Профиль полномочий в программе 1С:УПП сочетает в себя:

· Разграничение доступа к объектам , определяется списком ролей

· Доступ к функциональным возможностям , задается настройкой дополнительных прав.

Примеры профилей:

· оператор - возможность создания документов отгрузки

· менеджер по продажам – кроме создания документов возможно изменение цены

· старший менеджер по продажам – возможность отключения контроля взаиморасчетов

Таким образом, профиль полномочий в 1С:УПП полноценно описывает функциональные возможности пользователя.

Для профиля можно установить основной интерфейс, который будет открываться по умолчанию в сеансе пользователя, для которого проставлен текущий профиль. Впрочем, для каждого пользователя также можно установить собственный интерфейс.

Обмен профилями в 1С:УПП

В подменю "Администрирование" находятся средства для обмена профилями между базами:

· Выгрузить профили - разрешает выгрузить профили в файл обмена.

· Загрузить профили - разрешает загрузить профили пользователей из файла обмена, который был создан с помощью сервиса "Выгрузить".

Сервисные функции

В профиле пользователя существует полезная функция копирования настроенных дополнительных прав в другие профили. Ее удобно применять, когда создается несколько профилей. Вызвать функцию можно с помощью кнопки "Копировать" командной панели дополнительных прав. В открывшемся окне необходимо выбрать один или несколько профилей, в которые необходимо установить такие же дополнительные права, как и в текущем профиле.

Для того чтобы посмотреть каким пользователем установлен данный профиль, необходимо нажать на кнопку "Показать пользователей с текущим профилем".

Также существует возможность установить текущий профиль сразу нескольким пользователям. Для этого в 1С:УПП необходимо воспользоваться обработкой из меню "Администрирование" -> "Групповая обработка пользователей". В открывшемся окне можно добавить пользователей вручную, либо с помощью подбора.

Роли в 1С:УПП

Каждому профилю может быть присвоено несколько ролей.

При этом доступ к объектам определяется по правилу: действие разрешено, если оно разрешено, хотя бы для одной роли этого профиля.

Выделяют три вида ролей:

1. Обязательные . Без этих ролей невозможно работать в конфигурации. Единственная обязательная роль - "Пользователь". Она по умолчанию присваивается пользователям любого профиля.

2. Специальные . Эти роли наделяют пользователей функциональными возможностями, определяют права доступа к справочникам и документам.

3. Дополнительные . Данные роли определяют доступ пользователя к различным сервисным или регламентным механизмам конфигурации.

Специальные роли в 1С:УПП

Мастер смены

Роль определяет возможность ввода документов оперативного учета производства:"Отчет мастера смены","Отчет о составе смены» и «Завершение смены".

Администратор пользователей

Предоставляет доступ к объектам подсистемы "Администрирование пользователей": справочники "Пользователи", "Профили", настройка доступа на уровне записей и другие.

Полные права

Предоставляет права на полный доступ ко всем объектам системы (за исключением непосредственного удаления из базы данных). Данная роль может назначаться только администраторам базы данных, и ни в коем случае не должна быть присвоена пользователям.

Поскольку для этой роли система не выполняет никаких проверок:

· Контроль достаточности ТМЦ

· Контроль уровня дебиторской задолженности

· Контроль даты запрета редактирования

· И другие.

Дополнительные роли в 1С:УПП

Право администрирования

Предоставляет доступ к административным функциям системы: удаление объектов из базы данных, конфигурирование, управление итогами и другим.

Администрирование дополнительных форм и обработок

Роль позволяет добавлять записи в справочник "Внешние обработки", в котором хранятся:

· Внешние обработки заполнения табличных частей

· Внешние отчеты и обработки

· Внешние обработки, подключаемые к отчетам

Администрирование сохраненных настроек

Назначается пользователям, которым необходимо работать с сохраненными настройками отчетов на базе универсально отчета. То есть определяет доступ на удаление и создание записей в регистре сведений "Сохраненные настройки". Также эта роль необходима, чтобы иметь возможность добавлять произвольные поля в отчетах, построенных на СКД.

