Vsebina TechKnowledge
Izdaja varnostnih
namigov in nasvetov za Navision.
Nastavitev
varnosti ločljivosti v možnosti »Navision Financials« in »V skladu s tem« je običajno območje zmede. Poleg tega je treba analizirati varnost privzetega stanja iz zbirke podatkov za predstavitev na CD-ju in se pogovoriti, da se v celoti pripravite na izvajanje varnosti na spletnem mestu podjetja. Ta dokument je namenjen kritju nekaterih osnovnih informacij, povezanih z varnostjo, in zagotavljanje dodatnih informacij za nekatere pogoste težave, ki so bile prijavljene.
Osnove programa Navision Attain ali Navision FinancialsSecurity
1. Varnost je sestavljena iz dveh glavnih razdrobljencev: »ID-ji uporabnikov in gesla« in »Dovoljenja«. Ta dokument se bo osredotočal predvsem na razdrobljenost Dovoljenja. Podrobna razprava o razdrobljenih uporabniških ID-jih in geslih, še posebej v zvezi z različico 2.60B in novejšimi različicami Windows preverjanje pristnosti zbirke podatkov, je opisana v članku Dodatni viri, povezani s tem člankom v zbirki znanja.
2. Razdrobljena dovoljenja so sestavljena iz vlog (različica 2.60 in novejše različice) ali skupin (pred različico 2.60) v zbirki podatkov za predstavitev. (IzrazRoli bodo uporabljeni sopomenke z vlogami ali skupinami).
Vloge so sestavljene iz vnaprej uveljavljenega seznama vrst predmetov, števil in ravni dostopa (branje, vstavljanje, spreminjanje, brisanje, izvajanje). Vsako raven dostopa lahko nastavite na »Da«. Če je izbrana možnost »Da« , ima uporabnik neposredno to raven dostopa. Če je na primer v polje »Branje« vnesena vrednost »Da« za predmet, lahko vedno neposredno dostopate do informacij in jih preberete neposredno. Če je izbrana možnost »Posredno« je dovoljenje veljavno le, če ga uporabljate z drugim predmetom, za kar imate dovoljenje. Vnosov G/L na primer ne morete ustvariti neposredno, vendar le »posredno« z uporabo funkcije objavljanja. Če je polje prazno, nimate tega dovoljenja.
3. Vloge BasePermission temeljijo na dovoljenjih ravni predmeta. Na voljo je sedem vrst predmetov, ki jih tvori »Permissions«: tabele, obrazci, poročila, podatkovnaporta, enote kode, sistem in podatki tabele. Prvih pet – tabele, obrazci, poročila, podatkovna polja in enote kode – predstavlja osnovne predmete, ki tvori zbirko podatkov navision. Vključitev teh dovoljenj vrste predmetov je precej očitna. Drugi dve vrsti varnostnega predmeta pa sta manj očitni in bosta podrobneje opisani v naslednjih dveh razdelkih.
4. Vrsta sistemskega predmeta vključuje dostop do možnosti »Meni« v možnostih »Navision Zapolnjeno« ali »Finance«, na primer dostop do podatkovnega | Možnosti zbirke podatkov in možnosti spustnega menija Orodja. Sistemska dovoljenja bodo nadzirala dostop do območij Razvoj v razdelku Orodja, ob predvidevanju, da licenca za stranko omogoča dostop do območja za razvoj.
Opomba Če stranka nima licence za razdrobljeno številko, ne bo imela dostopa do tega območja sistema. Licenca postane najvišja raven nadzora nad dostopom do določenih območij za doseganje ali finance.
Poleg tega dostop do varnosti v navisionu nadzira sistemska dovoljenja. Spustni meni za urejanje, ki vključuje dostop do filtriranja in vnosa podatkov, je nadzorovan tudi prek sistemskih dovoljenj.
