АХ 2012 пускает пользователя, когда он исключен из AD

[gl00mie]

Цитата:

Сообщение от igortsk

1) Заводим пользователя в группу "AX users" в AD
3) убираем пользователя из AD

Переведите, что именно означает третий пункт.

Цитата:

Сообщение от igortsk

По идее, пользователь вообще теперь не должен иметь права в АХ, т.к. приоритет у AD должен быть выше, но почему-то пользователь может зайти в АХ все равно.

Сколько у вас доменных контроллеров (DC)? Какой из них использует хост АОСа, к которому подключается пользователь? К какому из них подключаетесь вы для манипуляций с группой пользователей? AD - это, кроме прочего, распределенная база данных, реплики которой хранятся локально на каждом DC. Изменения, сделанные на одном контроллере, распространяются по другим постепенно, обычный интервал обмена изменениями - 15 минут. Исключение составляют блокировка пользователя и изменение пароля - такие изменения DC стараются распространить сразу же.
Так что если вы подключились к одному DC, произвели изменения в группе пользователей, а затем сразу запустили клиента АХ и подключились к АОСу, который работает с другим DC, то вполне логично, что АОС оказывается еще "не в курсе", что в доступе пользователю должно быть отказано.
Утилиты работы с AD, вроде оснастки "AD Users and Computers" или ADSIEdit, умеют подключаться к произвольному DC. Запросы от обычных приложений вроде АОСа идут к какому-то одному DC на усмотрение виндов на локальном хосте. Если вы залогинились на такой хост, можно для простоты посмотреть имя DC в переменной окружения LOGONSERVER.

[igortsk]

Цитата:

Сообщение от gl00mie

Переведите, что именно означает третий пункт.Сколько у вас доменных контроллеров (DC)? Какой из них использует хост АОСа, к которому подключается пользователь? К какому из них подключаетесь вы для манипуляций с группой пользователей? AD - это, кроме прочего, распределенная база данных, реплики которой хранятся локально на каждом DC. Изменения, сделанные на одном контроллере, распространяются по другим постепенно, обычный интервал обмена изменениями - 15 минут. Исключение составляют блокировка пользователя и изменение пароля - такие изменения DC стараются распространить сразу же.
Так что если вы подключились к одному DC, произвели изменения в группе пользователей, а затем сразу запустили клиента АХ и подключились к АОСу, который работает с другим DC, то вполне логично, что АОС оказывается еще "не в курсе", что в доступе пользователю должно быть отказано.
Утилиты работы с AD, вроде оснастки "AD Users and Computers" или ADSIEdit, умеют подключаться к произвольному DC. Запросы от обычных приложений вроде АОСа идут к какому-то одному DC на усмотрение виндов на локальном хосте. Если вы залогинились на такой хост, можно для простоты посмотреть имя DC в переменной окружения LOGONSERVER.

3) значит исключаю пользователя из группы ax users

Я понял Ввше предположение и в курсе, что нужно время на обмен
Но я смог зайти и через сутки . Сутки обмен явно не должен длится , поэтому к сожалению пока тоже вариантов нет ...

Пользователь в аксапте как мне кажется, с группами пользователей AD не особо соотносится, после создания.

>Как исправить? Что проверить?
Как ту советовали: проверять при входе, следует правда помнить что обращение к AD за информацией порой тормозит (можно наверное чтобы не отягащать пользователя ожиданием делать в отдельном потоке).

[Ivanhoe]

Цитата:

Сообщение от igortsk

1) Заводим пользователя в группу "AX users" в AD
2) Назначаем ему права в АХ
3) убираем пользователя из AD

По идее, пользователь вообще теперь не должен иметь права в АХ, т.к. приоритет у AD должен быть выше, но почему-то пользователь может зайти в АХ все равно.
Всем заранее благодарен за помощь.

Цитата:

Сообщение от igortsk

3) значит исключаю пользователя из группы ax users

В вашем сценарии не понятно, как п.1. влияет на п.2 и вообще на Акс. Как используется группа ax users применительно к Аксапте?