Ибо я чего то подтупливаю...
Есть роль 1, не имеет ограничений по рлс к справочнику 1 по организации
Есть роль 2, есть ограничение по рлс к справочнику 1 "все запрещены, кроме 1 организации"
как в этом случае будет видеть пользователь с этими ролями справочник 1?
будет видеть все элементы или только те, у которых указанная в рлс организация?
отчего спрашиваю - натолкнулся на это и думаю, что рлс накладывается уже после применения прав по ролям, и чтобы работала роль 1 надо исключить пользователя из роли 2
я прав или не прав?

разрешения работают по ИЛИ

если роль1 видит все, то и две роли видят все

(2) да вот если бы не столкнулся с таким, не спрашивал бы... (

(3) ты врешь нам

у меня сложилось впечатление, что изначально отбраковываются объекты по ролям, а уже потом сверху накладываются все рлс, что есть на ролях...

> рлс накладывается уже после применения прав по ролям
рассмотри противоречивые условия РЛС по двум ролям

(6) про противоречия думаю тут не идет речь, ибо что разрешено раз, то разрешено

(7) тут не идёт, а ты подумай, как накладываются ;)

(0) может у роли 1 тупо запрет не по РЛС, а галки не стоит на чтение?

(9) та не... спецом добавили роль, которая дает чтение всех организаций без рлс, чтобы не было проблем с выдачей таких прав... и все равно человек не видит данные, пока в рлс не накиу нужную организацию...

а как смотрит?

я не верю ТС, пусть даст пользователю полные права и посмотрит

(0) РЛС накладывается на каждый запрос к СУБД .... через оператор ИЛИ.

(12) под полными правами игнорируются остальные роли, как я заметил в УТ11 в частности

(13) правильно ли считать, что роль без рлс дает что то наподобие Истина в объединение с запросами по рлс?

хватит вилами по воде, давай подробности

(10) Не понял. У пользователя есть роль А дающая право на чтение, на эту роль прописаны РЛС, и они описаны в доступе на уровне записей. Вы добавляете вторую роль, с правами на чтение этого справочника, в этой роли без рлс.
И у вас возникает вопрос, почему срабатывает РЛС в первой роли?)

(10) Если есть полные права , без РЛС... что то профайлер показывает, что вторые права не накладываются:

SELECT TOP 45
T1._Code,
T1._Description,
T1._Marked,
T1._IsMetadata,
T1._IDRRef
FROM _Reference7 T1 WITH(NOLOCK)
ORDER BY (T1._Description), (T1._IDRRef)

(10) а если убрать роль с РЛС, оставить ту, которая "безусловно показывает", то она работает?

(18) + А вот без полных прав:

SELECT TOP 45
T1._Code,
T1._Description,
T1._Marked,
T1._IsMetadata,
T1._IDRRef
FROM _Reference7 T1 WITH(NOLOCK)
WHERE ((T1._Marked = 0x01)) ---- САМ РЛС.
ORDER BY (T1._Description), (T1._IDRRef)

(19) вот это не пробовал, проверил только добавив нужную организацию в рлс...

(20) спасибо

(17) точно

(20) + Так что ты что то темнишь. В твоем случае РЛС бы не наложился.

(24) я уже не знаю, что думать )) походу пора идти в профилер )
но ситуация складывается по наблюдению, как описана в 0

скриншоты давай

(10) Ты ведь понимаешь чем отличается право на чтение и право на просмотр?

(27) :)

(27) чем? ))

(29) чтение - это вдумчивый просмотр

(30) 5 баллов! )))