Права пользователя (групп).

[sukhanchik]

Цитата:

Сообщение от sbonus

А если прав у трёх групп не хватит, что делать, создавать новую группу и там новые права писать, или в одной из существующих добавлять?.. Если в существующей, то в какой?.. Их же много...А если надо лишить определённую группу пользователей (а они находятся в пяти группах в Аксапте) доступа куда-либо, то где искать эти доступы, в какой из пяти групп?

Группы прав можно формировать исходя из двух взаимоисключающих принципов:
1) группа=набор функциональных обязанностей пользователей
2) группа=минимально неделимый функционал (например создание заказов, без права разноски)
В первом случае (это Ваш случай) - действительно - один пользователь должен состоять в одной группе. Если ему нужно дать/отнять права - нужно этой группе - включить/выключить соотв ключик/набор ключиков.
Во втором случае каждая группа является по сути набором ключиков. И хочется для приведения к первому случаю поиметь дерево групп, которого в Аксапте нет. Однако, в случае использования второго механизма - при ведении некоторой системы именования групп - за раздачу прав может отвечать вообще говоря необученный Аксапте человек. Во втором случае легко решается проблема дать челу доступ еще на дополнительный функционал - не нужно думать - какие ключики нужно включать (очевидно - что будет не один ключик - меню, таблицы, формы).
Запрос - где искать доступы - решабелен через дополнительные доработки. И эту информацию можно получить за вполне удобоваримое время.

Так что смотрите сами - как удобнее. Я лишь развил мысль г-на blokva

[blokva]

Цитата:

Сообщение от sukhanchik

Так что смотрите сами - как удобнее. Я лишь развил мысль г-на blokva

Совершенно справедливо, полностью согласен.
Спасибо за развитие мысли!

[sbonus]

Цитата:

Сообщение от sukhanchik

Однако, в случае использования второго механизма - при ведении некоторой системы именования групп - за раздачу прав может отвечать вообще говоря необученный Аксапте человек.

Весьма смело, я не решился бы давать управление группами и вообще права админа не обученному человеку, хотя всем всегда приходится с чего-то начинать. Да и приходится вести систему именования групп, а так как функционал у них минимальный, то групп должно быть много (я правильно понял?). На самом деле обе версии (и моя и Ваша) имеют право на существование. Но вопрос (!), как поведут себя права доступа к какому-либо полю (к примеру), если в одной группе они только для чтения, а в другой возможна правка (а так же в какой группе менять право доступа, если определённому юзеру их надо именно сменить)? А юзера надо сделать именно членом этих групп. То есть вопрос пересчения прав доступа. ИМХО, должны быть выставлены максимальные права. Но так ли это всегда? А непредсказуемости я просто боюсь и стараюсь её всегда избегать. Мне проще создать несколько базовых групп, а потом от них (почти как наследованием, жаль что в Аксапте нету механизма наследования прав) экспортом уже создавать новые эксклюзивные группы, которые наделять только им присущими правами, и уже в эти группы включать пользователей.
С уважением.

[sukhanchik]

Цитата:

Сообщение от sbonus

Весьма смело, я не решился бы давать управление группами и вообще права админа не обученному человеку, хотя всем всегда приходится с чего-то начинать.

Я подразумевал - делегирование процедуры назначения прав человеку, на которого ляжет ответственность за доступ к различным функциям в системе (без вдавания в подробности). Это рутина (люди приходят и уходят; обязанности меняются; на время отпуска проиходит замещение и т.п.). В то время - как расстановка галок и создание самих групп - это разовое занятие (настроил и все - при условии некардинальных модификаций конечно)

Цитата:

Сообщение от sbonus

Да и приходится вести систему именования групп, а так как функционал у них минимальный, то групп должно быть много (я правильно понял?).

Ага, совершенно верно - вот почему я и заговорил о дереве групп прав - для группировки.

Цитата:

Сообщение от sbonus

Но вопрос (!), как поведут себя права доступа к какому-либо полю (к примеру), если в одной группе они только для чтения, а в другой возможна правка (а так же в какой группе менять право доступа, если определённому юзеру их надо именно сменить)? А юзера надо сделать именно членом этих групп. То есть вопрос пересчения прав доступа. ИМХО, должны быть выставлены максимальные права. Но так ли это всегда?

Это так всегда - однако необходимо учитывать такой факт: в 3.0 права можно давать как на ключики, так и на менюайтемы и контролы. Это приводит к тому - что для разрешения к примеру пункта меню - должен быть доступ на менюайтем и на ключик, который указан в свойствах менюайтема. Ну и про контролы не надо забывать, тем более - что это механизм может сбойнуть при модификации формы. (если сменится ID контрола в форме)

Цитата:

Сообщение от sbonus

А непредсказуемости я просто боюсь и стараюсь её всегда избегать. Мне проще создать несколько базовых групп, а потом от них (почти как наследованием, жаль что в Аксапте нету механизма наследования прав) экспортом уже создавать новые эксклюзивные группы, которые наделять только им присущими правами, и уже в эти группы включать пользователей.

Абсолютно согласен - что если не дошли руки чтобы залезть внутрь - то именно так и надо поступать. Непредсказуемости нужно избегать. В Вашем случае спокойствие важнее. Однако - как человек, поковыряшийся в правах (когда делал всякие утилитки нашим консалтам) - могу предположить с большой долей уверенностью - где возможно искать подводные камни при настройке прав. Более того - возможно (и весьма несложно напрограммировать и будет быстро работать) - получить информацию - о том, какая группа разрешает тот или иной ключик.