TechKnowledge Content
ออก
เคล็ดลับและเคล็ดลับด้านความปลอดภัยของ Navision
การแก้ปัญหา
การตั้งค่าความปลอดภัยใน Navision Financials และ Attainis โดยทั่วไปแล้วมักจะเป็นความสับสน นอกจากนี้ ความปลอดภัยในสถานะเริ่มต้นจากฐานข้อมูลการสาธิตบนซีดีจะต้องได้รับการวิเคราะห์และอภิปรายกันเพื่อเตรียมพร้อมอย่างสมบูรณ์เพื่อปรับใช้การรักษาความปลอดภัยที่ไซต์บริษัท เอกสารนี้มีวัตถุประสงค์เพื่อให้ครอบคลุมข้อมูลพื้นฐานบางอย่างที่เกี่ยวข้องกับการรักษาความปลอดภัย และให้ข้อมูลเพิ่มเติมเกี่ยวกับปัญหาทั่วไปบางอย่างที่ได้รายงาน
พื้นฐานของ Navision Attain หรือ Navision FinancialsSecurity
1. ความปลอดภัยประกอบด้วยสอง granules หลัก: 'ID ผู้ใช้และรหัสผ่าน' และ 'สิทธิ์' เอกสารนี้จะเน้นเป็นหลักในการให้สิทธิ์ ดูการอภิปรายโดยละเอียดเกี่ยวกับรหัสผู้ใช้และ Granule Password โดยเฉพาะอย่างยิ่งเนื่องจากเกี่ยวข้องกับเวอร์ชัน 2.60B และเวอร์ชันที่ใหม่กว่า Windows ปัญหาการรับรองความถูกต้องและการรับรองความถูกต้องฐานข้อมูล ให้ดูแหล่งข้อมูลเพิ่มเติมที่ลิงก์กับบทความฐานความรู้นี้
2. Granule Permissions ประกอบด้วย บทบาท (เวอร์ชัน 2.60 และใหม่กว่า) หรือกลุ่ม (เวอร์ชันก่อนเวอร์ชัน 2.60) ในฐานข้อมูลการสาธิต (ต่อจากนี้ จะใช้ termRoles กับบทบาทหรือกลุ่ม)
บทบาทจะสร้างขึ้นจากรายการชนิดวัตถุ ตัวเลข และระดับของ Access ที่สร้างไว้ล่วงหน้า (อ่าน แทรก ปรับเปลี่ยน ลบ Execute) แต่ละระดับการเข้าถึงสามารถตั้งค่าเป็น 'ใช่', 'ทางอ้อม' หรือ 'ไม่ใช่' ถ้าเลือก 'ใช่' ผู้ใช้จะมีระดับการเข้าถึงโดยตรง ตัวอย่างเช่น ถ้าป้อน 'ใช่' ในเขตข้อมูล อ่าน ของวัตถุ คุณสามารถเข้าถึงและอ่านข้อมูลได้โดยตรงเสมอ ถ้าเลือก 'ทางอ้อม' สิทธิ์จะใช้งานได้เฉพาะเมื่อใช้กับวัตถุอื่นที่คุณมีสิทธิ์เท่านั้น ตัวอย่างเช่น คุณไม่สามารถสร้างรายการ G/L ได้โดยตรง แต่เฉพาะ 'ทางอ้อม' เท่านั้นที่ใช้ฟังก์ชันการโพสต์ ถ้าเขตข้อมูลว่างเปล่า คุณจะไม่มีสิทธิ์นี้
3. บทบาท BasePermission จะยึดตามสิทธิ์ระดับวัตถุ มี 7 ชนิดวัตถุที่สร้างสิทธิ์: ตาราง ฟอร์ม รายงาน รายงาน Dataports Codeunits ระบบ และ Tabledata ห้ารายการแรก - ตาราง ฟอร์ม รายงาน Dataport และ Codeunits - คือวัตถุพื้นฐานที่สร้างฐานข้อมูล Navision การรวมชนิดวัตถุเหล่านี้ในสิทธิ์จะค่อนข้างชัดเจน อย่างไรก็ตาม อีกสองชนิดวัตถุการรักษาความปลอดภัยจะมีความชัดเจนน้อยลงและจะมีการพูดคุยอย่างละเอียดในสองส่วนถัดไป
