Права доступа к элементам сущностей

[nikorn]

Система прав доступа Руководителя имеет одно неочевидное противоречие. По-моему, о нем на этом форуме не упоминалось.

По умолчанию, вновь создаваемые сущности не доступны никому и к ним нужно дополнительно предоставлять доступ. И это правильно.

А вот вновь создаваемые элементы сущностей по умолчанию доступны всем. И к ним нужно дополнительно ограничивать доступ (например, назначив только на себя).

Это рискованный момент, так как директор может, например, создать задачу "Сократить 100 сотрудников" и забыть назначить ее только группе "Руководители". Представляете, чем это обернется?

Обычно в системах прав доступа делают наоборот - создаваемый элемент по умолчанию доступен только автору.

P.S. Не уверен, что указанное противоречие - это недостаток или ошибка и требует исправления, но это точно подводный камушек, о который можно разбить нос.

[support]

Пока ситуация мне не понятна...

Обычно сущности настраиваются одни раз ну или надстраиваются в процессе но эта настройка не влияет на увольнение сотрудников.

Если сотрудник уволен, ему ставится статус неактивен и он не имеет доступ к системе.

+ настраивать каждое поле неудобно, потому что в большинстве случаев все поля доступны для всех, кроме некоторых...

P.S. планируете применить Руководитель в Тяжмаштрейд? Сколько сотрудников будет работать с системой?

[nikorn]

Да, мы будем применять систему в нашей компании. Сейчас идет проектирование и настройка. Будем покупать и дополнения. Но ввод системы в эксплуатацию планируем на 1 июля, уже после обновления до 1.7. Потом, после внедрения Руководителя, какое то время будем вести параллельный учет в двух системах (в старой и в Руководителе).

Что качается сути вопроса (который не имеет отношения к увольнению сотрудников).

Я имел ввиду, что элементы сущностей (то есть записи таблицы app_entity_nn) по умолчанию доступны всем пользователям, у кого есть доступ на просмотр этой сущности. Что опасно. Обычно, по умолчанию есть доступ только у автора.

Приведу более простой пример.

1) Создаем сущность "Блог". Устанавливаем права "Просматривать только назначенные" для всех групп пользователей
2) Создаем статью в блоге, но никому ее не назначаем. И оба на! Ее видят все.

[support]

Исходя из вашего примера, статью должен видеть только создатель.

То есть, если для группы "Клиенты" стоят права "Просматривать только назначенные" и никто не назначен на запись то пользователи из группы "Клиенты" не будут видеть эту запись. Но это касается только пользователей из группы "Клиенты". Другой пользователь из группы Администратор или другой группы, где права разрешены, сможет видеть запись.

[nikorn]

Виноват, действительно работает, как надо.

Видимо я при экспериментах ошибочно просматривал пользователем из группы, у которой есть права на полный просмотр