D365 роль админ (без прав раздачи раздачи ролей самому)

[LETTO]

Можно сделать Сис. админа и добавить еще роль - "Запрет выдавать права". На запуск формы / нажатии кнопки проверять - если у пользователя эта роль - выдавать предупреждение или дизейблить кнопки. Можно и запрет сделать на запуск из Главного меню - в системных классах где то перехватывать.
Если делать роль и добавить в нее все привилегии, кто будет новые постоянно отслеживать и добавлять?

[sukhanchik]

Цитата:

Сообщение от LETTO

Можно сделать Сис. админа и не добавить еще роль - "Запрет выдавать права". На запуск формы / нажатии кнопки проверять - если у пользователя эта роль - выдавать предупреждение или дизейблить кнопки. Можно и запрет сделать на запуск из Главного меню - в системных классах где то перехватывать.
Если делать роль и добавить в нее все привилегии, кто будет новые постоянно отслеживать и добавлять?

У каждого способа свои достоинства и недостатки.
В моем способе фактически отсутствует программирование (если не считать добавление одних объектов в другие - программированием), но требуется постоянное добавление новых объектов и их отслеживание. К тому же обычно фраза "дать все права на все формы" предполагает, что "за исключением тех модулей, которые в нашей компании не используются" - т.е. человек, которому в чём-то ограничивают права всё же является именно пользователем, а не техническим специалистом. И это важно, потому что XDS (ограничение видимости по записям) не работает для пользователя с ролью "Системный администратор". При этом в моем опыте часто возникала на проектах задачи с использованием XDSа для всех пользователей (например, по скрытию неактивных записей (складов, контрагентов и т.д.) из лукапов).

С другой стороны, конечно можно и запрограммировать в явном виде на наличие у пользователя "чёрной метки" на доступ. Это удобно в относительно небольшой компании, где нет специальных людей, контролирующих отсутствие лишнего доступа.

[Pandasama]

Цитата:

Сообщение от LETTO

Можно сделать Сис. админа и добавить еще роль - "Запрет выдавать права".

А через джоб такой "сис. админ" разве не сможет себе выдать полные права?

[sukhanchik]

Цитата:

Сообщение от Pandasama

А через джоб такой "сис. админ" разве не сможет себе выдать полные права?

В D365FO нет джобов. Для того, чтобы ему чего-то попрограммировать - ему нужна машинка с Visual Studio, на которой нужно попрограммировать, а потом весьма нетривиальным образом перенести код на другое приложение (при условии, что на целевом приложении может отсутствовать исходный код - эту процедуру даже разработчику можно заблокировать на уровне прав в LCS)..
Другое дело, что он просто может пойти и снять с себя "запрещающую" роль как в форме пользователей, так и в форме назначения ролей (если эти "лазейки" не прикрыть). И на этом все запреты закончатся.

[skuull]

Цитата:

Сообщение от sukhanchik

В D365FO нет джобов. Для того, чтобы ему чего-то попрограммировать - ему нужна машинка с Visual Studio, на которой нужно попрограммировать, а потом весьма нетривиальным образом перенести код на другое приложение

Ну не то чтобы совсем нет https://learn.microsoft.com/en-us/dy...custom-scripts и не так уж это и нетривиально загрузить его прямо в прод если он уже собран в пакет.