этом автоматически будет создана запись в таблице пользователей в АХ и этот пользователь получит все те права, которые мы назначили на группу пользователей.

Т.о. выведение пользователя из группы AD не удалит запись о пользователе в таблице пользователей АХ и он будет иметь возможность заходить в АХ.
Единственное, что - он не будет иметь прав, т.к. права ему копируются с прав той группы пользователей, которую мы завели. Т.о. в систему он войдет, но прав дальше ни на что он иметь не будет.

Соответственно, в случае топикстартера - скорее всего информация о том, что пользователь состоит в AD-шной группе "не дошла" до AX и поэтому она назначает ему права. Тем не менее - ошибка о том, что пользователь не существует - все равно выдаваться не будет до тех пор, пока вручную не будет прибита / отключена запись с этим пользователем ($E971)

Последний раз редактировалось igortsk; 01.05.2015 в 11:03.
Старый 01.05.2015, 14:42   #12  
sukhanchik is offline
sukhanchik
Moderator
Аватар для sukhanchik
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
MCBMSS
Злыдни
 
2,468 / 1557 (56) ++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от igortsk Посмотреть сообщение
Правильно ли я Вас понял, что если я:
1) импортирую пользователя из AD в АХ
2) Назначаю ему группу прав
3) по какой-то причине решаю вообще запретить ему доступ в АХ

мне не достаточно теперь просто исключить его из группы в актив директори, но еще и в АХ надо зайти и из группы пользователей в АХ его убрать (тогда он в систему будет заходить), а если хочу чтоб вообще не заходил - только полностью из АХ мочить пользователя?

А как-то автоматизировать нельзя? Чтобы из одного места удалил из АД например и все?
Так... У вас тут идет смешение терминов.
Давайте по порядку.
1. Вы импортируете пользователя из AD в AX. Какие роли в АХ при этом Вы ему назначаете? Нельзя проимпортировать без указания хоть какой-то роли.

2. Или Вы заводите группу AD, как пользователя в АХ (указываете в АХ, что этот пользователь есть группа из AD)? Тогда на эту группу в АХ Вы вешаете роли. И тогда АХ сама создаст пользователя, когда он попытается зайти, если он входит в эту группу в АD.

AD тут вообще ни при чем. AD нужен лишь для того, чтобы сгруппировать пользователей.

Так все-таки - опишите - что Вы делаете?

Цитата:
Сообщение от igortsk Посмотреть сообщение
мне не достаточно теперь просто исключить его из группы в актив директори
Что значит теперь? Чтобы исключить пользователя из группы в AD нужно сделать 2 действия:
1. Исключить его в оснастке AD
2. Сделать логофф пользователю, если он был залогинен.
Если Вы не сделали п.2 - то Вы не исключили из AD.
И еще момент. В предыдущих версиях такой возможности (создания группы AD, как пользователя АХ) вообще не было. Если Вы сравниваете функциональность с предыдущей версией - то это несравнимо.

Цитата:
Сообщение от igortsk Посмотреть сообщение
По поводу WINDOWS и применения настроек АД:
а если я захожу под пользователем тест из под другого пользователя (своего) в АХ, используя "шифт+зайти от имени др. пользователя"? (В это время под пользователем "тест" никто не сидит). По идее мой выход из АХ в данном случае можно рассматривать как логоф и возможность АД применить изменения?
Применительно к данной сессии - да.
Тут логика такая - если Вы исключили пользователя из группы в AD - то пользователь изменение почувствует только после того, как он вновь залогинится (сделает логон). Если пользователь был уже залогинен - ему нужно перезайти. Если пользователь был залогинен на 100500 компьютерах - то на этих компьютерах пока он не перезайдет - изменения не применятся.
Если он не был залогинен на 100501-м компьютере - то там изменения он почувствует сразу.

Цитата:
Сообщение от igortsk Посмотреть сообщение
Вот что интересного произошло:
Итак, прошло пару дней и мне понадобилось перезагрузить все АОС.
Я это сделал.
После этого проверяю своего пользователя (тестового) на всякий случай, которого 2 дня назад убрал из АД.
При заходе в АХ теперь сообщение "не удалось войти в Microsoft dynamics"! Т.е. то, что мне и было нужно. Вопрос как это произошло? Ведь я 2 суток ничего не делал, а лишь перезагрузил АОС. Не кешируется ли что-то на стороне АОС по правам на столько, что это ничем кроме рестарта не выбить??
Если это кэш какой-то, как его чистить во время работы АОС?
Вполне логичное поведение системы. Windows, где запущен клиент - еще не прознал про отсутствие прав пользователя. А Windows, где запущен АОС - прознал.

