سلام
چون این مطالب ممکن است مورد مطالعه و ارجاع سایر کاربران قرار گیرند، به نظرم ذکر یک نکته در این موضوغ لازم باشد.
اگر حسابدار به مسئول IT اعتماد نداشته باشد و نگران باشد که کاربران در گروههای غیرمجاز قرار داده شوند، نگرانیهای بسیار جدیتری هم باید داشته باشد: مسئول Active Directory همیشه میتواند یک کاربر را عضو گروه Administrators نماید. به این ترتیب کاربر مزبور مستقل از اینکه چه امکاناتی برای وی در سیستم تعریف شده باشد قادر به استفاده از همه امکانات سیستم خواهد بود. این وضعیت کاملا مستقل از نرمافزار هم قابل انجام است. Admin مثلا میتواند دسترسی مستقیم به Database را برای یک کاربر مجاز کند و حتی بدتر از آن دسترسی مستقیم به فایلهای حاوی اطلاعات را به خود یا شخص دلخواه بدهد. در این شرایط با انتقال فیزیکی فایلها به یک سیستم مالی دیگر (در رایانه دیگری که سیستم در آن نصب است و کاربر در آن admin است) امکان دسترسی نامحدود به همه اطلاعات را خواهد داشت.
خلاصه اینکه بدون اعتماد به مسئول IT امور به سامان نخواهد شد. مطالعه پست زیر هم در همین رابطه مفید است.
http://accsupport.nosa.co...v/topic/Default.aspx