TechKnowledge 内容
发布
Navision 安全提示和技巧。
Navision Financials 和 Attainis 中的解析安全性设置通常成为一个混淆领域。 此外,需要分析和讨论 CD 上演示数据库默认状态的安全性,以全面准备在公司站点上实施安全性。 本文档旨在介绍与安全相关的一些基本信息,并提供有关已报告的一些常见问题的其他信息。
Navision Attain 或 Navision FinancialsSecurity
1 的基础知识。 安全性包括两个主要小模块:"用户 ID 和密码"和"权限"。 本文档主要介绍"权限"小模块。 有关用户 ID 和密码小模块的详细介绍,特别是因为它与版本 2.60B 和更高版本的 Windows 身份验证和数据库身份验证问题相关,请参阅链接到此知识库的其他资源一文。
2. "权限"小模块由演示数据库中 2.60 (及更高版本) 或组 (2.60) 角色组成。 (,术语Roles 将同义用于角色或组) 。
角色由预先建立的列表(对象类型、数字和访问级别) (读取、插入、修改、删除、执行) 。 每个访问级别都可以设置为"是"、"间接"或"否"。如果选择了"是",则用户可以直接访问该级别。 例如,如果在对象的"读取"字段中输入了"是",则始终可以直接访问和直接读取信息。 如果选择"间接",则权限仅在与具有权限的另一个对象一同使用时有效。 例如,不能直接创建 G/L 条目,而只能使用发布函数"间接"创建。 如果字段为空,则没有此权限。
3. BasePermission 角色基于对象级别权限。 有七个对象类型构成属性:表、窗体、报表、Dataports、Codeunits、System 和 Tabledata。 前五个对象(表、窗体、报表、Dataports 和 Codeunit)是构成 Navision 数据库的基本对象。 包含这些对象类型的权限相当明显。 但是,其他两种安全对象类型不太明显,将在接下来的两个部分更详细地讨论。
4. 系统对象类型包括 Navision Attain 或 Financials 中的菜单选项访问,例如对"文件"|数据库选项和"工具"下拉选项。 系统权限将控制对"工具"下的开发区域的访问权限,前提是客户许可证提供对开发区域的访问权限。
注意 如果客户没有小区的许可证,他们将无法访问系统的该区域。 许可证将成为对获取或财务特定领域访问权限的最高级别的控制。
此外,通过系统权限控制对 Navision Security 的访问。 "编辑"下拉菜单(包括筛选和数据输入的访问权限)也通过"系统权限"进行控制。
5. Tabledata 对象类型用于控制对用户输入的信息和数据的访问。 表对象提供用于存储数据的结构。 Tabledata 是放入此存储区域的实际信息。 为了查看数据,用户必须有权访问表和 Tabledata。
与表和表数据一起,用户还必须有权访问窗体或报表来查看数据。 通过控制访问数据,还可以控制可以访问的公司。 这受"角色"下用户 ID 的权限控制。
6. 在深入了解权限之前,必须先了解基本本地。 用户必须具有窗体或报表才能查看信息。 窗体是屏幕和菜单,用于查看在线信息 (如客户卡片或设置菜单) 报表打印文档。 除了用于查看数据的实际对象 (例如窗体或报表) ,用户还必须具有对 Tabledata 执行表对象和一些级别的读取访问权限。 如果缺少其中任一对象类型组合 (即 Form/Table/TableData 或 Report/Table/TableData) ,则用户无法访问所需信息。
7. 在每个"获取"或"财务"版本中,必须建立的第一个角色是"SUPER"。 至少为一个用户 ID 分配此角色,并且第一个用户设置必须分配 SUPER。 查看 SUPER 角色权限后,会看到已分配上面列出的所有七个对象类型。 对于对象类型,每个对象类型都给定对象 ID"0",将"访问级别"设置为"是"。 ObjectID 字段中的"0"表示分配了该对象类型内的所有对象。 访问级别的"是"意味着 SUPERUSER 可以读取、插入、修改、删除和执行所有对象。 因此,只要对象包含在许可证中,用户就可以完全访问该区域。
