Запрет на запись документов/справочников/РегистрСведений (ТолькоПросмотр)
Комментарии
В избранное
Подписаться на ответы
Сортировка:
Древо развёрнутое
Свернуть все
Частенько приходится слушать от руководства: "запретить этому пользователю, запись этого документа\справочника"... А через какое-то время, почему тот-то не может записать справочник/документ. Вот и родилась идея оперативного запрета/разрешения записи документа/справочника/рс.
Нужно на всякий случай проверить вот что:
- Остальные группы "разрешительные", а эти - "запретительные".
- Через шаблонные ограничения доступа, указанные в ролях, пользователь может получить доступ к тем же документам, что и остальные члены всех групп, в которые он входит.
- Рассмотренный механизм добавляет (потенциально) еще много пересечений пользователя с другими пользователями. В смысле - пользователь может быть членом нескольких разрешительных групп, наряду с, например, 20 своими коллегами. А теперь он стал еще членом нескольких запретительных групп, наряду с 10 нарушителями каких-то там правил.
- В результате этот пользователь или другие нарушители могут незапланированно получить доступ к тем документам (не видам документов, а именно конкретным документам), к которым не получали доступ через разрешительные группы.
То есть опасность эта может быть, если включен и настроен доступ на уровне записей. Или если доступ регулируется другими (самодельными) механизмами, но с использованием вызовов функции ГруппыТекущегоПользователя().
- Остальные группы "разрешительные", а эти - "запретительные".
- Через шаблонные ограничения доступа, указанные в ролях, пользователь может получить доступ к тем же документам, что и остальные члены всех групп, в которые он входит.
- Рассмотренный механизм добавляет (потенциально) еще много пересечений пользователя с другими пользователями. В смысле - пользователь может быть членом нескольких разрешительных групп, наряду с, например, 20 своими коллегами. А теперь он стал еще членом нескольких запретительных групп, наряду с 10 нарушителями каких-то там правил.
- В результате этот пользователь или другие нарушители могут незапланированно получить доступ к тем документам (не видам документов, а именно конкретным документам), к которым не получали доступ через разрешительные группы.
То есть опасность эта может быть, если включен и настроен доступ на уровне записей. Или если доступ регулируется другими (самодельными) механизмами, но с использованием вызовов функции ГруппыТекущегоПользователя().
(2) kapustinag, Спасибо за коммент!
Но на самом деле не шибко я понял, что Вы написали (видимо выходные сказываются) :) Суть такова: если у пользователь состоит в группе, то он и не сможет записать этот объект.
Например:
-Запрет на запись Справочников
-- Номенклатура
если пользователь включен в группу номен., то он и не запишет туда ничего.
По сути если даже есть, какой-то свой механизм или ограничения на уровне записей, то нахождение пользователя в группе вызовет Отказ записи, и запись произведена не будет (данный механизм ограничивает только Запись).
(3) kapustinag, До этого места я не дочитал. Вариант предложенный мне больше нравится. Что-то я не подумал(до читал) об этом.
Но на самом деле не шибко я понял, что Вы написали (видимо выходные сказываются) :) Суть такова: если у пользователь состоит в группе, то он и не сможет записать этот объект.
Например:
-Запрет на запись Справочников
-- Номенклатура
если пользователь включен в группу номен., то он и не запишет туда ничего.
По сути если даже есть, какой-то свой механизм или ограничения на уровне записей, то нахождение пользователя в группе вызовет Отказ записи, и запись произведена не будет (данный механизм ограничивает только Запись).
(3) kapustinag, До этого места я не дочитал. Вариант предложенный мне больше нравится. Что-то я не подумал(до читал) об этом.
(4) Наверно, я слишком косноязычен.
Я имел в виду, что, если включены ограничения на уровне записей, либо используются иные способы, проверяющие членство в "разрешительных" группах, то может быть отрицательный побочный эффект из-за этих "запретительных" групп.
То, что мы собирались запретить с помощью членства в "запретительной" группе - будет запрещено, тут я ничего не оспариваю.
Побочный эффект может заключаться в том, что, например, пользователь Вася получит доступ на просмотр не только тех документов "Реализация товаров и услуг", которые делал Петя (Вася и Петя находятся в одной разрешительной группе), но и к тем документам, которые делал Гриша (Вася и Гриша находятся в одной запретительной группе).