Право внешнего подключения

Если пользователь будет подключаться к базе через внешнее соединение (web-расширение, подключение по технологии OLE), ему необходимо установить данную роль.

Право запуска внешних отчетов и обработок

Позволяет пользователям запускать отчеты и обработки, расположенные во внешних файлах. Эту возможность нужно предоставлять только ответственным пользователям.

Дополнительные права пользователе й

Разрешить проведение документа без контроля взаиморасчетов

Эта опция влияет на видимость флага "Отключить контроль взаиморасчетов" в документе "Реализация товаров и услуг". Обычно рядовым сотрудникам запрещено отгружать ТМЦ при несоблюдении условий взаиморасчетов, а для руководящих пользователей такая возможность должна быть.

Справочник «Пользователи» в 1С:УПП

В справочнике хранятся пользователи, работающие с системой. Элементы этого справочника указываются во всех документах в поле «Ответственный».

Существует классификация пользователей по группам. Причем группы бывают двух типов.

1. Первые влияют на иерархию в справочнике "Пользователи" и используются, преимущественно, для удобства навигации по справочнику. В этом случае каждая запись справочника принадлежит одной группе-родителю.

2. Также существует справочник "Группы пользователей" , который предназначен для разграничения доступа на уровне записей. При этом один пользователь может входить в несколько групп пользователей. Вхождение пользователя в группы обеспечивается через пункт меню «Пользователи» - > "Группы пользователей".

Рисунок 1 - Справочник "Группы пользователей"

Ограничение доступа на уровне записей

Механизм построчного разграничения доступа данных применяется, когда необходимо организовать доступ только к некоторым элементам. Часто этот механизм называют RLS. Например, каждый менеджер по продажам работает со своей группой клиентов. Просматривать документы по клиентам не своей группы пользователю запрещено. Подобная задача решается с помощью ограничения доступа на уровне записей.

Ограничение доступа на уровне записей настраивается для справочника "Группы пользователей". Если пользователь входит в несколько групп, то области данных, которые ему будут доступны, объединяются. Например, для группы "МСК" доступны данные по организации "МебельСтройКомплект", а для группы "ЮФО МСК" - организации "ЮФО МебельСтройКомплект". Тогда если пользователю будут назначены обе группы, то он будет вводить документы от имени обеих организаций.

Включение ограничений на уровне записей можно выполнить из интерфейса "Заведующий учетом" главное меню "Доступ на уровне записей" -> "Параметры". Здесь же настраивается, по каким справочникам необходимо настраивать ограничение.

Непосредственно настройка RLS выполняется с помощью формы настройки прав доступа. Открыть форму можно главное меню "Доступ на уровне записей" -> "Настройка доступа". Также форму разграничения доступа можно вызвать из справочников, для которых возможна настройка RLS.

В рамках одной группы пользователей ограничения объединяются по логическому условию "И". Например, для группы "МСК" настроено доступ по организации "МебельСтройКомплект", и по группе доступа контрагентов контрагентов "Покупатель". Тогда пользователи данной группы смогут вводить документы только от имени "МебельСтройКомплект", и только для контрагентов, входящих в группу доступа "Покупатель".

Если пользователь входит в несколько групп, то его права на уровне записей объединяются по всем группам. То есть права разных групп суммируются по логическому условию "ИЛИ". Например, для группы "МСК" открыт доступ к документам только организации "МебельСтройКомплект", а для группы "Торговый дом "Комплексный". Если пользователю назначены обе группы, то он будет иметь доступ к документам обеих организаций.

Ограничение доступа на уровне записей применяется только для указанных справочников. Например, на рисунке для группы пользователей «МСК» определен доступ к организациям и внешним обработкам. Для всех остальных справочников группа пользователей "МСК" имеет полный доступ на уровне "RLS". Для того, чтобы обратиться к настройке группы, необходимо открыть форму с помощью контекстного меню, либо клавиши F2.

