Оптимизация ролей #495873

Как наиболее оптимально составить список ролей и их прав? Поделитесь опытом. Устроился на работу в крупную контору.На данный момент в ней 280 пользователей 1С, УПП 8.2. Огромная куча ролей составленных в основном по должностям (например роли: НачальникОтделаКачества, МенеджерОтделаКачества и т.д.). Т.к. не было никакого регламента по правам пользователей со временем в правах развился полнейший бардак, появились роли на конкретные объекты конфы, даж на конкретных пользователей позаводили роли. Решил сделать регламент и настроить роли заново. Хотелось бы узнать как оптимальнее составить роли: по должностям, по отделам, по самим объектам конфигурации...? Чтобы потом было легко ориентироваться.

Канеш если бы была маленькая конторка, то такого вопроса бы не возникало, делал бы по должностям. А вот как лучше сделать в данной ситуации? Что потом было легко назначать роли новым пользователям.

Ты еще УТ11 не видел

надо анализировать пересекающиеся права и отсюда плясать

+100500

+200500 думаю принцип пирамиды сооруди что-то назначая по несколько ролей на увеличения разрешалок...

я все не соберусь свои роли разгрести хочу уйти от типовых, уж больно много там Пользователю позволено

А потом прибежит Маша: дайте мне права как у Тани, только еще вот этот справочник.

не, такие Маши идут лесом бегать :) только письменные распоряжения

с точки зрения производительности оптимально: 1 человек одна роль.

такая цель и стоит - уйти от типовых вот из-за этого и развелся срач, т.к. не было регламента, назначали как попало

у мня их 280 сейчас, так что не вариант )))

при использовании RLS конечно.

ну у тебя их 280, а в чем суть проблемы? ведь 280 это может быть как много (если у тебя 50 сотрудников), так и мало, если у тебя их 5000

сори не сразу понял, что 280 человек. Седелай 1 роль, одна должность.

или роль на группу пользователей

нада будет попробовать в виде пирамиды на ватмане все нарисовать))) *позвонил и заказал 2 ящика пива*

хм... в данном случае к одной группе будут относится лица делающие одно и тоже :)

охренешь рисовать. Когда дело касается документов и справочников - это одно, а когда регистров - застрелиться.

Ну будет регламент. Начальник отдела напишет служебку: "дайте Маше права как у Тани, только еще вот этот справочник." Что делать будем?

менеджеры по продажам - один профиль мены по закупкам - второй и т.д.

*перезванил и заказал еще 2 ящика* нарисовать без сильной детализации чтобы облегчить дальнейшую работу, да и для написания регламена я думаю поможет

рлс конечно хорошо, но вот под постгри(как у мну) тормозить будет жутко

а для этого и нужен регламент где прописаны должности, их обязанности, роль и права. Чтобы приведенная тобой ситуация не возникала. А если и будет возникать то слать всех в сад.

сопьешься быстрее. это я тебе гарантирую. Я для УТ зтра...лся, при 100 пользователях. И в итоге забил :) Меняю роли постепенно, в случае возникновения проблем.

а еще бывает старший менеджер, бывает менеджер, который один раз должен сделать вон за того менджера или секретаря и т.д. :)

лучше один раз сделать это и больше не лезть в роли, чем постоянно (как сейчас у меня) править роли по мере выявления проблем и нестыковок. А такое у меня ща каждый день

не поверишь. После того как ты все все приведешь в "порядок", буквально на следующий день, тебе придется править роли и выявлять не состыковки. А все почему? Если компания развивается, то оч. часто то у одного добавят обязанностей, то убавят. То этот работает за того (пока тот в отпуске). То появился новый клиент и для него надо по другой схеме работать, то надо добавить новый отчет и дать вот этим сотрудникам, а через пол часа еще 3м сотрудника, а на сл. дей выяснится что и вон тем и вон тем, но немного урезав и т.д. это бесконечный процесс. Энтропия нарастает!

вообщем прихожу к выводу что нужно сделать по такой схеме: предприятие > отделы > должности > роль > права для этой роли

раз надо сделать - дай ему другой профиль, сделал - верни взад

это все теория.

сейчас как раз таки и ловлю момент, т.к. большая часть предприятия закроется на ремонт ввиду расширения производства месяца на 2-3, после этого затишья я наврятли разгребу хоть когда нибудь этот срач.

Дело хорошее, но в бардаком я бы посчитал только роли "на отдельных пользователей". А роли "по отделам/должностям" и "по объектам", я бы оставил.

там бардак во всем, у большинства ролей неправильный набор прав и т.д. и т.п.

это практика... я часть народа уже перевел на такую работу но у мну их мало - всего 35-40 нааберется

иногда доходило до истерики у меня: кладовщик имел почти все права на все, зато исполнительный директор только чтение))))

тебе виднее, конечно. Но это колоссальный объем работы. очень много зависит от того, как написана конфа и какой уровень порядка хочешь обеспечить.

пачкой соли на мою рану служит еще то, что в некоторых модулях документов есть привязка к роли

удачи в этом деле.

в ITILе есть управление доступом, пачитай

убирай из кода эту хрень если без нее не обойтись - сделай регСведений и процедуру в общем модуле считывания из него данных для определения доступа

ну это понятно что нада убирать, просто добавится работы еще мне Помнится гдето на инфостате видел что-то полезное по управлению пользователями и правами, чето не могу найти

Исполнительный прав. Когда нет права менять, то можно драть других. А когда есть права изменять, то есть соблазн исправить - "помочь"