4. ชนิดของวัตถุของระบบจะรวมการเข้าถึงตัวเลือกเมนูใน Navision Attain หรือ Financials เช่น access to the File | ตัวเลือกฐานข้อมูลและตัวเลือกดรอปดาวน์ เครื่องมือ สิทธิ์ของระบบจะควบคุมการเข้าถึงพื้นที่การพัฒนาภายใต้เครื่องมือ โดยถือว่าสิทธิ์การใช้งานของลูกค้ามีการเข้าถึงพื้นที่การพัฒนา
หมายเหตุ ถ้าลูกค้าไม่มีสิทธิ์การใช้งานใน Granule พวกเขาจะไม่สามารถเข้าถึงพื้นที่นั้นของระบบได้ สิทธิ์การใช้งานจะกลายเป็นระดับสูงสุดในการควบคุมการเข้าถึงพื้นที่เฉพาะของ Attain หรือ Financials
นอกจากนี้ การเข้าถึงความปลอดภัยของ Navision จะถูกควบคุมผ่านสิทธิ์ของระบบ เมนูดรอปดาวน์ แก้ไข ซึ่งรวมถึงการเข้าถึงการกรองและการป้อนข้อมูล จะถูกควบคุมผ่าน สิทธิ์ของระบบ ด้วย
5. Tabledata Object Type คือการควบคุมการเข้าถึงแบบฟอร์มและข้อมูลที่ป้อนโดยผู้ใช้ วัตถุตารางมีโครงสร้างในการเก็บข้อมูล Tabledata คือข้อมูลจริงที่ถูกวางลงในพื้นที่เก็บข้อมูลนี้ เมื่อต้องการดูข้อมูล ผู้ใช้ต้องมีสิทธิ์เข้าถึง ตาราง และ Tabledata
ใช้ร่วมกับตารางและ Tabledata ผู้ใช้ยังต้องมีสิทธิ์ในการเข้าถึงฟอร์มหรือรายงานเพื่อดูข้อมูลอีกด้วย ด้วยการควบคุมการเข้าถึงข้อมูลเกิน คุณจะสามารถควบคุมบริษัทที่สามารถเข้าถึงได้ สิทธิ์นี้จะถูกควบคุมบน สิทธิ์ของ ID ผู้ใช้ ภายใต้ บทบาท
6. ก่อนที่จะเจาะลึกลงใน สิทธิ์ ต้องเข้าใจภายในองค์กรพื้นฐานก่อน เพื่อให้ผู้ใช้เห็นข้อมูล ผู้ใช้จะต้องมีฟอร์มหรือรายงานเพื่อดูข้อมูล ฟอร์มคือหน้าจอและเมนูเพื่อดูข้อมูลบนบรรทัด (เช่น บัตรลูกค้า หรือ เมนูการตั้งค่า) ขณะที่รายงานจะพิมพ์เอกสาร นอกจากวัตถุจริงที่ใช้เพื่อดูข้อมูล (เช่น ฟอร์มหรือรายงาน) ผู้ใช้จะต้องมีการเข้าถึง Execute the Table object และการเข้าถึงการอ่านบางระดับไปยัง Tabledata ถ้าการผสมชนิดวัตถุใดๆ เหล่านี้ขาดหายไป (เช่น ฟอร์ม/ตาราง/TableData หรือ รายงาน/ตาราง/TableData) ผู้ใช้จะไม่มีสิทธิ์เข้าถึงข้อมูลที่ต้องการ
7. ในแต่ละเวอร์ชันของ Attain หรือ Financials บทบาทแรกที่ต้องสร้างคือ 'SUPER' มีอย่างน้อยหนึ่ง ID ผู้ใช้ที่ได้รับการมอบหมายบทบาทนี้ และการตั้งค่าผู้ใช้แรกจะต้องได้รับการมอบหมายเป็น SUPER เมื่อรีวิวสิทธิ์บทบาท SUPER คุณจะเห็นว่าชนิดวัตถุทั้งหมดเจ็ดชนิดที่แสดงรายการอยู่ด้านบนได้รับการมอบหมาย ชนิดของวัตถุแต่ละชนิดจะได้รับ ID วัตถุ '0' และระดับการเข้าถึงถูกตั้งค่าเป็น ใช่ ให้กับชนิดของวัตถุทั้งหมด '0' ในเขตข้อมูล ObjectID จะแสดงว่าวัตถุทั้งหมดภายในชนิดวัตถุนั้นได้รับการมอบหมาย 'ใช่' ในระดับการเข้าถึงหมายความว่า SUPERUSER สามารถอ่าน แทรก ปรับเปลี่ยน ลบ และเรียกใช้งานบนวัตถุทั้งหมดได้ ดังนั้น ตราบเท่าที่วัตถุรวมอยู่ในสิทธิ์การใช้งาน ผู้ใช้จะสามารถเข้าถึงพื้นที่นั้นอย่างเต็มที่
นอกเหนือจากผู้ใช้ SUPER อย่างน้อยหนึ่งรายในไซต์ไคลเอ็นต์แล้ว อาจมีความต้องการที่ NSC ตั้งค่าผู้ใช้ SUPER ที่บริษัทของพวกเขาสร้างขึ้น ซึ่งอุ่นใจว่า NSC สามารถเข้าถึงทุกสิ่งในฐานข้อมูลได้ในกรณีที่ผู้ใช้ SUPER ที่ไซต์ลูกค้าลาออกและล้มเหลวในการแจ้งข้อมูลอื่นๆ มิฉะนั้น กระบวนการแทนที่จะต้องเป็นไปตามเพื่อเข้าถึงฐานข้อมูล TheNavision Break inAuthorizationform is included in all of our manualsor youmay contact Navision Support for the form. แน่นอนว่า โปรดตรวจสอบให้แน่ใจว่าคุณได้อภิปรายการตั้งค่า Id และรหัสผ่านของศูนย์โซลูชันกับลูกค้า เพื่อให้แน่ใจว่าลูกค้าได้ให้การอนุมัติ
8. ผู้ใช้ที่ไม่ได้มอบหมายบทบาท SUPER บทบาทที่เรียกว่า ALL ควรได้รับมอบหมาย ALLRole มีการเข้าถึงวัตถุพื้นฐานที่ผู้ใช้ทุกคนต้องเป็นเจ้าของ การเข้าถึงการอ่านตารางการตั้งค่าและตารางข้อมูลและพื้นที่ระบบอื่นๆ บางอย่างมีความต้องใช้กับผู้ใช้ Navision ทุกคน ดังนั้น ALLRole จึงต้องมีการเข้าถึงพื้นฐานนี้ อย่างไรก็ตาม จะมีการเปลี่ยนแปลงบางอย่างที่อาจต้องใช้กับ ALLRole ก่อนที่จะใช้บทบาทนั้นกับทุกคนอย่างสมบูรณ์ โดยเฉพาะอย่างยิ่ง ALLRole ได้สร้างบรรทัดขึ้นเพื่อ 'ฟอร์ม 0' โดยตั้งค่าสิทธิ์ Execute เป็น ใช่
ปัญหาคือ เมื่อรวมกับบทบาทอื่นที่ให้สิทธิ์ใน POST ทรานแซคชัน เช่น 'R-Q/O/I/C, POST' และ 'P-Q/O/I/C, POST' มีนัยสําคัญในการรักษาความปลอดภัยของค่าความสําคัญของลูกค้าบางราย โดยเฉพาะอย่างยิ่ง นอกกล่อง บทบาท "โพสต์" เหล่านี้ต้องการบรรทัดหนึ่งบรรทัดของ TableData Object ID 17 ซึ่งเป็นตารางรายการ G/L และการเข้าถึงการอ่านที่ตั้งค่าเป็น 'YES' การเข้าถึงสิทธิ์นี้รวมกับบรรทัด บทบาททั้งหมดของฟอร์ม 0 และตาราง 0 จะให้ผู้ใช้นี้มีสิทธิ์ในการเข้าถึงแบบเต็มเพื่อตรวจทานตารางรายการ G/L และดูธุรกรรมรหัสแยกทั่วไปบนหน้าจอ โดยเฉพาะอย่างยิ่งรายละเอียดธุรกรรมรายรับและค่าใช้จ่าย ซึ่งอาจไม่ต้องการลูกค้าบางรายและจะต้องได้รับการแก้ไขด้วยการแก้ไขปัญหาชั่วคราวที่ระบุไว้ด้านล่าง
