AXForum  
Вернуться   AXForum > Microsoft Dynamics AX > DAX: Функционал
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 12.03.2010, 23:06   #21  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5798 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Цитата:
Сообщение от fed Посмотреть сообщение
Кстати про разницу поведения DAX4 и DAX2009 вот здесь писали: http://blogs.msdn.com/emeadaxsupport...s-ax-2009.aspx
Цитата:
The reason why the RLS design was changed is that the security in Dynamics AX in general is additive.
Похоже, разработчики ядра сами запутались в том, как должна работать подсистема безопасности: где права пользователя должны быть объединением множеств прав групп, а где - пересечением. Или, точнее, не выразили явно, что применительно к RLS работают не только разрешения, но и запреты, отсюда и путаница в понимании механизма работы. В настройке прав по ключам доступа все вроде понятно - там есть лишь возможность разрешить доступ, потому и простая аддитивная модель тут замечательно работает. По-моему, в случае с RLS надо было обратиться к опыту разграничения прав платформы, на которой работает Аксапта, т.е. виндов: тут есть настройки прав, разрешающие доступ, и есть настройки, доступ запрещающие, причем последние имеют приоритет. Т.е. для RLS имело смысл ввести новое понятие в модели безопасности, но тогда RLS, возможно, нельзя было бы настраивать с помощью простой настройки запросов.

Последний раз редактировалось gl00mie; 12.03.2010 в 23:09. Причина: typo
Старый 13.03.2010, 01:20   #22  
alex55 is offline
alex55
MCTS
MCBMSS
 
224 / 145 (5) +++++
Регистрация: 13.02.2007
Адрес: Москва
Цитата:
Сообщение от gl00mie Посмотреть сообщение
Похоже, разработчики ядра сами запутались в том, как должна работать подсистема безопасности: где права пользователя должны быть объединением множеств прав групп, а где - пересечением.
Интересно еще понять, в какой-либо документации данное концептуальное изменение подхода было отражено? Здесь я не нашел:

- What's New for Microsoft Dynamics AX 2009 - http://www.microsoft.com/downloads/d...displaylang=en
- Manage record level security - http://technet.microsoft.com/en-us/l.../aa570084.aspx

Может в документах по миграции с 4.0 где-то описано?
Старый 08.06.2010, 18:28   #23  
propeller is offline
propeller
Участник
Аватар для propeller
 
359 / 29 (1) +++
Регистрация: 25.07.2007
Может кто то разобрался какой hotfix требуется чтобы вернуть поведение RLS так как было в 4.0?
У нас стоит HR 4, такое поведение RLS нас не устраивает)
Старый 10.06.2010, 09:47   #24  
Geo is offline
Geo
Участник
Аватар для Geo
 
258 / 47 (2) +++
Регистрация: 04.04.2008
Цитата:
Сообщение от propeller Посмотреть сообщение
Может кто то разобрался какой hotfix требуется чтобы вернуть поведение RLS так как было в 4.0?
У нас стоит HR 4, такое поведение RLS нас не устраивает)
Тот же вопрос интересует RLS для нас не критично, но всё-таки было бы поудобнее.
Старый 22.10.2010, 13:57   #25  
kornix is offline
kornix
MCP
MCBMSS
Злыдни
Ex AND Project
 
414 / 146 (5) +++++
Регистрация: 24.02.2009
Адрес: Санкт-Петербург
Цитата:
Сообщение от belugin Посмотреть сообщение
Извиняюсь, похоже ссылка приведенная в erpkb (Как настроить RLS в Аксапте 3.0) http://axapta.mazzy.ru/hints/rls_setup/ больше не работает, видимо то же самое находится тут: http://axapta.mazzy.ru/lib/rls_setup/
Старый 24.12.2010, 11:50   #26  
Daiver is offline
Daiver
Участник
Самостоятельные клиенты AX
 
177 / 44 (2) +++
Регистрация: 19.07.2005
Адрес: Москва
Цитата:
Сообщение от Geo Посмотреть сообщение
Тот же вопрос интересует RLS для нас не критично, но всё-таки было бы поудобнее.
Удалось ли решить проблему?
Можно ли где-то почитать рекомендации от MBS по созданию прав доступа с учетом нового поведения RLS?

Очень не удобно получилось в нашем случае. У нас есть группа открывающая доступ к модулю "Расчеты с клиентами" в том числе к таблице клиентов, и есть группа которая ограничивает список клиентов с помощью RLS. В 5-ке толку от второй группы уже ни какого. Как поступить? Убрать таблицу клиентов из основной группы, создать две доп группы, одна будет давать полный доступ к таблице, другая с учетом RLS?

