AXForum  
Вернуться   AXForum > Microsoft Dynamics AX > DAX: Администрирование
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 10.08.2020, 15:55   #1  
mazzy is offline
mazzy
Участник
Аватар для mazzy
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
29,472 / 4494 (208) ++++++++++
Регистрация: 29.11.2001
Адрес: Москва
Записей в блоге: 10
ax2012: Как создать правильную роль для разработчика?
преамбула:
- в ax2012 перехерачили систему прав доступа по сравнению с прошлыми версиями
- выключение лицензионных и конфигурационных ключей в ax2012 может привести к нежелательным побочным эффектам (на view, на унаследованных таблицах, на временных)
- с другой стороны, разработчикам обычно ставят роль "системный администратор". Эта роль открывает всё-всё-всё, включая неиспользуемый функционал.

вопрос:
- есть ли роль разработчика, а если такой роли нет, то как создать правильную роль для разработчика?

правильная роль для разработчика должна:
- не содержать стандартную роль "системный администратор"
- открывать доступ к средствам и инструментам разработки
- открывать доступ ко всем системным настройкам типа database log, aif, dmf, cleanup и т.п.
- но не открывать доступ в пользовательском интерфейсе к неиспользуемым модулям (whs, payroll, retail, recruiter и т.п. по выбору), чтобы тупо не мешалось в интерфейсе

другими словами:
какова методика создания роли для разработчика?
__________________
полезное на axForum, github, vk, coub.

Последний раз редактировалось mazzy; 10.08.2020 в 15:58.
Старый 10.08.2020, 18:48   #2  
EVGL is offline
EVGL
Banned
Соотечественники
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
 
4,445 / 3001 (0) ++++++++++
Регистрация: 09.07.2002
Адрес: Parndorf, AT
Разработчика в разработческой системе или разработчика в тестовой системе или разработчика в продуктивной системе?
Старый 10.08.2020, 21:43   #3  
mazzy is offline
mazzy
Участник
Аватар для mazzy
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
29,472 / 4494 (208) ++++++++++
Регистрация: 29.11.2001
Адрес: Москва
Записей в блоге: 10
Цитата:
Сообщение от EVGL Посмотреть сообщение
... или ... или ...?
зачем "или"?
расскажите о всех. И расскажите о разнице между ними.
__________________
полезное на axForum, github, vk, coub.
Старый 10.08.2020, 22:50   #4  
EVGL is offline
EVGL
Banned
Соотечественники
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
 
4,445 / 3001 (0) ++++++++++
Регистрация: 09.07.2002
Адрес: Parndorf, AT
Цитата:
Сообщение от mazzy Посмотреть сообщение
зачем "или"?
расскажите о всех. И расскажите о разнице между ними.
В конечном итоге, разницы не будет, действительно, поскольку рано или поздно база данных из продуктивной системы будет скопирована во все остальные.

В продуктивной системе мой текущий клиент пришел к тому, что системный администратор остался у одного-двух человек, а "внесистемные администраторы" получили:
[- открывать доступ к средствам и инструментам разработки] в D365 неактуально
- доступ ко всем системным настройкам типа database log, aif, dmf, cleanup и т.п. (хотя в D365 неактуально)
- неиспользуемый функционал, поскольку настройщикам было банально лень (притом whs - вообще наиболее активно используемый функционал, retail тоже частями типа иерархий категорий)
Старый 10.08.2020, 23:03   #5  
mazzy is offline
mazzy
Участник
Аватар для mazzy
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
29,472 / 4494 (208) ++++++++++
Регистрация: 29.11.2001
Адрес: Москва
Записей в блоге: 10
я повторю свой вопрос:

ax2012: Как создать правильную роль для разработчика?
__________________
полезное на axForum, github, vk, coub.
Старый 10.08.2020, 23:21   #6  
EVGL is offline
EVGL
Banned
Соотечественники
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
 
4,445 / 3001 (0) ++++++++++
Регистрация: 09.07.2002
Адрес: Parndorf, AT
Ок, понял. Создать новую роль как суперпозицию всех возможных ролей пользователей. Назначить ее разработчику.
P.S. В D365 это делается опосредованно в один момент (как роль из ролей). В Ax2012, похоже, все Duties в явном виде включать придется.