除了客户端站点上最少一个 SUPER 用户外,NSC 最好设置其公司建立的 SUPER 用户。 这可确保 NSC 能够访问数据库中的所有内容,以防客户站点上的 SUPER 用户离开,并且无法将此信息告知其他人。 否则,需要遵循重写过程来访问数据库。 我们的所有手册中都包含了"在Authorizationform 中设置中断",或联系 Navision 支持部门获取表单。 当然,请确保与客户讨论设置解决方案中心 ID 和密码,以确保他们批准此操作。
8. 对于未分配 SUPER 角色的任何用户,应分配名为 ALL 的角色。 ALLRole 具有每个用户必须拥有的基本对象访问权限。 每个 Navision 用户都需要对设置表和表数据以及其他系统区域具有某种级别的读取访问权限,因此 ALLRole 旨在提供此基本访问权限。 但是,在将角色完全应用到每个人之前,可能需要对 ALLRole 进行一些更改。 具体而言,ALLRole 为"窗体 0"建立了一行,"执行"权限设置为"是"。
问题是,与其他授予 POST 事务权限的角色(例如"R-Q/O/I/C、POST"和"P-Q/O/I/C、POST")结合使用,某些客户的安全将存在一个显著保障。 特别是,这些"POST"角色需要 TableData 对象 ID 17(G/L 条目表)和"读取访问权限"设置为"YES"的行。 此权限访问权限与表单 0 和表 0 的"所有角色"行相结合,使此用户能够完全查看 G/L 条目表并在屏幕上查看"常规账本"交易,尤其是详细的收入与支出交易。 某些客户可能不希望这样做,需要通过下面提供的一些解决方法解决此问题。
若要处理 G/L 条目访问问题,可以执行两项操作之一。 首先,可能需要创建名为"ALL-NOFORMS"的新"ALL"角色。 然后,使用 Windows复制函数,从"ALL"角色复制"权限"行,并将其粘贴到"ALL-NOFORMS"角色中。 然后,从 ALL-NOFORMS 中删除"窗体 0 - 执行'是'"行。 然后,将为每个功能区域创建新的角色,为该功能区域所需的单个窗体提供所需的权限。
用户可能要考虑的第二个更改是修改与读取 G/L 条目表相关的 Codeunit 12 权限。 为此,需要
:A.Access Tools |对象设计器。
B.选择 Codeunit 12。
C. 选择"设计"按钮。
D. 选择"属性"图标。
E. 单击"权限"行的"值"字段。
F. 选择省略号按钮 (...) 。
G. 在"对象 ID 17"行中,选中"读取权限"框。
完成此操作后,用户可以选择上面列出的任何"POST"角色,将表 17 的读取权限 ( G/L 输入表数据)中的"是"选项更改为"间接"。 完成此更改后,将允许用户发布发票,让发布过程在"总帐输入表"中创建新条目。 但是,通过将"读取权限"更改为"间接",用户无法从"帐户图表"Net Change 字段中向下钻取来访问"总帐输入表"。 请注意,第二个更改仅适用于"本机"选项,而不是"SQL Server选项。
其他资源
1. 请参阅补充信息获取帮助文档#12462 - Navision 安全使用技巧和技巧。 若要下载本文档,请访问以下 Microsoft 网站:
https://mbs.microsoft.com/downloads/customer/tk28331.doc2. 请参阅知识库文章858242- NF 2.60 和 Windows 身份验证,SQL Server选项。
3. 请参阅知识库文章874362 - 如何设置工资单
安全性 4。 请参阅知识库文章
858244- Microsoft Dynamics NAV 5 中的用户 ID 和密码小模块与用户权限小模块
的差异。 请参阅知识库文章858921- Windows 2.60 的登录名。
本文为 TechKnowledge 文档 ID:28331