В форме элемента справочника "Группы пользователей" указывается по каим видам объектов будет применяться RLS, а также количество настроенных правил. Также возможно менять состав группы: включать или исключать из нее пользователей.

Если для какого-либо вида объекта не задано ни одного правила, это означает, что доступа к элементам этого справочника не будет вообще. Например, на рисунке для группы "МСК" нет ни одной строки у объекта "Внешние обработки". Это означает, что для пользователя группы "МСК" не будут доступны внешние обработки. Однако, если пользователь будет входить в две группы: "МСК" и "Торговый дом", то ему будут доступны все внешние обработки, как на чтение, так и на запись. Поскольку для группы пользователей "Торговый дом" не назначено ограничение доступа к внешним обработкам.

Рисунок 2 - Обработка для ограничения доступа на уровне записей

Производительность

Следует иметь в виду, что при включении механизма ограничения доступа на уровне записей, возможно замедление системы. Это связано с реализацией механизма RLS: в каждый посылаемый запрос к БД вставляется условие, где выполняется проверка соответствующих прав. Таким образом, каждое обращение к базе данных выполняется немного медленнее, а нагрузка на сервер возрастает.

Также важно то, в чем большее количество групп входит пользователь, тем медленнее будет работать система в его сеансе. Поэтому для увеличения скорости, прежде всего, рекомендуется уменьшить количество групп, в которые пользователь входит.

Роли, для которых не настроен RLS

При настройке ограничения доступа на уровне записей следует иметь ввиду, что для некоторых ролей не настроен RLS.

· Для роли "Полные права" есть полный доступ ко всем объектам без ограничений на уровне записей.

· Для роли "Планирование" возможно чтение (просмотр) всех объектов без ограничений RLS.

· Роль "Финансист" допускает открытие многих объектов без проверки доступа на уровне записей.

Таким образом, при настройке профиля полномочий пользователя следует иметь в виду, что добавление одной из этих трех ролей может снять ограничения RLS. Например, для менеджера по продажам настроено ограничение доступа по организациям: пользователю доступны данные только по организации "МебельСтройКомплект". Если в профиль полномочий пользователя добавить кроме роли "Менеджер по продажам" роль «Финансист», то сотруднику в журнале "Документы контрагентов" будут видны документы по всем организациям.

Разграничение доступа по уровням в 1С:УПП - организации, подразделения, физические лица

Настройка доступа для справочников "Организации", "Подразделения", "Подразделение организаций"

Особенность справочника "Организации" заключается в том, что он не является иерархическим. Однако определение подчинения в нем возможно с помощью реквизита "Головная организация".

Справочники "Подразделения" и "Подразделения организаций" отличает то, что в нем организована иерархия элементов. Это означает, что любой элемент справочника может иметь подчиненные подразделения. При этом все записи равноправны, то есть, нет разделения на группы и элементы.

Перечисленные выше особенности означают, что значение реквизита "Вид наследования" можно заполнять либо значение "Распространить на подчиненных", либо "Только для текущего элемента".

По справочникам возможны следующие ограничения:

· Чтение – определяет возможность просмотра данных в справочнике "Организации", формирования отчетов, а также документов по выбранной фирме

· Запись – задает возможность создания и редактирования документов по выбранной организации

Отчет по системе прав в 1С:УПП

Для просмотра настроенных прав пользователей удобно использовать "Отчет по системе прав".

Отчет выводит данные:

· По настройкам ограничения доступа на уровне записей в разрезе групп пользователей

· Дополнительных прав пользователей в разрезе профилей

· По группам пользователей

· По профилям полномочий пользователей

Отчет по системе прав разработан с помощью "Системы компоновки данных", поэтому возможна его гибкая настройка.