เมื่อต้องการจัดการกับปัญหาการเข้าถึงรายการ G/L คุณสามารถเลือกหนึ่งในสองสิ่งได้ ก่อนอื่น คุณอาจต้องสร้างบทบาท 'ทั้งหมด' ใหม่ที่เรียกว่า 'ALL-NOFORMS' จากนั้นคุณจะใช้ฟังก์ชันWindowsคัดลอกและคัดลอกบรรทัด สิทธิ์ จากบทบาท 'ALL'Role และวางลงในบทบาท 'ALL-NOFORMS' จากนั้นคุณจะลบบรรทัดของ Form 0 - Execute 'Yes' จาก ALL-NOFORMS จากนั้นคุณจะสร้างบทบาทใหม่ในทุกพื้นที่ที่ใช้งานได้ ซึ่งให้สิทธิ์ที่จําเป็นแก่ฟอร์มแต่ละฟอร์มที่จําเป็นต้องใช้ในพื้นที่การฟังก์ชันการฟังก์ชันนั้น
การเปลี่ยนแปลงที่สองที่ผู้ใช้อาจต้องพิจารณาคือการปรับเปลี่ยน สิทธิ์ Codeunit 12 ที่เกี่ยวข้องกับการอ่านตารางรายการ G/L เมื่อต้องการเพิ่ม คุณจะ:
A.Access Tools | ตัวออกแบบวัตถุ
B.Select Codeunit 12.
C. เลือกปุ่ม ออกแบบ
D. เลือกไอคอน คุณสมบัติ
E. คลิกในเขตข้อมูล ค่า ของบรรทัด สิทธิ์
F. เลือกปุ่มวงรี (...)
G. บนบรรทัดของ รหัสวัตถุ 17 ให้เลือกกล่อง 'สิทธิ์ในการอ่าน'
เมื่อเสร็จสมบูรณ์ ผู้ใช้สามารถเลือกบทบาท 'โพสต์' ที่แสดงอยู่ด้านบนและเปลี่ยนตัวเลือก 'ใช่' ใน สิทธิ์การอ่านของตาราง 17 – ข้อมูลตารางรายการ G/L – เป็น 'ทางอ้อม' เมื่อเสร็จสิ้นการเปลี่ยนแปลงนี้ ผู้ใช้จะได้รับอนุญาตให้ โพสต์ใบแจ้งหนี้ และให้กระบวนการโพสต์สร้างรายการใหม่ในตารางรายการบัญชีแยกบัญชีทั่วไป อย่างไรก็ตาม เมื่อเปลี่ยนสิทธิ์การอ่านเป็นทางอ้อม ผู้ใช้จะไม่มีสิทธิ์เข้าถึงตารางรายการบัญชีแยกบัญชีทั่วไปจากการดูรายละเอียดแนวลึกในเขตข้อมูล แผนภูมิของการเปลี่ยนแปลง Net ของบัญชี โปรดทราบว่าการเปลี่ยนแปลงที่สองจะใช้งานบนตัวเลือก ดั้งเดิม เท่านั้น และไม่SQL Serverตัวเลือกภาษา
แหล่งข้อมูลเพิ่มเติม
1. อ้างอิงข้อมูลเพิ่มเติมเพื่อดูเอกสารวิธีใช้ - การ#12462และเคล็ดลับเกี่ยวกับเคล็ดลับ Navision เมื่อต้องการดาวน์โหลดเอกสารนี้ ให้เยี่ยมชมเว็บไซต์ Microsoft ต่อไปนี้:
https://mbs.microsoft.com/downloads/customer/tk28331.doc 2. ดูบทความฐานความรู้858242- NF 2.60 และ Windowsการรับรองความถูกต้องSQL Serverตัวเลือกการรับรองความถูกต้อง
3. ดูบทความฐานความรู้874362 - วิธีการตั้งค่าความปลอดภัยของบัญชีเงินเดือน
4 ดูบทความฐานความรู้
858244- ความแตกต่างระหว่าง Granule ID ผู้ใช้และรหัสผ่านกับสิทธิ์ผู้ใช้ใน Microsoft Dynamics NAV
5 ดูบทความฐานความรู้858921- Windowsเข้าสู่ระบบด้วยข้อมูลทางการเงิน 2.60
บทความนี้คือ TechKnowledge Document ID:28331
