RLS+Обычная настройка прав

[gefr]

Такой вопрос.
Мы настроили права в системе, в частности как и было советовано неоднократно: маленькие порции прав, много групп пользователей (т.е. например: "Создание заказов", "Создание дооворов", "Простотр плана счетов" и т.п.). Теперь понадобилось разграничить права доступа на уровне значений поля Dimension[1] в ряде таблиц. Создаем новые группы прав по названиям аналитик, ставим на них соответствующие фильтры на нужные таблицы. Присваиваем права пользователям. Не работает - пользователь видит все данные. Почитав данный форум, я так понял, что и не должно работать в таком исполнении. Получается, что придется либо на все остальные группы пользователей присваивать фильтры "не показывать ничего", либо полностью перестраивать структуру прав не от конкретных функциональных разрешений, а от конкретных рабочих мест, и конкретно на них выдавать ограничения на таблицы?
Может, есть какой-нибудь путь попроще?

[glibs]

Первый вариант неправильный, второй, мягко говоря, нерациональный.

В той группе, в которой вы настраиваете РЛС, нужно дать доступ на просмотр на таблицу, по которой вы настраиваете РЛС. По-моему, достаточно на просмотр на одно любое поле (в крайнем случае на то поле, на которое настраиваете РЛС).

[gefr]

Я понимаю, что второй вариант совсем неправильный. Почему изначально не пришли к тому, чтобы настраивать непосредственно в основных правах:
- есть ОДНА аналитика, которую не должны видеть 95% людей.
- для каждого типа таких прав придется создавать две группы - тех, что НЕ видит запретного, и таких же прав, кто видит, но без органичений.
Вижу, что похоже так и придется делать. Спасибо, я все понял.

[glibs]

Одна группа с настройкой РЛС. В ней указан критерий (что можно, а не что нельзя) и доступ к таблице и к полю на чтение.

Те, кто видят все, в группу не входят. Видят все.

Те, кто видят не все, в группу входят, и видят то, что положено.