Хелп ! :(
хочу создать урезанного полдьзователя, чтоб мог только смотреть
-создаю группу с любыми разрешениями (хоть со всеми);
-создаю пользователя и прилепляю к урезаной группе;
все, пипец, ничего пользователь невидит совсем, начинает видеть только если я его добавляю в групу админ :(
что делаю нетак, подскажите .....
права на объекты надо на самих объектах, права в редакторе юзеров - для глобальных вещей (типа достапа к логам)
По умолчанию права наследуются от родителя (если это принудительно не отключить на контейнере). Именно так выданы права админам - на Infrastructure Services есть единственное правило для группы Admins.
Актуальные права пользователя высчитываются наложеним:
1) отнаследованные права на объекте
2) права на объекте для групп, в которых есть пользователь
3) права на объекте для пользователя
например можно сделать структуру (для примера есть user1, user2 и они в group1):
Container1 - тут дать read права для group1, наследование по умолчанию включено
+ Node1 - пустой access control
+ Node2 - тут в access control добавить user1 вообще без прав
по результатам:
user1 будет видеть Container1 и обе ноды
user2 будет видеть Container1 и только Node1 (read будет отнаследован от Container1, но потом перекрыт правилом на самой ноде)
Спасибо :)
логика теперь ясна