Последний раз редактировалось EVGL; 10.08.2020 в 23:25.
Старый 10.08.2020, 23:24   #7  
mazzy is offline
mazzy
Участник
Аватар для mazzy
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
29,472 / 4494 (208) ++++++++++
Регистрация: 29.11.2001
Адрес: Москва
Записей в блоге: 10
Цитата:
Сообщение от EVGL Посмотреть сообщение
Ок, понял. Создать новую роль как суперпозицию всех возможных ролей пользователей. Назначить ее разработчику.
какая именно роль дает доступ к средствам и инструментам разработки?
__________________
полезное на axForum, github, vk, coub.
Старый 10.08.2020, 23:37   #8  
oip is offline
oip
Axapta
Лучший по профессии 2014
 
2,564 / 1416 (53) ++++++++
Регистрация: 28.11.2005
Записей в блоге: 1
Цитата:
Сообщение от mazzy Посмотреть сообщение
- не содержать стандартную роль "системный администратор"
- открывать доступ к средствам и инструментам разработки
Никак.
Старый 10.08.2020, 23:37   #9  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,305 / 3538 (124) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от mazzy Посмотреть сообщение
преамбула:
- в ax2012 перехерачили систему прав доступа по сравнению с прошлыми версиями
- выключение лицензионных и конфигурационных ключей в ax2012 может привести к нежелательным побочным эффектам (на view, на унаследованных таблицах, на временных)
- с другой стороны, разработчикам обычно ставят роль "системный администратор". Эта роль открывает всё-всё-всё, включая неиспользуемый функционал.

вопрос:
- есть ли роль разработчика, а если такой роли нет, то как создать правильную роль для разработчика?

правильная роль для разработчика должна:
- не содержать стандартную роль "системный администратор"
- открывать доступ к средствам и инструментам разработки
- открывать доступ ко всем системным настройкам типа database log, aif, dmf, cleanup и т.п.
- но не открывать доступ в пользовательском интерфейсе к неиспользуемым модулям (whs, payroll, retail, recruiter и т.п. по выбору), чтобы тупо не мешалось в интерфейсе

другими словами:
какова методика создания роли для разработчика?
Систему прав доступа действительно переделали, но вместе с ней переделали и идеологию выдачи прав доступа разработчикам.
Предполагается, что:
1. Разработчик имеет права везде и на всё. Это логично и правильно, ибо он всё равно сможет при желании докопаться до всего, что якобы закрыто. Такой доступ обеспечивает роль "Системный администратор", поэтому её назначают всем разработчикам.
2. Выключение конфигурационных ключей теоретически не должно ничему помешать, т.к. поля и таблицы из БД не удаляются (но удаляются данные). На практике предполагается, что у разработчика есть индивидуальная виртуальная машина, на которой включено всё, поэтому если следовать "заветам от Microsoft", то разработчик должен видеть все неиспользуемые модули.
3. Роли разработчика нет и создать её нельзя. Разработчику нужно давать роль Системный администратор (см п.1)
4. Разработчик на то и разработчик, чтобы работать в интерфейсе разработчика, следовательно наличие у него прав в дополнительные модули не должно его смущать.

Роль, открывающая доступ к средствам разработки всего одна - Системный администратор, а она сразу по сути отключает какие-либо ограничения по функционалу и данным для пользователя.

В контексте дальнейшего развития (D365FO и Visual Studio) такая концепция вполне себя оправдывает (на мой взгляд)
__________________
Возможно сделать все. Вопрос времени
Старый 10.08.2020, 23:45   #10  
EVGL is offline
EVGL
Banned
Соотечественники
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
 
4,445 / 3001 (0) ++++++++++
Регистрация: 09.07.2002
Адрес: Parndorf, AT
Цитата:
Сообщение от oip Посмотреть сообщение
Никак.
Точно, беру свои советы обратно.
А в D365 вопрос сам собой отпадает
.
Цитата:
Сообщение от sukhanchik Посмотреть сообщение
В контексте дальнейшего развития (D365FO и Visual Studio) такая концепция вполне себя оправдывает (на мой взгляд).
Да нет, в D365FO можно полностю разделить эти два вопроса. Права - правами, а разработка - разработкой.