Коллеги, поделитесь опытом, как лучше в 5-ке формировать группы с учетом нового поведения RLS.
Старый 24.12.2010, 23:59   #27  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5798 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
На недавнем семинаре, посвященном переходу на AX 2009, опытом настройки прав делился DSPIC: мол, из-за такой особенности работы RLS пришлось отказаться от кучи групп, дающих каждая доступ к определенной части функционала (а также отдельных групп с настройками RLS) и перейти на настройку своего рода ролей, чтобы каждый пользователь входил лишь в одну группу. Переходный этап был сложен, но потом, мол, стало даже проще в плане администрирования прав доступа: если что, сразу понятно, в какой группе нужно вносить изменения.
Старый 25.12.2010, 00:19   #28  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,307 / 3540 (125) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от gl00mie Посмотреть сообщение
пришлось отказаться от кучи групп, дающих каждая доступ к определенной части функционала (а также отдельных групп с настройками RLS) и перейти на настройку своего рода ролей, чтобы каждый пользователь входил лишь в одну группу. Переходный этап был сложен, но потом, мол, стало даже проще в плане администрирования прав доступа: если что, сразу понятно, в какой группе нужно вносить изменения.
Лет 5 назад (точно не помню) - еще в 3.0 решил я как-то (уж не помню зачем) посчитать кол-во групп в системе и сравнить с кол-вом пользователей. Выяснилось, что кол-во групп превышало кол-во пользователей аж в 3 (!!!) раза.

После этого было принято решение относить каждого пользователя в свою индивидуальную группу "и не морочить остальным голову".

Как-то не запомнилась сложность переходного этапа - у нас это сделалось "на раз-два" путем быстренького написания утилитки (мега-джобика), который "сложил" все права каждого пользователя в одну индивидуальную его группу (правда, наскольку я помню - настройку RLS этот мега-джобик не складывал).

Единственное - с чем пришлось столкнуться (благо таких мест было мало) - так это с тем, что в системе иногда прописываются группы пользователей для наделения правами в таблицах (например, настройка журналов).

И теперь - если количество пользователей примерно совпадает с количеством групп - я рекомендую сделать "роли" - т.е. индивидуальные группы каждому пользователю. Гораздо проще потом в последующей настройке
__________________
Возможно сделать все. Вопрос времени
Старый 29.12.2010, 15:32   #29  
Кирилл
Гость
 
n/a
Цитата:
Сообщение от Daiver Посмотреть сообщение
Коллеги, поделитесь опытом, как лучше в 5-ке формировать группы с учетом нового поведения RLS.
Как уже писали выше, проще давать одну группу пользователю. На ней настраивать и права и RLS.
Для тиражирования прав по нескольким группам, которые должны отличаться только RLS, можно запилить некую шаблонную группу, менять права в ней, а потом импортировать их в группы с RLS.

Последний раз редактировалось Кирилл; 29.12.2010 в 15:35.
Старый 29.12.2010, 15:41   #30  
Vadik is offline
Vadik
Модератор
Аватар для Vadik
Лучший по профессии 2017
Лучший по профессии 2015
 
3,631 / 1849 (69) ++++++++
Регистрация: 18.11.2002
Адрес: гражданин Москвы
Цитата:
Сообщение от Кирилл Посмотреть сообщение
Как уже писали выше, проще давать одну группу пользователю. На ней настраивать и права и RLS
Никогда не доводилось поддерживать систему пользователей так на четыре-пять сотен?
__________________
-ТСЯ или -ТЬСЯ ?
Старый 29.12.2010, 15:48   #31  
Кирилл
Гость
 
n/a
Цитата:
Сообщение от Vadik Посмотреть сообщение
Никогда не доводилось поддерживать систему пользователей так на четыре-пять сотен?
Не по одному пользователю на группу, а по одной группе на пользователя. Это разные вещи.

Кроме того, сейчас у нас нет выбора, иначе RLS не сработает, если пользователя добавить в еще одну группу, у которой есть права на ту же таблицу, что и в первой и не настроен RLS на эту таблицу.
Старый 09.08.2012, 10:48   #32  
Poleax is offline
Poleax
Модератор
Аватар для Poleax
MCP
MCBMSS
Злыдни
 
1,353 / 595 (22) +++++++
Регистрация: 17.02.2005
Адрес: msk
Записей в блоге: 34
Цитата:
Сообщение от fed Посмотреть сообщение
они накатили одно из самоновейших обновлений к DAX2009, схема работы с RLS вернулась к тому что было в 4ке.
Номер HotFix'a не подскажите?
__________________

This posting is provided "AS IS" with no warranties, and confers no rights.
Старый 09.08.2012, 11:37   #33  
fed is offline
fed
Moderator
Аватар для fed
Ex AND Project
Соотечественники
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
2,907 / 5717 (196) ++++++++++
Регистрация: 13.03.2002
Адрес: Hüfingen,DE
Цитата:
Сообщение от Poleax Посмотреть сообщение
Номер HotFix'a не подскажите?
Увы. Я это письмо почти трехлетней давности давно из почтового ящика вычистил...
Старый 09.08.2012, 14:05   #34  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5798 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Очень странно... в списке вышедших hotfix'ов RLS упоминается лишь дважды, и нигде - в связи с возвратом к "старой" схеме:
PHP код:
979270 (входит в RU4Memory leak in RLS with many groups
959563 
(входит в RU1Unable to configure RLS with Turkish_CI_AS collation 
Старый 17.10.2013, 05:02   #35  
d&m is offline
d&m
MCT
Аватар для d&m
MCP
Manzana Group
MCBMSS
 
