AXForum  
Вернуться   AXForum > Microsoft Dynamics AX > DAX: Администрирование
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск Все разделы прочитаны

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 29.04.2015, 18:39   #1  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
:( АХ 2012 пускает пользователя, когда он исключен из AD
1) Заводим пользователя в группу "AX users" в AD
2) Назначаем ему права в АХ
3) убираем пользователя из AD

По идее, пользователь вообще теперь не должен иметь права в АХ, т.к. приоритет у AD должен быть выше, но почему-то пользователь может зайти в АХ все равно.

Как исправить? Что проверить?
Несколько месяцев назад обновили АХ до CU7. Может быть что-то изменилось? Вроде бы раньше такого не было...

Всем заранее благодарен за помощь.
Старый 29.04.2015, 20:04   #2  
_scorp_ is offline
_scorp_
Участник
Аватар для _scorp_
MCBMSS
 
488 / 369 (13) ++++++
Регистрация: 25.07.2007
Адрес: Москва
А как пользователь вообще в windows залогинился?
За это сообщение автора поблагодарили: DSPIC (5).
Старый 29.04.2015, 21:26   #3  
lvan is offline
lvan
Участник
Аватар для lvan
Лучший по профессии 2014
 
858 / 82 (4) ++++
Регистрация: 15.04.2011
Записей в блоге: 1
это нормально, например, если я к сети доменной не подключен, то я могу залогиниться на комп, даже если AD сервер недоступен (и потом зайти в AX)
мне кажется, AX тут ни при чем, это винда так работает.
Старый 29.04.2015, 22:03   #4  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
3,940 / 3229 (115) ++++++++++
Регистрация: 12.10.2004
Адрес: Москва
Записей в блоге: 2
А в момент логина разве нельзя проверять что пользователь не исключен из АД ?
Так что легко можно починить.
Но глюк прикольный.
Старый 29.04.2015, 22:22   #5  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5798 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Цитата:
Сообщение от igortsk Посмотреть сообщение
1) Заводим пользователя в группу "AX users" в AD
3) убираем пользователя из AD
Переведите, что именно означает третий пункт.
Цитата:
Сообщение от igortsk Посмотреть сообщение
По идее, пользователь вообще теперь не должен иметь права в АХ, т.к. приоритет у AD должен быть выше, но почему-то пользователь может зайти в АХ все равно.
Сколько у вас доменных контроллеров (DC)? Какой из них использует хост АОСа, к которому подключается пользователь? К какому из них подключаетесь вы для манипуляций с группой пользователей? AD - это, кроме прочего, распределенная база данных, реплики которой хранятся локально на каждом DC. Изменения, сделанные на одном контроллере, распространяются по другим постепенно, обычный интервал обмена изменениями - 15 минут. Исключение составляют блокировка пользователя и изменение пароля - такие изменения DC стараются распространить сразу же.
Так что если вы подключились к одному DC, произвели изменения в группе пользователей, а затем сразу запустили клиента АХ и подключились к АОСу, который работает с другим DC, то вполне логично, что АОС оказывается еще "не в курсе", что в доступе пользователю должно быть отказано.
Утилиты работы с AD, вроде оснастки "AD Users and Computers" или ADSIEdit, умеют подключаться к произвольному DC. Запросы от обычных приложений вроде АОСа идут к какому-то одному DC на усмотрение виндов на локальном хосте. Если вы залогинились на такой хост, можно для простоты посмотреть имя DC в переменной окружения LOGONSERVER.
Старый 30.04.2015, 04:59   #6  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
Цитата:
Сообщение от gl00mie Посмотреть сообщение
Переведите, что именно означает третий пункт.Сколько у вас доменных контроллеров (DC)? Какой из них использует хост АОСа, к которому подключается пользователь? К какому из них подключаетесь вы для манипуляций с группой пользователей? AD - это, кроме прочего, распределенная база данных, реплики которой хранятся локально на каждом DC. Изменения, сделанные на одном контроллере, распространяются по другим постепенно, обычный интервал обмена изменениями - 15 минут. Исключение составляют блокировка пользователя и изменение пароля - такие изменения DC стараются распространить сразу же.
Так что если вы подключились к одному DC, произвели изменения в группе пользователей, а затем сразу запустили клиента АХ и подключились к АОСу, который работает с другим DC, то вполне логично, что АОС оказывается еще "не в курсе", что в доступе пользователю должно быть отказано.
Утилиты работы с AD, вроде оснастки "AD Users and Computers" или ADSIEdit, умеют подключаться к произвольному DC. Запросы от обычных приложений вроде АОСа идут к какому-то одному DC на усмотрение виндов на локальном хосте. Если вы залогинились на такой хост, можно для простоты посмотреть имя DC в переменной окружения LOGONSERVER.
3) значит исключаю пользователя из группы ax users

