Права доступа

Добрый день.
Подскажите, как можно настроить права на создание,изменение, удаление данных в КЕ “Лицензия ПО” для определенного пользователя.
Задача такая.
Надо сделать доступ в itop, сотруднику, для внесения данных о лицензиях и привязки лицензии к ПО, а ПО к персональному компьютеру.
И все, больше ему доступ не куда не требуется.

Разобрался сам.
Позже прикреплю код модуля

подкиньте мысль, пока не выходит каменный цветок. правда не на КЕ нужно, но хоть боле менее понять.

<?xml version="1.0" encoding="UTF-8"?>
<itop_design xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="1.0">
  <classes/>
  <menus/>
  <user_rights>
	  <groups>
        <group id="lic" _delta="define">
        <classes>
          <class id="Licence"/>
          <class id="Software"/>
           </classes>
      </group>
	<group id="lic-PC" _delta="define">
        <classes>
          <class id="PC"/>
          <class id="Organization"/>
	  <class id="Document"/>
	  <class id="SoftwareInstance"/>
	  </classes>
	</group>
	</groups>
     <profiles>
      <profile id="51" _delta="define">
        <name>Read-Only No Portal Access</name>
        <description>Users with this profile are allowed to browse through all objects in the application but not to modify anything (event through the portal)</description>
        <groups>
          <group id="lic">
            <actions>
              <action id="action:write">allow</action>
              <action id="action:bulk write">allow</action>
	      <action id="action:read">allow</action>
              <action id="action:bulk read">allow</action>
            </actions>
        </group>
	<group id="lic-PC">
            <actions>
              <action id="action:write">allow</action>
              <action id="action:bulk write">allow</action>
	      <action id="action:read">allow</action>
              <action id="action:bulk read">allow</action>
            </actions>
        </group>
              </groups>
          </profile>
    </profiles>
  </user_rights>
</itop_design>

Сначала создается группа ( называй как хочешь)
к группе привязывай те классы к которым ты хочешь ограничить доступ.
У меня 2 группы Lic и Lic-pc
После выставляешь уже права доступа на эти группы.
В целом все.
Бери за основу мой код модуля и правь под себя.
Будут вопросы спрашивай.
Ps Read-Only No Portal Access Сюда пиши названия профиля безопасности
Ps Надо делать отдельный модуль.

спасибо. только сейчас полностью увидел структуру файла модуля.

Добрый день, а как можно ограничить доступ к какому-либо классу более детально.
Например, создал отдельный профиль, в котором есть права доступа на создание IP телефона в классе IPPhone, эта же роль имеет права на класс Документы, чтобы можно было добавлять линки к объекту - “IP телефон” все остальное закрыто (кроме линков на контакты, договоры, услуги). Проблема в том, что класс документы общий для всех “КЕ” и если к нему есть доступ на чтение или запись (значение не имеет), то пользователь с этой ролью будет видеть абсолютно все объекты в классе документы, а мне нужно, чтобы он видел только те документы, которые связаны с “IP телефоном” с возможностью создания новых документов которые можно было бы связать только с “IP телефоном”. Аналогично хотелось бы ограничить доступ к классу лицензии.