5. Vrsta predmeta Tabledata nadzira dostop do informacij in podatkov, ki so jih vnesli uporabniki. Predmet tabele zagotavlja strukturo za shranjevanje podatkov. Podatki tabele so dejanski podatki, ki so v tem območju shrambe. Za ogled podatkov mora uporabnik imeti dostop do tabele in podatkov tabele.
V povezavi s tabelami in podatki Tabele mora tudi uporabnik imeti dostop do obrazca ali poročila, če si želite ogledati podatke. Če imate nadzor nad dostopom do podatkov, imate tudi nadzor nad tem, do katerih podjetij je mogoče dostopati. To upravljate z dovoljenji ID-ja uporabnika v razdelku Vloge.
6. Preden se v celoti poglobite v dovoljenja, morate razumeti osnovno mesto uporabe. Če želite, da uporabnik vidi informacije, mora imeti uporabnik za ogled informacij obrazec ali poročilo. Obrazci so zasloni in meniji za ogled informacij v vrstici (kot je kartica stranke ali meni za nastavitev), medtem ko se poročila tiskajo v dokumente. Poleg dejanskih predmetov, ki se uporabljajo za ogled podatkov (tj. obrazca ali poročila), mora uporabnik imeti tudi dostop do predmeta Execute the Table in nekatere ravni dostopa za branje do podatkov tabele. Če katera koli od teh kombinacij vrsta predmeta manjka (npr. obrazec/tabela/tabelaPodatkovnaDa ali poročilo/tabela/tabelaPodatkov), uporabnik ne bo imel dostopa do želenih informacij.
7. V vsaki od različic programa ali Finance je prva vloga, ki jo je treba določiti, "SUPER". Tej vlogi mora biti dodeljena vsaj ena uporabniška VLOGA, prvi uporabnik pa mora biti dodeljen SUPER. Ko pregledate dovoljenja vloge SUPER, boste videli, da je dodeljenih vseh sedem zgoraj navedenih vrst predmetov. Vsaka vrsta predmeta je podana z ID-jem predmeta »0« in raven Accessa, nastavljeno na »Da« za vse vrste predmetov. »0« v polju ObjectID predstavlja, da so dodeljeni vsi predmeti v tej vrsti predmeta. Možnost »Da« na ravni dostopa pomeni, da lahko SUPERUSER prebere, vstavi, spremeni, izbriše in izvede za vse predmete. Če je predmet vključen v licenco, bo uporabnik lahko v celoti dostop do tega območja.
Poleg najmanjšega od enega uporabnika SUPER na spletnem mestu odjemalca, je zaželeno, da je NSC nastavil svojega uporabnika SUPER, ki je bil vzpostavljen s strani podjetja. Tako bo lahko storitev NSC dostopala do vseh podatkov v zbirki podatkov, če uporabnik SUPER na spletnem mestu Stranke odide od doma, drugih pa ne obvesti o teh informacijah. V nasprotnem primeru morate za dostop do zbirke podatkov upoštevati postopke preglasitve. TheNavision Break inAuthorizationform is included in all of our manualsor youvision contact Navision Support for the form. Seveda pa se pogovorite o nastavitvi ID in gesla središča za rešitve s stranko, s tem pa se prepričajte, da to odobrijo.
8. Za vse uporabnike, ki jim ni dodeljena vloga SUPER, mora biti dodeljena vloga, imenovana VSE. AllRole ima osnovni dostop do predmetov, ki ga mora imeti vsak uporabnik. Za vsakega uporabnika navision je zahtevana nekatera raven dostopa za branje do namestitvenih tabel in podatkov tabledata ter drugih sistemskih območij, zato je storitev ALLRole namenjena temu osnovnem dostopu. Vendar pa bo treba v allRole v celoti uporabiti to vlogo, preden bo ta vloga v celoti vključitev v vse. Še posebej je vrstica ALLRole vzpostavljena za »Obrazec 0« z pravicami za izvedbo, nastavljenimi na »Da«.