Но, может быть, во многих ИБ ничего такого не произойдет.
Я имел в виду, что, если включены ограничения на уровне записей, либо используются иные способы, проверяющие членство в "разрешительных" группах, то может быть отрицательный побочный эффект из-за этих "запретительных" групп.
То, что мы собирались запретить с помощью членства в "запретительной" группе - будет запрещено, тут я ничего не оспариваю.
Побочный эффект может заключаться в том, что, например, пользователь Вася получит доступ на просмотр не только тех документов "Реализация товаров и услуг", которые делал Петя (Вася и Петя находятся в одной разрешительной группе), но и к тем документам, которые делал Гриша (Вася и Гриша находятся в одной запретительной группе).
Но, может быть, во многих ИБ ничего такого не произойдет.
Как уже отметили в обсуждении темы "Простой доступ только для чтения", есть еще один вариант, сравнимый с этим:
- Использовать не группы, а дополнительные права пользователя. В этом случае можно одной строкой запретить и группе целиком, а не только одному пользователю.
- Использовать не группы, а дополнительные права пользователя. В этом случае можно одной строкой запретить и группе целиком, а не только одному пользователю.
Способ относительно простой и достаточно эффективный. Единственное замечание по реализации: Раз уж начали править Конфу, то эффективнее, вместо поиска (тем более по Наименованию), использовать Предопределённые значения. Соглашусь с (3) kapustinag
Теперь по потребности в подобных закрытиях... Гораздо чаще, включают условные запреты, Например, Номенклатуру "из этой группы" можно править, а "в другие не лезь"... Или на одном Складе можно проводить документы, а на другом нельзя!
Полные же запреты на виды действий, чаще "лечатся присвоением Роли с ограничением"...
Использовать не группы, а дополнительные права пользователя
это заметно нагляднее при объявленной постановке задачи.
Теперь по потребности в подобных закрытиях... Гораздо чаще, включают условные запреты, Например, Номенклатуру "из этой группы" можно править, а "в другие не лезь"... Или на одном Складе можно проводить документы, а на другом нельзя!
Полные же запреты на виды действий, чаще "лечатся присвоением Роли с ограничением"...
кроме упомянутых неоднозначностей, второй момент:
если я правильно понял, имена метаданных - это подгруппы в вашей группе запрета?
тогда что произойдет, если есть одноименные метаданные, и я захочу одно запретить, а другое разрешить?
например, справочник "СобытияОС" и регистр сведений "СобытияОС" ?
если я правильно понял, имена метаданных - это подгруппы в вашей группе запрета?
тогда что произойдет, если есть одноименные метаданные, и я захочу одно запретить, а другое разрешить?
например, справочник "СобытияОС" и регистр сведений "СобытияОС" ?
(6) chmod660, Да все верно, имена метаданных - это подгруппы в группе запрета.
ОбъектЗапрета ищется по родителю. Т.е. если отрабатывается подписка на событие ПередЗаписью документов, предполагается, что существует группа "Запрет на запись документов" (соот. для подписки на справочник группа "Запрет на запись справочников") - данный метод отсекет НЕ уникальность имен в различных метаданных.
(7) V.Nikonov, Спасибо, про предопределенные, что то не подумал :)
Если необходим, такой детальный запрет, то да это только ограничения по записям, предложенный мною механизм не годится.
ОбъектЗапрета ищется по родителю. Т.е. если отрабатывается подписка на событие ПередЗаписью документов, предполагается, что существует группа "Запрет на запись документов" (соот. для подписки на справочник группа "Запрет на запись справочников") - данный метод отсекет НЕ уникальность имен в различных метаданных.
(7) V.Nikonov, Спасибо, про предопределенные, что то не подумал :)
Если необходим, такой детальный запрет, то да это только ограничения по записям, предложенный мною механизм не годится.
Интересный вариант, если использовать группы пользователей. Но, как правило, в базе бывает несколько пользователей с полными правами и каждый из них может вмешаться и изменить группы в режиме предприятия. В конфигуратор, как правило, все же заходят далеко не все. Хотя это, наверное, частная проблема.