select crossCompany и Views - работает только для админов?

[DTD]

Какие могут быть причины что данный джоб работает только для админов:

X++:

static void jobCCView(Args _args)
{
    InventTableExpanded inventTableExpanded; //это View
    container conCompanies = [curext()];
    
    while select firstonly10 crossCompany:conCompanies inventTableExpanded 
        info(inventTableExpanded.ItemId);
}

если убрать crossCompany то работает и для обычных юзеров, но вместе никак.

Майкрософт говорит должно работать, оно работает, но почему-то только для пользователей с правами администратора.
http://msdn.microsoft.com/en-us/library/cc621079.aspx

[MikeR]

А обычные пользователи теперь запускают job ?

[raz]

select crossCompany работает только если у пользователя есть права на таблицу!
Без прав на таблицу возвращается пустой курсор, об этом надо помнить.

В руководстве разработчика можно найти такую фразу:
A cross-company query cannot return data for companies that the user does not have permission to access. A cross-company query can be limited to a subset of the companies that the user is authorized to access.

aEremenko: DAX 2009, работа с несколькими компаниями

[DTD]

Цитата:

Сообщение от MikeR

А обычные пользователи теперь запускают job ?

Изначально проблема возникла в отчете, это я изолировал ее в job чтобы легче было продемонстрировать.

Но можно и 'обычным' пользователем запускать job:

X++:

SecurityUtil::sysAdminMode(false);

[DTD]

Цитата:

Сообщение от raz

select crossCompany работает только если у пользователя есть права на таблицу!

Да, но выборка идет только в текущей компании - conCompanies = [curext()].

Если убрать crossCompany в select то возвращает данные (опять же из текущей компании), значит не в правах дело ?

В любом случае у всех пользователей есть права на все компании.

[Logger]

Если используется виртуальная компания то в запросе может использоваться системные таблички VirtualDataAreaList и dataarea

Возможно выключены права к ним.
Попробуйте дать доступ на ключ контроля доступа Открытие доступа к домену.

[DTD]

Цитата:

Сообщение от Logger

Если используется виртуальная компания то в запросе может использоваться системные таблички VirtualDataAreaList и dataarea

Возможно выключены права к ним.
Попробуйте дать доступ на ключ контроля доступа Открытие доступа к домену.

Да, виртуальная компания есть.
Но я не вижу в AX2012 privilege SysOpenDoman.

Technet говорит:

Цитата:

Allow non-administrators to create virtual company accounts The system administrator can grant permission to create virtual company accounts to users who are not administrators.

1. Assign the user to a role that has the Maintain virtual company accounts privilege. By default, the Information technology manager role has this privilege. For more information, see Assign users to security roles.
2. If you assign the user to a role other than Information technology manager, use the Override permissions form to make sure that the role has Full control permissions to the TableCollectionList table and the VirtualDataAreaList table. For more information, see Create or modify a security role.

Но это не совсем то ? Роль SystemUser уже имеет View доступ к VirtualDataAreaList, если дать полный то пользователи смогут создавать новые виртуальные компании, что в теории чревато.

p.s. добавил всю роль Information technology manager, ничего не изменилось...

[Logger]

Цитата:

Сообщение от DTD

Да, виртуальная компания есть.
Но я не вижу в AX2012 privilege SysOpenDoman.

Сорри.
Невнимательно прочитал. Забыл что в 2012-й все не так Забираю свои слова обратно касательно ключа контроля доступа. по поводу доступа к системным табличкам и вьюхам - проверьте.
а лучше включите трассировку запросов и посмотрите что реально уходит к БД

[raz]

X++:

select Table;

Эта команда не смотрит на наличие у пользователя, под которым она выполняется, прав доступа к таблице.

X++:

select crossCompany:conCompanies Table;

Эта смотрит, т.е. у пользователя ОБЯЗАТЕЛЬНО наличие прав доступа к таблице.

Есть три варианта:
1. давать права
2. не использовать crossCompany
3. не использовать crossCompany, но, если нужно запрос по нескольким компаниям, использовать конструкцию на основе Table.company(...);

[DTD]

Цитата:

Сообщение от raz

X++:

select Table;

Эта команда не смотрит на наличие у пользователя, под которым она выполняется, прав доступа к таблице.

Вроде как зависит от настроек на таблице, может и смотреть. Но в этом случае действительно это была неправильная проверка, намудрил.

Я предположил что к InventTableExpanded будет доступ у всех пользователей, но оказалось что я даже не мог ее открыть в АОТ под неадмином. Подставил в job другую view, которую мог открыть из AOT - BankAccountView. Job заработала.

Т.е. можно было провести параллель, - если открывается в AOT значит будет работать в crossCompany.

Перепроверил все таблицы в изначальной проблемной view (там пара десятков вьюх и запросов используется внутри) где были проблемы (InventValueReportView), некоторые добавил через Override Access у роли, пока не добился того чтобы она открывалась в браузере таблиц.

Job все равно не работала.

Перетащил все релевантные view в privilege.

Заработали и job и отчет !
Ненавижу views.

Спасибо.

[raz]

Цитата:

Сообщение от DTD

Вроде как зависит от настроек на таблице, может и смотреть.

Каюсь, забыл про AosAuthorization, наличие которого для обычного (полноценного) клиента весьма сомнительно.

[Logger]

Цитата:

Сообщение от raz

select crossCompany работает только если у пользователя есть права на таблицу!
Без прав на таблицу возвращается пустой курсор, об этом надо помнить.

В руководстве разработчика можно найти такую фразу:
A cross-company query cannot return data for companies that the user does not have permission to access. A cross-company query can be limited to a subset of the companies that the user is authorized to access.

aEremenko: DAX 2009, работа с несколькими компаниями

Спасибо.
Он, кстати, на проверку этих прав тратит немало процессорного времени. Так что формы начинает ощутимо притормаживать при переходе со строки на строку безо всяких запросов к БД и при первоначальной отрисовке грида (глазами видно как он строку за строкой прорисовывает). Т.е. тупит ax32.exe - жрет процессорное время.

Вы не знаете возможно как-то отключить эту проверку ?
Например сделать некий аналог серверного

X++:

unchecked(Uncheck::TableSecurityPermission)

P.S. У меня ax 2009