Težava je v tem, da so v kombinaciji z drugimi vlogami, ki dajejo pravice za transakcije s objavo, kot so »R-Q/O/I/C, POST« in »P-Q/O/I/C, POST« in za nekatere stranke obstaja pomemben izenač vrednost zavarovanja. Še posebej v polju je treba za te vloge za »OBJAVO« določiti vrstico za ID predmeta TableData 17, ki je tabela za vnos G/L, za dostop za branje pa je nastavljena možnost »DA«. Ta dostop do dovoljenj v kombinaciji z vrstico »VSE vloge« v obrazcih 0 in tabelah 0 omogoča uporabniku poln dostop do pregleda tabele za vnos g/l in ogled transakcij splošne glavnine na zaslonu, še posebej podrobnih transakcij prihodka in stroškov. To je morda neželeno za nekatere stranke, zato jo boste morali obravnavati z nekaterimi spodnjimi rešitevami.
Če želite odpraviti težavo z dostopom do vnosa G/L, lahko naredite nekaj od tega. Najprej boste morda morali ustvariti novo vlogo »ALL« z imenom »ALL-NOFORMS«. Nato boste uporabili funkcijo Windows kopirajte in kopirajte vrstice Dovoljenja iz vloge »VSE« in jih prilepite v vlogo »ALL-NOFORMS«. Nato boste izbrisali črto za Obrazec 0 – Execute 'Yes' iz ALL-NOFORMS. Nato boste ustvarili nove vloge za vsako delujočo območje, ki bo posameznikom dala dovoljenja za posamezne obrazce, potrebne za to funkcionalno območje.
Druga sprememba, ki jo bo uporabnik morda želel upoštevati, je sprememba kode 12 Dovoljenja, povezana z branjem vnosne tabele za G/L. To naredite tako: Orodja
za A.Access | Načrtovalnik predmetov.
B.Select Codeunit 12.
C. Izberite gumb Načrt.
D. Izberite ikono Lastnosti.
E. Kliknite polje Vrednost v vrstici Dovoljenja.
F. Izberite gumb za tri pike (...).
G. V vrstici ID predmeta 17 potrdite polje »Dovoljenje za branje«.
Ko je ta postopek končan, lahko uporabnik izbere katero koli od vlog za objavo, ki so navedene zgoraj, in spremeni možnost »Da« v razdelku Dovoljenje za branje za podatke v tabeli 17 – tabela za vnos G/L – na »Posredno«. Če dokončate to spremembo, bo uporabnik lahko objavljal račun in bo lahko s postopkom objavljanja ustvaril nov vnos v tabeli s splošnimi glavnimi knjigami. Toda če spremenite dovoljenje za branje v Neposredno, uporabnik ne bo imel dostopa do tabele splošne glavnine glavnine s prikazom na ravni z več podrobnostmi v polju »Grafikon za neto spremembo računa«. Druga sprememba bo delovala le pri možnosti Izvorno, ne pa tudi pri SQL Server spremembe.
Dodatni viri
1. Glejte Dodatne informacije za dokument pomoči – #12462 – varnostne funkcije Nasveti in nasveti. Če želite prenesti ta dokument, obiščite to Microsoftovo spletno mesto:
https://mbs.microsoft.com/downloads/customer/tk28331.doc 2. Glejte članek v zbirki znanja 858242– NF 2.60 in Windows preverjanje pristnosti v SQL Server možnosti.
3. Glejte članek v zbirki znanja 874362 – nastavitev varnosti plačne
liste 4. Glejte članek v zbirki znanja
858244– razlika med ID-jem uporabnika in geslom je razdrobljena v storitvi Microsoft Dynamics NAV
5. Glejte članek v zbirki znanja 858921– Windows s finančnimi podatki 2.60.
Ta članek je bil TechKnowledge DOCUMENT ID:28331