Последний раз редактировалось oip; 10.08.2020 в 23:57.
Старый 10.08.2020, 23:45   #11  
oip is offline
oip
Axapta
Лучший по профессии 2014
 
2,564 / 1416 (53) ++++++++
Регистрация: 28.11.2005
Записей в блоге: 1
А еще разработчику в некоторых случаях приходится давать роль Security Administrator, так как без нее пользователь не будет, например, админом Management Reporter.
За это сообщение автора поблагодарили: Logger (3).
Старый 11.08.2020, 06:55   #12  
Raven Melancholic is offline
Raven Melancholic
Участник
Аватар для Raven Melancholic
Самостоятельные клиенты AX
Лучший по профессии 2015
 
2,164 / 1293 (48) ++++++++
Регистрация: 21.03.2005
Адрес: Москва-Петушки
Цитата:
но не открывать доступ в пользовательском интерфейсе к неиспользуемым модулям (whs, payroll, retail, recruiter и т.п. по выбору), чтобы тупо не мешалось в интерфейсе
На мой взгляд, слишком ограничительное требование. Возможно, если разработчик работает только строго по тому, что расписал консультант, причем до самых мелочей, но такое не часто встречается.
Я считаю, что разработчик должен всегда иметь возможность посмотреть "а как там сделано у них". Часто если не будет прав на интерфейс это будет сложно - только по коду, без настроек, без хотя бы небольшого количества данных и прохода отладчиком понять что-то сложно.
Старый 11.08.2020, 08:14   #13  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,305 / 3538 (124) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от EVGL Посмотреть сообщение
Да нет, в D365FO можно полностю разделить эти два вопроса. Права - правами, а разработка - разработкой.
А это смотря с какой стороны смотреть. Если с позиции, что у каждого разработчика должна быть своя виртуалка, то права на этой виртуалке у разработчика должны быть админские. Если в 2012 также разделять разработку - то права также должны быть админские.
__________________
Возможно сделать все. Вопрос времени
Старый 11.08.2020, 08:38   #14  
Raven Melancholic is offline
Raven Melancholic
Участник
Аватар для Raven Melancholic
Самостоятельные клиенты AX
Лучший по профессии 2015
 
2,164 / 1293 (48) ++++++++
Регистрация: 21.03.2005
Адрес: Москва-Петушки
Цитата:
Сообщение от sukhanchik Посмотреть сообщение
2. Выключение конфигурационных ключей теоретически не должно ничему помешать, т.к. поля и таблицы из БД не удаляются (но удаляются данные)...
Обычно это так, но есть беда - перестают синхронизироваться вьюхи, в которых есть поля, выбираемые из параметрических таблиц, если поле имеет ключ непосредственно в поле. Начинает кричать, что поля нет. Причем само поле в базе остается, а вот механизм генерации вьюх что-то глючит. Сейчас навскидку не помню на каком именно поле и вьюхе наткнулись на такое, но точно было.
За это сообщение автора поблагодарили: sukhanchik (8), Logger (3).
Старый 11.08.2020, 10:37   #15  
Logger is offline
Logger
Участник
Лучший по профессии 2015
Лучший по профессии 2014
 
3,936 / 3229 (115) ++++++++++
Регистрация: 12.10.2004
Адрес: Москва
Записей в блоге: 2
Цитата:
Сообщение от sukhanchik Посмотреть сообщение
3. Роли разработчика нет и создать её нельзя. Разработчику нужно давать роль Системный администратор (см п.1)
...
Роль, открывающая доступ к средствам разработки всего одна - Системный администратор, а она сразу по сути отключает какие-либо ограничения по функционалу и данным для пользователя.
Интересно, а зачем наряду с методом
Global::isSystemAdministrator
есть метод
Global::isDeveloper

