Подскажите можно ли в AS настроить роли в виде матричной структуры, а не древо-видной основываясь на группах пользователей (т.е. не указавать самих пользователей - т.к. их очень много) и можно ли поменять приоритеты (запрета/разрешения)?

Описание рисунка:
Организационная структура - это группы пользователей в AD относительно каждой организации (пример, Ф1/Ф2/Ф3)
Структурные подразделения - это дополнительные группы пользователей в AD - отделы фирмы (пример, СП1=финансисты/СП2=экономисты)

Для каждой фирмы (из Организационной структуры) создается отдельная роль в Database Roles с указанием что можно видеть, а что нельзя.
И для каждого структурного подразделения создается отдельная роль в Database Roles.

Пользователи, которые входят в группу СП1 видят весь куб Продаж (т.е. по всем фирмам: Ф1 и Ф2 и Ф3) - куб Остатки данные пользователи не видят.
Пользователи, которые входят в группу Ф1 видят информацию по кубам Продажи и Остатки , но только по фирме Ф1.

А если пользователь входит и в группу СП1 и в группу Ф1 , то получается что он может видеть:
1.всю информацию по кубу Продаж по всем фирмам: Ф1 и Ф2 и Ф3
2.и информацию по фирме Ф1 в кубе Остатки

Т.е. получается, что приоритет разрешения выше, чем приоритет запрета - как сделать наооборот?

EugenTПодскажите можно ли в AS настроить роли в виде матричной структуры, а не древо-видной основываясь на группах пользователей (т.е. не указавать самих пользователей - т.к. их очень много) и можно ли поменять приоритеты (запрета/разрешения)?

Описание рисунка:
Организационная структура - это группы пользователей в AD относительно каждой организации (пример, Ф1/Ф2/Ф3)
Структурные подразделения - это дополнительные группы пользователей в AD - отделы фирмы (пример, СП1=финансисты/СП2=экономисты)

Для каждой фирмы (из Организационной структуры) создается отдельная роль в Database Roles с указанием что можно видеть, а что нельзя.
И для каждого структурного подразделения создается отдельная роль в Database Roles.

Пользователи, которые входят в группу СП1 видят весь куб Продаж (т.е. по всем фирмам: Ф1 и Ф2 и Ф3) - куб Остатки данные пользователи не видят.
Пользователи, которые входят в группу Ф1 видят информацию по кубам Продажи и Остатки , но только по фирме Ф1.

А если пользователь входит и в группу СП1 и в группу Ф1 , то получается что он может видеть:
1.всю информацию по кубу Продаж по всем фирмам: Ф1 и Ф2 и Ф3
2.и информацию по фирме Ф1 в кубе Остатки

Т.е. получается, что приоритет разрешения выше, чем приоритет запрета - как сделать наооборот?

Забыл добавить, а хотелось бы, чтобы пользователь (который входит и в СП1 и в Ф1 ) мог видеть, только информацию по кубу Продажи и только по фирме Ф1

Mosha EugenTА если пользователь входит и в группу СП1 и в группу Ф1, то получается что он может видеть:
1.всю информацию по кубу Продаж по всем фирмам: Ф1 и Ф2 и Ф3
2.и информацию по фирме Ф1 в кубе Остатки
3. Забыл добавить, а хотелось бы, чтобы пользователь (который входит и в СП1 и в Ф1) мог видеть, только информацию по кубу Продажи и только по фирме Ф1
А Вы себе не противоречите ? Т.е. у Вас получилось, чыо если пользователь принадлежит двум группам он видим меньше чем если бы он принадлежал только одной.

Все правильно. Идея такая, чтобы права у пользователя (который входит и в СП1 и в Ф1) становильсь равными пересейчению прав, а не сложению!

backfireКонцепция объединения наборов прав при членстве в различных группах является основополагающей.
Вам необходимо указывать не "что можно видеть", а "что нельзя видеть" Тогда при членстве в двух группах вы получите именно то что вам надо, ведь
NOT(NOT(A) UNION NOT(B)) == A INTERSECT B

Получается следующим образом:
1.Пользователям, которые входят в группу Ф1 запрещаем на уровне Dimension - Фирмы все (Ф2/Ф3) кроме Ф1 (т.е.Custom-Select all members)
2.Пользователям, которые входят в группу СП1 зарещаем Dimension-Фирмы (т.е. Fully Restricted)

Если пользователь входит СП1 и Ф1 - он не может посмотреть куб Продаж вообще! Может как-то иначе нужно дать права?

Dmitry Biryukov
имхо, тут надо создавать роль для каждой ячейки матрицы, а НЕ для строк и столбцов. тогда всё будет ОК

Добавил дополнительный столбец в таблицу Фирмы, где указал Домен\Логин пользователя, который может просматривать информацию по конкретной фирме в Dimension-Фирмы в MemberProperties добавил данный столбец (Access). Но вот не могу понять почему в MDX Sample Application все отрабатывает, а в Cell Security ругается!?
"MyDomen\UserX" (пример для теста)- заменяю на функцию UserName

А в Cell Security пишу
"MyDomen\UserX" (пример для теста)- заменяю на функцию UserName

Получаю ошибку! Может чего-то не хватает?

Для случая с Cell Security - все решилось без фильтра:

backfireЕвнгений, позвольте полюбопытствоывать, а что за front-end вы используете для работы с MS AS?
MS Excel 2003 (он как раз и не может отобразить куб для пользователя если у него роли настроены таким образом)