Я понял Ввше предположение и в курсе, что нужно время на обмен
Но я смог зайти и через сутки . Сутки обмен явно не должен длится , поэтому к сожалению пока тоже вариантов нет ...
Старый 30.04.2015, 08:58   #7  
axm2013
Гость
 
n/a
Пользователь в аксапте как мне кажется, с группами пользователей AD не особо соотносится, после создания.

>Как исправить? Что проверить?
Как ту советовали: проверять при входе, следует правда помнить что обращение к AD за информацией порой тормозит (можно наверное чтобы не отягащать пользователя ожиданием делать в отдельном потоке).

Последний раз редактировалось axm2013; 30.04.2015 в 09:35.
Старый 30.04.2015, 09:17   #8  
Ivanhoe is offline
Ivanhoe
Участник
Аватар для Ivanhoe
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
 
4,143 / 2156 (80) +++++++++
Регистрация: 29.09.2005
Адрес: Санкт-Петербург
Цитата:
Сообщение от igortsk Посмотреть сообщение
1) Заводим пользователя в группу "AX users" в AD
2) Назначаем ему права в АХ
3) убираем пользователя из AD

По идее, пользователь вообще теперь не должен иметь права в АХ, т.к. приоритет у AD должен быть выше, но почему-то пользователь может зайти в АХ все равно.
Всем заранее благодарен за помощь.
Цитата:
Сообщение от igortsk Посмотреть сообщение
3) значит исключаю пользователя из группы ax users
В вашем сценарии не понятно, как п.1. влияет на п.2 и вообще на Акс. Как используется группа ax users применительно к Аксапте?
__________________
Ivanhoe as is..
Старый 30.04.2015, 09:59   #9  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,308 / 3540 (125) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Попробовал смоделировать ситуацию.
Сразу скажу - выключение пользователя из группы в АD применяется только при следующем входе пользователя в систему (не коннект /дисконнект для терминалки, а именно логофф/логон). Т.о. если вы дали в Windows пользователю права админа, а потом их отняли - то пока пользователь не перезайдет в систему - у него права не отберутся. И никто даже не чухнется, что права изменились.
Важно: Речь идет не об отключении пользователя в AD, а именно об исключении его из группы.

Если при создании нового пользователя в АХ указать, что это не пользователь, а группа пользователей в AD, то система создаст запись в таблице пользователей в АХ и позволит на эту запись назначить те или иные права.

Когда пользователь из АD, входящий в группу пользователей, которую мы завели в АХ попытается зайти в систему - ему будет присвоен некий код пользователя, назначенный системой (в моем случае - это $E971). При этом автоматически будет создана запись в таблице пользователей в АХ и этот пользователь получит все те права, которые мы назначили на группу пользователей.

Т.о. выведение пользователя из группы AD не удалит запись о пользователе в таблице пользователей АХ и он будет иметь возможность заходить в АХ.
Единственное, что - он не будет иметь прав, т.к. права ему копируются с прав той группы пользователей, которую мы завели. Т.о. в систему он войдет, но прав дальше ни на что он иметь не будет.