Эти методы, соответственно, вызывают методы ядра
\System Documentation\Classes\SecurityRights\isSystemAdministrator
\System Documentation\Classes\SecurityRights\isDeveloper

Это эквивалентные вещи ?
За это сообщение автора поблагодарили: sukhanchik (4).
Старый 11.08.2020, 11:19   #16  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,305 / 3538 (124) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от Logger Посмотреть сообщение
Интересно, а зачем наряду с методом
Global::isSystemAdministrator
есть метод
Global::isDeveloper

Эти методы, соответственно, вызывают методы ядра
\System Documentation\Classes\SecurityRights\isSystemAdministrator
\System Documentation\Classes\SecurityRights\isDeveloper

Это эквивалентные вещи ?
Видел эти методы. Сам не понял, чем они отличаются. Я всегда использовал Global::isSystemAdministrator
Здесь https://community.dynamics.com/ax/f/...-rights/274292 говорят о том, что нельзя дать права разработчика без прав системного администратора
__________________
Возможно сделать все. Вопрос времени
Старый 11.08.2020, 15:38   #17  
SRF is offline
SRF
Участник
MCBMSS
Axapta Retail User
 
372 / 562 (19) +++++++
Регистрация: 08.08.2007
Записей в блоге: 1
Цитата:
Сообщение от Logger Посмотреть сообщение
Это эквивалентные вещи ?
Скорее всего зависит от лицензии, если на разработку её нет, то разные, а вот если есть, то одинаковые.
__________________
Sergey Nefedov
За это сообщение автора поблагодарили: Logger (3).
Старый 11.08.2020, 17:50   #18  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,305 / 3538 (124) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
А разве можно в 2012 не иметь лицензии на разработку, имея роль системного администратора?
__________________
Возможно сделать все. Вопрос времени
Старый 11.08.2020, 17:51   #19  
EVGL is offline
EVGL
Banned
Соотечественники
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
 
4,445 / 3001 (0) ++++++++++
Регистрация: 09.07.2002
Адрес: Parndorf, AT
Цитата:
Сообщение от sukhanchik Посмотреть сообщение
А разве можно в 2012 не иметь лицензии на разработку, имея роль системного администратора?
Можно, если поотключать лицензионные ключи.
За это сообщение автора поблагодарили: sukhanchik (8).
Старый 12.08.2020, 13:40   #20  
Pokersky09 is offline
Pokersky09
Участник
 
43 / 60 (3) ++++
Регистрация: 15.11.2012
Адрес: Turkey
Больше всего удивило наличие проверки на Global::isDeveloper в D365 в объектах SysTableBrowser. Мне кажется isDeveloper стало архаизмом в рамках D365.

По поводу разделения на D365 (не в тему, но тем не менее) На дев боксах даже если не дать доступа к базе данных, полученной методом копирования с рабочей, можно всегда воспользоваться AOSService\PackagesLocalDirectory\Bin\AdminUserProvisioning.exe и указанная тобою почта получает безусловный полный админ доступ к юзер интерфейсу.
За это сообщение автора поблагодарили: Logger (3).
 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
ax2012: Не удается создать сеанс. Подтвердите, что пользователь имеет соответствующие привилегии для входа в Microsoft Dynamics. mazzy DAX: Администрирование 5 30.06.2020 16:11
stephenmann: Technical History of Dynamics AX - From Axapta 3.0 to AX2012 Blog bot DAX Blogs 5 03.03.2017 10:22
dynamicsax-fico: Invoice search AX2012 vs. AX7 (Part 2) Blog bot DAX Blogs 0 01.04.2016 10:11
AX2012 Роль, ограничивающая права пользователя ПРОСМОТРОМ всего функционала AX AnnV DAX: Администрирование 11 08.05.2015 21:54

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 23:02.
Powered by vBulletin® v3.8.5. Перевод: zCarot
Контактная информация, Реклама.