Несколько раз приходилось сталкиваться со следующей практикой - все администраторы банка работают под общим обезличенным логином типа CFT, ADMIN или вообще IBS
Мне кажется, правильнее создать для каждого администратора свой собственный логин для работы как в "Навигаторе", так и в "Администраторе словаря". Кроме очевидных плюсов разбора полетов (когда остался след только пользователя Oracle) это еще и здорово дисциплинирует и страхует от раскрытия администраторского пароля.
Полностью согласен, только сам привык работать под IBS.
Все-таки на один пароль меньше помнить приходится! Ведь иногда и напрямую в таблицы лазить приходится, а это без IBS не сделаешь.
Строго говоря, подход правильный, у каждого должен быть свой логин. Но при входе под владельцем схемы голова не болит о нюансах недоданных прав.
И, конечно про прямой апдейт правильно сказано.
К тому же и в истории состояний в навигаторе, и в администраторе словаря при неких действиях авторство редактировавшего фиксируется не только по ЦФТ-логину, но и по Win-логину, а виндовые имена, подозреваю, у админов все же разные
Пробую ввести такую схему работы:
1. Под IBSом никто не работает.
2. Все программисты работают под своим личным логином - права как администраторы системы + возможность работать в словаре данных.
3. Завел отдельный логин для администратора прав.
По поводу группы "Администратор системы" в IBSO - вроде работает корректно, в RBO - были моменты, что каких-то прав не хватало.
Вопрос для отказавшихся от работы под IBS:
делите ли Вы пароль IBS на части (например, с безопасниками) для предотвращения единоличного доступа сотрудников автоматизации к таблицам напрямую?
Пробую ввести такую схему работы:
2. Все программисты работают под своим личным логином - права как администраторы системы + возможность работать в словаре данных.
3. Завел отдельный логин для администратора прав.
Все это очень здорово, только вот на каждого пользователя нужна лицензия, тем более что ЦФТ скоро выпустит обновление с проверкой на количество лицензий и заведенных пользователей. Мы, по мере возможностей , стараемся не давать работать программистам в реальной базе, а на тестовой у IBS пароль отличается от реальной.
Можно, конечно, поиграть и с этим вариантом... Но периодически сталкиваешься с ситуациями, которые разрешить может только пользователь с правами админа системы. Это при минимуме прав для обычного пользователя. Вот тут то и нужно разделение по отдельным логинам. Или давать прав больше пользователям, но это чревато последствиями - больше прав, соответственно больше ошибок.
А у вас тест на сколько отличается от рабочего по дате? _________________ Александр Евтушенко, Волгопромбанк
Конечно, полностью отказаться от работы ИТ специалистов в реальной базе трудно, я в первую очередь хотел сказать что накладно по деньгам каждому программисту заводить отдельную учетную запись.
Что касается теста, то один тест у нас - это вчерашний день, есть еще база где ведутся долгосрочные по времени разработки разработки. Второй обновляется по согласованию со всеми специалистами ИТ.
Вопрос для отказавшихся от работы под IBS:
делите ли Вы пароль IBS на части (например, с безопасниками) для предотвращения единоличного доступа сотрудников автоматизации к таблицам напрямую?
Слышал о подобных прецедентах... живьем не встречал _________________ Homo homini
На сайте ЦФТ в "базе знаний" или где-то рядом
лежит документ с политикой администрирования
и с рсписаными ролями сколько и каких админов должно быть
очень полезный документ ....
естественно под IBS работать не рекомендется
по поводу кол-ва лицензий
кол-во разработчиков в любом случае заметно меньше колва пользователей )
Не вижу реальной проблемы "обезличивания" администраторов. Какая в общем разница под разными логинами работать или под одним?... В журналах всё равно можно отследить любое действие: с какой машины и под каким логином Windows..
А об ограничении прав если это не пользователь IBS.. так эта проблема легко решается, если единственного пользователя, под которым предполагается работа всех администраторов добавить в волшебную дистрибутивную группу !Адм. системы (права этой группы не копируются, но в кодах жёстко зашито то, что любой, кто в ней находится, автоматически преобратает максимальные права).
Ну, а довод о том, что разработчиков (админов, внедренцев) всё равно меньше пользователей... не прокатывает..всё упирается в money..
В общем это моё наболевшее.. так что могу говорить много.. а главное: по делу.
Для ЦФТ-Банк группа !Адм. системы действительно позволяет дать пользователям неограниченные права, но для Ритейла этот метод не работает, т.к. такой группы там нет и метод реализация прав немного другой,требуется наличия дополнительных реквизитов доступа. _________________ Александр Евтушенко, Волгопромбанк
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
Домен cftclub.ru не связан с ЗАО "Центр Финансовых Технологий" и ни в коей мере не нарушает авторских и иных прав
Владелец может не разделять мнения Участников и не несет ответственности за их публикации
Powered by phpBB