Соответственно, в случае топикстартера - скорее всего информация о том, что пользователь состоит в AD-шной группе "не дошла" до AX и поэтому она назначает ему права. Тем не менее - ошибка о том, что пользователь не существует - все равно выдаваться не будет до тех пор, пока вручную не будет прибита / отключена запись с этим пользователем ($E971)
__________________
Возможно сделать все. Вопрос времени
Старый 01.05.2015, 10:49   #10  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
Правильно ли я Вас понял, что если я:
1) импортирую пользователя из AD в АХ
2) Назначаю ему группу прав
3) по какой-то причине решаю вообще запретить ему доступ в АХ

мне не достаточно теперь просто исключить его из группы в актив директори, но еще и в АХ надо зайти и из группы пользователей в АХ его убрать (тогда он в систему будет заходить), а если хочу чтоб вообще не заходил - только полностью из АХ мочить пользователя?

А как-то автоматизировать нельзя? Чтобы из одного места удалил из АД например и все?
Старый 01.05.2015, 10:58   #11  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
По поводу WINDOWS и применения настроек АД:
а если я захожу под пользователем тест из под другого пользователя (своего) в АХ, используя "шифт+зайти от имени др. пользователя"? (В это время под пользователем "тест" никто не сидит). По идее мой выход из АХ в данном случае можно рассматривать как логоф и возможность АД применить изменения?

Вот что интересного произошло:
Итак, прошло пару дней и мне понадобилось перезагрузить все АОС.
Я это сделал.
После этого проверяю своего пользователя (тестового) на всякий случай, которого 2 дня назад убрал из АД.
При заходе в АХ теперь сообщение "не удалось войти в Microsoft dynamics"! Т.е. то, что мне и было нужно. Вопрос как это произошло? Ведь я 2 суток ничего не делал, а лишь перезагрузил АОС. Не кешируется ли что-то на стороне АОС по правам на столько, что это ничем кроме рестарта не выбить??

Если это кэш какой-то, как его чистить во время работы АОС?


Цитата:
Сообщение от sukhanchik Посмотреть сообщение
Попробовал смоделировать ситуацию.
Сразу скажу - выключение пользователя из группы в АD применяется только при следующем входе пользователя в систему (не коннект /дисконнект для терминалки, а именно логофф/логон). Т.о. если вы дали в Windows пользователю права админа, а потом их отняли - то пока пользователь не перезайдет в систему - у него права не отберутся. И никто даже не чухнется, что права изменились.
Важно: Речь идет не об отключении пользователя в AD, а именно об исключении его из группы.

Если при создании нового пользователя в АХ указать, что это не пользователь, а группа пользователей в AD, то система создаст запись в таблице пользователей в АХ и позволит на эту запись назначить те или иные права.

Когда пользователь из АD, входящий в группу пользователей, которую мы завели в АХ попытается зайти в систему - ему будет присвоен некий код пользователя, назначенный системой (в моем случае - это $E971). При этом автоматически будет создана запись в таблице пользователей в АХ и этот пользователь получит все те права, которые мы назначили на группу пользователей.

Т.о. выведение пользователя из группы AD не удалит запись о пользователе в таблице пользователей АХ и он будет иметь возможность заходить в АХ.
Единственное, что - он не будет иметь прав, т.к. права ему копируются с прав той группы пользователей, которую мы завели. Т.о. в систему он войдет, но прав дальше ни на что он иметь не будет.

Соответственно, в случае топикстартера - скорее всего информация о том, что пользователь состоит в AD-шной группе "не дошла" до AX и поэтому она назначает ему права. Тем не менее - ошибка о том, что пользователь не существует - все равно выдаваться не будет до тех пор, пока вручную не будет прибита / отключена запись с этим пользователем ($E971)

Последний раз редактировалось igortsk; 01.05.2015 в 11:03.
Старый 01.05.2015, 14:42   #12  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,308 / 3540 (125) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от igortsk Посмотреть сообщение
Правильно ли я Вас понял, что если я:
1) импортирую пользователя из AD в АХ
2) Назначаю ему группу прав
3) по какой-то причине решаю вообще запретить ему доступ в АХ

мне не достаточно теперь просто исключить его из группы в актив директори, но еще и в АХ надо зайти и из группы пользователей в АХ его убрать (тогда он в систему будет заходить), а если хочу чтоб вообще не заходил - только полностью из АХ мочить пользователя?