Типичная ситуация у пользователя - когда у него истек срок действия пароля, но он еще не перезашел в Windows. У него начинают отваливаться все сетевые ресурсы.
__________________
Возможно сделать все. Вопрос времени

Последний раз редактировалось sukhanchik; 02.05.2015 в 13:01.
Старый 03.05.2015, 09:38   #13  
gl00mie is offline
gl00mie
Участник
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
MCBMSS
Most Valuable Professional
 
3,483 / 4388 (153) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Вот тут описано, как оно в теории должно работать: Using windows AD groups for user management in Dynamics AX 2012
Старый 06.05.2015, 13:52   #14  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
Еще раз подробнее описываю свои действия:
1) импортирую пользователя из АД в АХ, назначаю любые роли (одну или несколько)
2) НЕ добавляю его в группу АД в оснастке, которая разрешает вход в АХ
3) Пользователь может заходить в АХ несмотря на тот факт, что в группу пользователей в АД, имеющих доступ к АХ он не включен.

Что хочу:
-создавать пользователя, давать ему любые роли, но пока не добавлю его в группу в АД, не давать ему заходить в АХ. Централизация управления.
Старый 06.05.2015, 14:30   #15  
sukhanchik is offline
sukhanchik
Moderator
Аватар для sukhanchik
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
MCBMSS
Злыдни
 
2,468 / 1557 (56) ++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от igortsk Посмотреть сообщение
Еще раз подробнее описываю свои действия:
1) импортирую пользователя из АД в АХ, назначаю любые роли (одну или несколько)
2) НЕ добавляю его в группу АД в оснастке, которая разрешает вход в АХ
3) Пользователь может заходить в АХ несмотря на тот факт, что в группу пользователей в АД, имеющих доступ к АХ он не включен.

Что хочу:
-создавать пользователя, давать ему любые роли, но пока не добавлю его в группу в АД, не давать ему заходить в АХ. Централизация управления.
Вот! Отличная постановка задачи!

Что надо сделать: Не надо импортировать пользователя из AD в АХ. Надо создать пользователя в АХ, как группу в AD и назначить ей роли.
Нажмите на изображение для увеличения
Название: Безымянный.png
Просмотров: 10
Размер:	84.4 Кб
ID:	9259
И до тех пор, пока пользователь не будет включен в группу в AD - у него не появится никаких прав. А после выкидывания его из группы в AD - нужно завершить везде все его активные сессии
__________________
Возможно сделать все. Вопрос времени

Последний раз редактировалось sukhanchik; 06.05.2015 в 14:32.
Старый 07.05.2015, 18:50   #16  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
но...как же так?
Что-то изменилось ?

У меня 500 пользователей, мне теперь их всех так прогнать чтоли?? Изменить с "пользователь ACTIVE DIRECTORY" на "группа ACTIVE DIRECTORY" в настройках? Конечно, можно джобом, но смысл?

Почему раньше все работало (исключал пользователя из группы в АД и этот пользователь не мог зайти в АХ)?
Старый 07.05.2015, 23:14   #17  
gl00mie is offline
gl00mie
Участник
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
MCBMSS
Most Valuable Professional
 
3,483 / 4388 (153) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Не надо менять тип ваших 500 пользователей - это бессмысленно, потому что тип пользователя в Аксапте должен соответствовать типу объекта в AD. По приведенной ссылке описан предположительно ваш случай:
  1. надо создать пустую группу AD;
  2. добавить ее как пользователя в Аксапту и назначить ей нужные роли;
  3. затем добавить в эту группу AD ваших доменных пользователей, которые уже логинились в Аксапту и имеют свои назначенные роли
после этого, если верить публикации, при следующем входе пользователям из группы AD будут назначены другие роли - те, что назначены группе, в которую они включены. Также обратите внимание на предложенный в публикации рецепт: создать отдельную группу AD, которой в Аксапте назначить только роль "Пользователь системы", и еще отдельные группы AD, которым назначать в Аксапте прочие роли. Тогда при исключении пользователя AD из группы, которой в Аксапте назначена роль "Пользователь системы", у соотв. пользователя в Аксапте также будет удалена эта роль, а без нее он не сможет нормально работать.

Последний раз редактировалось gl00mie; 07.05.2015 в 23:18.
Старый 08.05.2015, 09:41   #18  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
Спасибо огромное всем, вопрос закрыт
 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
DAX: How to gain additional value from the Microsoft application platform with Microsoft Dynamics AX 2012 R2 Blog bot DAX Blogs 3 21.06.2013 15:16
dynamicscpm: Migrating to Management Reporter 2012 Blog bot DAX Blogs 0 24.05.2012 01:13
dynamicscpm: Management Reporter 2012 Released! Blog bot DAX Blogs 0 31.03.2012 23:11
dynamicsaxtraining: Purchase Blog bot DAX Blogs 0 11.03.2012 05:25
daxdilip: Whats New in Dynamics AX 2012 (A brief extract from the recently held Tech Conf.) Blog bot DAX Blogs 7 31.01.2011 12:35
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 22:15.
Powered by vBulletin® v3.8.5. Перевод: zCarot
Контактная информация, Реклама.