Смоделируем ситуацию

[arseniy]

Клиент покупает продукт и получает лицензию, соответствующую купленным гранулам. Некоторые отчеты он решил сделать сам. В лицензии есть гранула на создание 10 отчетов. Центр решений дорабатывал функционал под него и создавал дополнительные отчеты. Ситауция: Заказчик не хочет, чтобы его программист, которого научили создавать дополнительные отчеты, смог запускать и просматривать финансовые отчеты, сформированные для руководства. Вопрос: Сможет ли програмист запускать или модифицировать эти отчеты. Необходимо, чтобы при попытке модификации отчета - ему было отказано в доступе - возможно ли это принципиально?

[komar]

Ситуация как-то не моделируется....Вам нужно, чтобы он мог модифицировать, но не мог запускать? А как он тогда будет их тестировать?
Или чтобы вообще не имел доступа к отчетам?

[arseniy]

Чтобы мог создавать положенные ему 10 отчетов, но не мог запускать и модифицировать отчеты некоторые важные отчеты

[Тимур]

Думаю это не возможно в рамках одной базы данных.
Может отчеты разрабатывать в одной базе, а переносить в рабочую. В которую доступ программисту ограничен администратором. Например, в его присутствии импортирует отчеты.

Простите, а как же права доступа ?

[Perec]

Вопрос был по Navision Attain (по крайней мере в размещен в разделе форума по Attain).

Как в Navision Attain ограничить пользователя так, чтобы:

Цитата:

Чтобы мог создавать положенные ему 10 отчетов, но не мог запускать и модифицировать отчеты некоторые важные отчеты

Ответ касательно этого частного случая.

1. Администратор (тот кто настраивает права всем) создает пустые отчеты в диапазоне нужных 10 номеров. (Т.е. просто нажимает создать, задает номер и сохраняет объект).

2. Создаем новую роль для разработчика отчетов.
Права на отчеты даем, например, такие:
Тип Объекта Объект ID Название Объекта Чтение Вставка Изменение Удаление Выполнение
Report 0 Да
Report 50001 Да Да Да Да Да
...
Report 50010 Да Да Да Да Да

Т.е. не даем для всех отчетов права на Вставку, Изменение, Удаление, Выполнение, но для созданных даем эти право. Можно просто разрешить работать только с нужными отчетами, но это не хорошо, т.к. нужно иногда смотреть как реализованы другие отчеты, поэтому оставляем доступ на "Чтение", т.е. просмотр структуры отчеты, но не на запуск.

3. Как вы раздадите права на Table Data, Table, Form, CodeUnit - дело ваше, только не забудте дать необходимый минимум, для запуска Navision.
(Лучше всего разрешить все, но запретить доступ к особо важным Table Data, тогда структура важных таблиц будет доступна, а данные нет).
И, конечно, не забудьте запретить Вставку, Изменение, Удаление для Table Data: Пользователь, Участник, Право Доступа, чтобы пользователь не мог сам добавить себе прав.

Table Data 2000000002 Пользователь
Table Data 2000000003 Участник
Table Data 2000000005 Право Доступа


P.S. Чуть не забыл... запретите ему делать BackUp базы...

[arseniy]

Спасибо за подробный и исчерпывающий ответ.

[Тимур]

Хм. Как же программер будет тестировать отчет, если не сможет его править?

Думаю, что вариант нужно применять в сочетании с моим (то есть в рабочей базе разрешать создавать только отчеты).

[Perec]

To Тимур:

В соответствии с предложенным решением программист имеет полную "власть" над отчетами в рамках своего диапазона, он может их править, запускать и как угодно тестировать, но у других отчетов он сможет просматривать только структуру отчета и не сможет запускать их...

Хотя соглашусь, что удобнее создавать отчеты в отдельной "тестовой" базе.

[Тимур]

Все
въехал.

Имелись ввиду конкретные отчеты, а не все вцелом.

[Тимур]

А в какой таблице хранятся права доступа?

[Perec]

В NAT настройка прав доступа хранится в таблице: №2000000005 Permission (Право Доступа).

[Тимур]

К ней доступ программисту тоже бы надо запретить.

[Perec]

Так я про это же нАписал.

[Тимур]

сорри.
не въехал в пост