Набор прав на группы объектов такой же, как и на единичные объекты. Дело в том, что права, которые даются на группу объектов, распространяются на входящие в нее объекты (при условии соблюдения иерархии прав). Например, если дано право просмотра команд, то это означает, что пользователю дается право на просмотр команд каждого из объектов, входящих в эту группу.
Кроме того, некоторые типы прав могут действовать не только на входящие объекты, но и на саму группу как элемент системы. Например, если на группу пользователю дано право изменения иконки, то это означает, что он может менять иконку как самой группы, так и входящих в нее объектов. Такие права с двойным действием — это:
- Просмотр элемента и его основных свойств
- Управление доступом к элементу
- Удаление элемента
- Переименование элемента
- Просмотр произвольных полей
- Управление произвольными полями
- Просмотр административных полей
- Управление административными полями
- Изменение иконки
- Запрос сообщений и отчетов
- Управление журналом
- Просмотр и скачивание файлов
- Загрузка и удаление файлов
Флаг доступа Редактирование рекурсивных элементов — это право на группу, позволяющее изменять состав входящих в нее объектов (убирать/добавлять объекты).
Остальные права на группу как таковую не действуют, а оказывают влияние только на входящие в нее объекты. Поэтому см. Права на объекты.
При использовании групп необходимо соблюдать иерархию прав и учитывать перечисленные ниже особенности.
- У создателя группы должны быть права на объекты. Только в этом случае он может передать права на эти объекты пользователям, стоящим ниже в иерархии, при предоставлении им доступа к группе.
- Получая права доступа на группу, пользователь получает те же права на все входящие в нее объекты. Таким образом, права пользователя на объекты могут расширяться за счет группы.
- Группа может расширить права доступа к объекту, но не сузить их. Если права пользователя на объект и на группу, в которую он входит, отличаются, применяется более широкий перечень прав.
Права пользователя на входящие в группу объекты не изменяются ни при создании группы, ни при предоставлении на нее прав доступа другим пользователям.