459 / 186 (7) ++++++
Регистрация: 11.09.2007
Записей в блоге: 6
http://blogs.msdn.com/b/emeadaxsuppo...s-ax-2009.aspx

как написано по ссылке, у нас в ax2009 (ver 5.0.1500.6491) если пользователь в двух группах:
1ая без настройки RLS
2ая запрещает доступ к записи С
у пользователя будут доступны все записи (в отличие от 4.0, где будут доступны все, кроме С).

Собственно вопрос: как вернуть старое поведение RLS (чтобы в 2009 было, как в 4.0)? ссылка на KB, готовые XPO и т.д. - все приветствуется...
__________________
Sometimes there is a moment as you are awakening - when you become aware of the real world around you, - but you are still dreaming. - You may think you can fly but you do better not try.
Старый 17.10.2013, 10:20   #36  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5798 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Вроде бы краткий ответ - никак. Известен лишь обходной маневр - для тех пользователей, которым нужно ограничить доступность данных с помощью RLS, нужно настроить одну группу-роль вместо кучки отдельных групп и для этой же группы настроить RLS.
Старый 17.10.2013, 11:03   #37  
d&m is offline
d&m
MCT
Аватар для d&m
MCP
Manzana Group
MCBMSS
 
459 / 186 (7) ++++++
Регистрация: 11.09.2007
Записей в блоге: 6
Цитата:
Сообщение от gl00mie Посмотреть сообщение
Известен лишь обходной маневр - для тех пользователей, которым нужно ограничить доступность данных с помощью RLS, нужно настроить одну группу-роль вместо кучки отдельных групп и для этой же группы настроить RLS.
этот вариант не пройдет у нас - т.к. у нас регионально распределенные сайты. на каждом сайте нужно видеть только записи своего сайта. сайтов около 100 штук - создавать 100 групп-ролей - это перебор на мой взгляд. Точнее проблема даже не в их создании, а в их последующем обновлении (если вдруг нужно всем сайтам добавить доп таблицу \ доп поле \ доп пункт меню).
обычно мы делали так:
1. одна группа для настройки прав доступа - по menu item и tables. RLS для этой группы не натсраивается
2. 100 групп для RLS - в которых только настройка RLS.
но сейчас это невозможно ....
__________________
Sometimes there is a moment as you are awakening - when you become aware of the real world around you, - but you are still dreaming. - You may think you can fly but you do better not try.
Старый 17.10.2013, 11:57   #38  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5798 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Проблема возникает, если на одну и ту же таблицу доступ дается и в группе(ах) без RLS, и в группе с RLS. В вашем случае можно из "общей" группы убрать права доступа на те таблицы, для которых должен быть настроен RLS по сайту, и дать доступ на них лишь в тех группах, к которым будут привязаны настройки RLS.
Старый 30.10.2013, 19:45   #39  
Murlin is offline
Murlin
Возьми свет!!!
Аватар для Murlin
Самостоятельные клиенты AX
Злыдни
 
291 / 32 (2) +++
Регистрация: 22.09.2008
Адрес: Тюмень, Рашан Федерашан
оффтоп. А есть ли какой-либо смысл отказываться от стандартного RLS и переписывать его?
Вот чисто интересно возможные причины отказа от RLS стандарта в 2009.
Сложность настройки?
Я до этого просто как то не сталкивался и не знаю как там RLS в 2009 работает. В 3 в 4ке никаких проблем особо не видел.
__________________
Axapta 3.0 sp 5 Oracle
Диплом Интернет-Университета Информационных Технологий: Основы бухгалтерского учета
Я могу взорвать вам мозг!!!

Последний раз редактировалось Murlin; 30.10.2013 в 19:54.
Старый 10.07.2014, 10:40   #40  
AnGor is offline
AnGor
Участник
Аватар для AnGor
 
97 / 46 (2) +++
Регистрация: 30.08.2007
Адрес: Ulm
Записей в блоге: 6
Есть ли какая-то особенность RLS для виртуальных таблиц?
настраиваю критерий для группы, а всеравно - видны все записи.
Теги
ax2009, ax4.0, rls, доступ на уровне записей, как правильно

 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
Влияние настройки доступа на уровне записей longson DAX: Функционал 2 15.01.2008 21:29
Настройка прав доступа на уровне записей Pan DAX: Администрирование 19 12.11.2006 11:10
Можно сделать доступ на уровне записей в зависимости от текущей даты? Hidden DAX: Администрирование 12 12.09.2006 10:03
Доступ на уровне записей в виртуальной компании ZSV DAX: Администрирование 3 05.09.2005 18:42
Безопасность на уровне записей rdv DAX: Функционал 5 27.01.2003 13:16

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 22:21.