А как-то автоматизировать нельзя? Чтобы из одного места удалил из АД например и все?
Так... У вас тут идет смешение терминов.
Давайте по порядку.
1. Вы импортируете пользователя из AD в AX. Какие роли в АХ при этом Вы ему назначаете? Нельзя проимпортировать без указания хоть какой-то роли.

2. Или Вы заводите группу AD, как пользователя в АХ (указываете в АХ, что этот пользователь есть группа из AD)? Тогда на эту группу в АХ Вы вешаете роли. И тогда АХ сама создаст пользователя, когда он попытается зайти, если он входит в эту группу в АD.

AD тут вообще ни при чем. AD нужен лишь для того, чтобы сгруппировать пользователей.

Так все-таки - опишите - что Вы делаете?

Цитата:
Сообщение от igortsk Посмотреть сообщение
мне не достаточно теперь просто исключить его из группы в актив директори
Что значит теперь? Чтобы исключить пользователя из группы в AD нужно сделать 2 действия:
1. Исключить его в оснастке AD
2. Сделать логофф пользователю, если он был залогинен.
Если Вы не сделали п.2 - то Вы не исключили из AD.
И еще момент. В предыдущих версиях такой возможности (создания группы AD, как пользователя АХ) вообще не было. Если Вы сравниваете функциональность с предыдущей версией - то это несравнимо.

Цитата:
Сообщение от igortsk Посмотреть сообщение
По поводу WINDOWS и применения настроек АД:
а если я захожу под пользователем тест из под другого пользователя (своего) в АХ, используя "шифт+зайти от имени др. пользователя"? (В это время под пользователем "тест" никто не сидит). По идее мой выход из АХ в данном случае можно рассматривать как логоф и возможность АД применить изменения?
Применительно к данной сессии - да.
Тут логика такая - если Вы исключили пользователя из группы в AD - то пользователь изменение почувствует только после того, как он вновь залогинится (сделает логон). Если пользователь был уже залогинен - ему нужно перезайти. Если пользователь был залогинен на 100500 компьютерах - то на этих компьютерах пока он не перезайдет - изменения не применятся.
Если он не был залогинен на 100501-м компьютере - то там изменения он почувствует сразу.

Цитата:
Сообщение от igortsk Посмотреть сообщение
Вот что интересного произошло:
Итак, прошло пару дней и мне понадобилось перезагрузить все АОС.
Я это сделал.
После этого проверяю своего пользователя (тестового) на всякий случай, которого 2 дня назад убрал из АД.
При заходе в АХ теперь сообщение "не удалось войти в Microsoft dynamics"! Т.е. то, что мне и было нужно. Вопрос как это произошло? Ведь я 2 суток ничего не делал, а лишь перезагрузил АОС. Не кешируется ли что-то на стороне АОС по правам на столько, что это ничем кроме рестарта не выбить??
Если это кэш какой-то, как его чистить во время работы АОС?
Вполне логичное поведение системы. Windows, где запущен клиент - еще не прознал про отсутствие прав пользователя. А Windows, где запущен АОС - прознал.

Типичная ситуация у пользователя - когда у него истек срок действия пароля, но он еще не перезашел в Windows. У него начинают отваливаться все сетевые ресурсы.
__________________
Возможно сделать все. Вопрос времени

Последний раз редактировалось sukhanchik; 02.05.2015 в 13:01.
Старый 03.05.2015, 09:38   #13  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5798 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Вот тут описано, как оно в теории должно работать: Using windows AD groups for user management in Dynamics AX 2012
Старый 06.05.2015, 13:52   #14  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
Еще раз подробнее описываю свои действия:
1) импортирую пользователя из АД в АХ, назначаю любые роли (одну или несколько)
2) НЕ добавляю его в группу АД в оснастке, которая разрешает вход в АХ
3) Пользователь может заходить в АХ несмотря на тот факт, что в группу пользователей в АД, имеющих доступ к АХ он не включен.

