D365 роль админ (без прав раздачи раздачи ролей самому)

[oleggy]

Привет.
Подскажите в D365 существует короткий способ создать привилегию дающую права на все элементы и формы но с запретом к форме выдаче и редактированию ролей для других пользователей?

Если было прошу поделитесь ссылками на темы?

[sukhanchik]

Постановка задача сама себе противоречит. Нужно дать права на все формы, но запретить права к конкретной форме.
Общая идея состоит в том, что ни в AX2012 ни в D365FO нельзя выдать такую роль, которая бы давала "все права на все формы", за исключением роли "Системный администратор".
Если нужно создать привилегию / роль, дающую права на все формы - то этот список (пунктов меню) нужно будет составлять вручную, т.о. свежеразработанные пункты меню в него автоматически попадать не будут. Ну и на контролы иногда дается отдельный доступ (например, на финаналитику в заказах на продажу), т.о. этот доступ тоже нужно будет прописывать.

Здесь самое простое решение - сделать какую-то роль "полуадминскую" - т.е. роль, не являющейся администраторской с технической т.з., но в которую "напиханы" все обязанности и привилегии суммарно от всех пользователей системы. Получится, что пользователь этой роли будет иметь заведомо доступ туда же, куда и любой пользователь, но при этом он не будет техническим админом. И т.о. тут можно просто не давать доступ на ту форму, на которую не хочется давать доступ

[LETTO]

Можно сделать Сис. админа и добавить еще роль - "Запрет выдавать права". На запуск формы / нажатии кнопки проверять - если у пользователя эта роль - выдавать предупреждение или дизейблить кнопки. Можно и запрет сделать на запуск из Главного меню - в системных классах где то перехватывать.
Если делать роль и добавить в нее все привилегии, кто будет новые постоянно отслеживать и добавлять?

[sukhanchik]

Цитата:

Сообщение от LETTO

Можно сделать Сис. админа и не добавить еще роль - "Запрет выдавать права". На запуск формы / нажатии кнопки проверять - если у пользователя эта роль - выдавать предупреждение или дизейблить кнопки. Можно и запрет сделать на запуск из Главного меню - в системных классах где то перехватывать.
Если делать роль и добавить в нее все привилегии, кто будет новые постоянно отслеживать и добавлять?

У каждого способа свои достоинства и недостатки.
В моем способе фактически отсутствует программирование (если не считать добавление одних объектов в другие - программированием), но требуется постоянное добавление новых объектов и их отслеживание. К тому же обычно фраза "дать все права на все формы" предполагает, что "за исключением тех модулей, которые в нашей компании не используются" - т.е. человек, которому в чём-то ограничивают права всё же является именно пользователем, а не техническим специалистом. И это важно, потому что XDS (ограничение видимости по записям) не работает для пользователя с ролью "Системный администратор". При этом в моем опыте часто возникала на проектах задачи с использованием XDSа для всех пользователей (например, по скрытию неактивных записей (складов, контрагентов и т.д.) из лукапов).

С другой стороны, конечно можно и запрограммировать в явном виде на наличие у пользователя "чёрной метки" на доступ. Это удобно в относительно небольшой компании, где нет специальных людей, контролирующих отсутствие лишнего доступа.

[Pandasama]

Цитата:

Сообщение от LETTO

Можно сделать Сис. админа и добавить еще роль - "Запрет выдавать права".

А через джоб такой "сис. админ" разве не сможет себе выдать полные права?

[sukhanchik]

Цитата:

Сообщение от Pandasama

А через джоб такой "сис. админ" разве не сможет себе выдать полные права?

В D365FO нет джобов. Для того, чтобы ему чего-то попрограммировать - ему нужна машинка с Visual Studio, на которой нужно попрограммировать, а потом весьма нетривиальным образом перенести код на другое приложение (при условии, что на целевом приложении может отсутствовать исходный код - эту процедуру даже разработчику можно заблокировать на уровне прав в LCS)..
Другое дело, что он просто может пойти и снять с себя "запрещающую" роль как в форме пользователей, так и в форме назначения ролей (если эти "лазейки" не прикрыть). И на этом все запреты закончатся.

[skuull]

Цитата:

Сообщение от sukhanchik

В D365FO нет джобов. Для того, чтобы ему чего-то попрограммировать - ему нужна машинка с Visual Studio, на которой нужно попрограммировать, а потом весьма нетривиальным образом перенести код на другое приложение

Ну не то чтобы совсем нет https://learn.microsoft.com/en-us/dy...custom-scripts и не так уж это и нетривиально загрузить его прямо в прод если он уже собран в пакет.

[sukhanchik]

Точно, я и забыл про эту возможность. Но как я понимаю тот, кто собирается давать права Системного Администратора - видимо полагает - что получатель прав не догадается применить эту фичу .
В общем - надёжней вручную постоянно добавлять в роль новые пункты меню / контролы и не давать системного администратора )

[ТРЕНЕР]

Цитата:

Сообщение от sukhanchik

В общем - надёжней вручную постоянно добавлять в роль новые пункты меню / контролы и не давать системного администратора )

Или периодическую операцию, которая будет автоматически наполнять нужную роль всеми менюайтемами.