Сейчас обслуживающие инженеры могут быть выбраны только из учётных записей, которые входят в системную группу “Обслуживающие”. А при этом группа учетных записей “Обслуживающие” имеет права на удаление и редактирование основных элементов системы.
Часто, в моей практике, “обслуживающий инженер” - это не тот, кто настраивает и редактирует описание объектов, а тот, кто отвечает за исправную работу объекта: корректные измерения, оперативная реакция, наличие данных и т.п.
А за настройку объектов отвечает 1-2 человека с большими правами.
При этом я не увидел тему об излишних правах “обслуживающих инженеров” этом. Значит текущее положение с правами устраивает тех, кто использует “обслуживающих инженеров”
Т.е. термин “обслуживающий инженер” в разных компаниях понимается по разному.
Предложение:
либо иметь возможность отредактировать права группы “Обслуживающие”;
либо иметь возможность указать какая именно группа содержит “обслуживающих инженеров”;
либо вообще не делать привязку “обслуживающих инженеров” к конкретной группе, я так и не понял смысл этого ограничения.
Не устраивает, просто уже создал ряд тем и лень хвататься за новые. Сейчас решаем проблему установкой дополнительных ограничений в параметрах учётной записи.
Да, сейчас самый простой способ это создать новую группу “запрет редактирования”, запретить в ней редактирование и включить обслуживающих в эту группу.
Этот пост не просьба о помощи, а предложение об изменении.
Эта часть настройки ПО полна “танцев с бубнами”:
каждый раз, когда сталкиваюсь с “обслуживающими инженерами”, я не понимаю, почему не могу добавить учетку в качестве инженера в обслуживающую организацию;
вспоминаю, что есть нюанс, ищу в документации;
настраиваю;
так как системные группы не используем, они всегда не подходят для работы → проверяю права и обнаруживаю лишние;
купирую лишние права
И ведь алгоритм этот не описан у Вас. Т.е. по-умолчанию, в системе такая скрытая мина - обслуживающие инженеры. Это те, что может удалить точки, объекты и т.п., часто среди них текучка, при увольнении этих сотрудников - они это делают.
Резюме:
не понятные и неочевидные условия использования элемента “обслуживающие инженеры”;
неочевидный механизм безопасного использования элемента “обслуживающие инженеры”;
лишь малая часть механизма использования элемента “обслуживающие инженеры” отражена в док-ции;
и при этом не понятна мотивация столь сложной конструкции.
Кроме того, обслуживающие инженеры с одинаковыми правами - это вообще не правило.
У вас в предложении три пункта, хотелось бы узнать какой из них стоит обсуждать. Может, проголосуете за какой-нибудь из пунктов? Я бы удалил эту группу учётных записей, или снял ограничения на выбор обслуживающих.
Я предложил вам 3 приемлемых на мой взгляд варианта решения.
По мне чем проще - тем лучше. Т.е. удалить вообще требование привязки “обслуживающих инженеров” к группе “Обслуживающие”. Это не затронет существующие системы.
А удалять ли группу “Обслуживающие”, вам решать. Я не знаю. как себя поведет система, если после обновления исчезнет единственная группа дающая права учеткам, активно работающим с системой. Не возникнет рукотворного хаоса?
предлагаю не удалять группу обслуживающие, а сделать её “не системной”. На новых системах не создавать её, а также не ограничивать привязку обслуживающих этой группой. Так не должно возникнуть каких либо проблем.
Изначально, группа обслуживающих была сделана для того, чтобы пользователь, редактирующий объект, не видел полный список всех учётных записей. Если мы разрешим выбирать любого пользователя в качестве обслуживающего, то тот, кто редактирует объекты, должен получить доступ к полному списку учётных записей в системе, что может быть неприемлемо.
Думаю, что самым лучшим вариантом будет:
Убрать все разрешения на редактирование и удаление, которые сейчас есть у обслуживающих по умолчанию.
Разрешить редактировать разрешения для всех системных групп, кроме Администраторов.
Думаю, что таким образом система станет более предсказуемой и управляемой. Внесём изменения в 3.53.