Что хочу:
-создавать пользователя, давать ему любые роли, но пока не добавлю его в группу в АД, не давать ему заходить в АХ. Централизация управления.
Старый 06.05.2015, 14:30   #15  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,308 / 3540 (125) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от igortsk Посмотреть сообщение
Еще раз подробнее описываю свои действия:
1) импортирую пользователя из АД в АХ, назначаю любые роли (одну или несколько)
2) НЕ добавляю его в группу АД в оснастке, которая разрешает вход в АХ
3) Пользователь может заходить в АХ несмотря на тот факт, что в группу пользователей в АД, имеющих доступ к АХ он не включен.

Что хочу:
-создавать пользователя, давать ему любые роли, но пока не добавлю его в группу в АД, не давать ему заходить в АХ. Централизация управления.
Вот! Отличная постановка задачи!

Что надо сделать: Не надо импортировать пользователя из AD в АХ. Надо создать пользователя в АХ, как группу в AD и назначить ей роли.
Нажмите на изображение для увеличения
Название: Безымянный.png
Просмотров: 325
Размер:	84.4 Кб
ID:	9259
И до тех пор, пока пользователь не будет включен в группу в AD - у него не появится никаких прав. А после выкидывания его из группы в AD - нужно завершить везде все его активные сессии
__________________
Возможно сделать все. Вопрос времени

Последний раз редактировалось sukhanchik; 06.05.2015 в 14:32.
Старый 07.05.2015, 18:50   #16  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
но...как же так?
Что-то изменилось ?

У меня 500 пользователей, мне теперь их всех так прогнать чтоли?? Изменить с "пользователь ACTIVE DIRECTORY" на "группа ACTIVE DIRECTORY" в настройках? Конечно, можно джобом, но смысл?

Почему раньше все работало (исключал пользователя из группы в АД и этот пользователь не мог зайти в АХ)?
Старый 07.05.2015, 23:14   #17  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5798 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Не надо менять тип ваших 500 пользователей - это бессмысленно, потому что тип пользователя в Аксапте должен соответствовать типу объекта в AD. По приведенной ссылке описан предположительно ваш случай:
  1. надо создать пустую группу AD;
  2. добавить ее как пользователя в Аксапту и назначить ей нужные роли;
  3. затем добавить в эту группу AD ваших доменных пользователей, которые уже логинились в Аксапту и имеют свои назначенные роли
после этого, если верить публикации, при следующем входе пользователям из группы AD будут назначены другие роли - те, что назначены группе, в которую они включены. Также обратите внимание на предложенный в публикации рецепт: создать отдельную группу AD, которой в Аксапте назначить только роль "Пользователь системы", и еще отдельные группы AD, которым назначать в Аксапте прочие роли. Тогда при исключении пользователя AD из группы, которой в Аксапте назначена роль "Пользователь системы", у соотв. пользователя в Аксапте также будет удалена эта роль, а без нее он не сможет нормально работать.

Последний раз редактировалось gl00mie; 07.05.2015 в 23:18.
За это сообщение автора поблагодарили: Logger (3).
Старый 08.05.2015, 09:41   #18  
igortsk is offline
igortsk
Участник
 
12 / 10 (1) +
Регистрация: 05.10.2014
Спасибо огромное всем, вопрос закрыт
 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
DAX: How to gain additional value from the Microsoft application platform with Microsoft Dynamics AX 2012 R2 Blog bot DAX Blogs 3 21.06.2013 15:16
dynamicscpm: Migrating to Management Reporter 2012 Blog bot DAX Blogs 0 24.05.2012 01:13
dynamicscpm: Management Reporter 2012 Released! Blog bot DAX Blogs 0 31.03.2012 23:11
dynamicsaxtraining: Purchase Blog bot DAX Blogs 0 11.03.2012 05:25
daxdilip: Whats New in Dynamics AX 2012 (A brief extract from the recently held Tech Conf.) Blog bot DAX Blogs 7 31.01.2011 12:35
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 11:58.