Рисунок 3 - Отчет по системе прав

Просмотр прав доступа по ролям

Для того чтобы узнать какие роли имеют доступ к определенным объектам, необходимо воспользоваться конфигуратором. В ветке «Общие» -> «Роли» можно просматривать права, настроенные для каждой роли.

Если есть необходимость получить сводную таблицу, в строках которой будут выводиться объекты, а в колонках роли, то необходимо воспользоваться контекстным меню для корневого объекта "Роли".

Спасибо!

В данном материале мы рассмотрим, как в программном продукте «1С Бухгалтерии 8.3» работать с пользователями, а именно:

Создать нового пользователя;

Осуществлять настройку прав - профилей, ролей и групп доступа;

Как в вышеназванном программном продукте настроить ограничения прав на уровне записей - например, по предприятиям.

Важно сказать, что предложенную инструкцию можно использовать не только для бухгалтерских программных продуктов, но и для многих других, сформированных на основе « 2.х»: « 2.0», «Зарплата и управление персоналом 3.0», «Управление небольшой фирмой», «1С Управление торговлей 11» и т.д.

В интерфейсе программного продукта «1С» управления пользователями осуществляется в пункте под названием «Настройка пользователей и прав», что в разделе с именем «Администрирование»:

Как в «1С» сформировать нового пользователя?

Чтобы в нашем программном продукте сформировать нового пользователя и предоставить ему определенные права доступа, для начала нужно зайти в пункт под названием «Настройки пользователей и прав», что находится в меню «Администрирование».

В разделе под названием «Пользователи» происходит управление списком пользователей. Именно в нем существует возможность завести пользователя или определенным образом изменить уже существующего. Списком пользователей может управлять только пользователь, который имеет административные права.

Сейчас сформируем группу пользователей под названием «Бухгалтерия», а в ней 2 пользователей с названиями «Бухгалтер 1» и «Бухгалтер 2»

Что бы сформировать группу, нажмите выделенную на рисунке выше клавишу и введите наименование. Если имеет других пользователей, что подходят на роль бухгалтера, то их можно добавить в группу. В предлагаемом нами примере таких не нашлось, поэтому просто нажмем клавишу под названием «Записать и закрыть».

После этого нужно создать пользователей. Для начала необходимо установить курсор на нашу группу, а затем нажать на клавишу под названием «Создать»:

В полное наименование введите «Бухгалтер 1», наименование для входа введите «Бух1». Именно оно будет высвечиваться при входе в программный продукт. Пароль укажите «1».

Но надо обязательно убедиться, что флажки «Показывать в списке выбора» и «Вход в программу разрешен» установлены, ибо в противном случае при авторизации пользователь просто-напросто не сможет себя увидеть.

«Режим запуска» в данном случае нужно оставить «Авто».

Как настроить права доступа - профили и роли?

А сейчас необходимо отметить нужному пользователю «Права доступа». Однако для начала его необходимо записать, потому что в противном случае появится окно с предупреждением, как вы можете увидеть на рисунке выше. Далее нажмите на «Сохранить», затем на «Права доступа»:

После сделанного надо выбрать профиль под названием «Бухгалтер». Последний является стандартным и настроенным на основные права, которые нужно знать бухгалтеру. Далее необходимо нажать на клавишу под названием «Записать» и закрыть окно.

В данном окне, которое называется «Пользователь (создания)», нужно нажать на «Записать и закрыть». Аналогично можно сформировать и второго бухгалтера. Но в конце сделанных операций обязательно надо убедиться, что новые пользователи заведены и могут работать:

Бывает и такое, что один и тот же пользователь принадлежит к нескольким группам.

Поставленный флажок под названием «Отображать автора документа» будет говорить о том, что пользователь будет отображаться в документе.

Для бухгалтеров права доступа были заложены те, которые по умолчанию были заложены в программу. Однако бывают ситуации, когда какое-либо право нужно убрать или добавить. Разработчики предусмотрели этот момент, теперь пользователь имеет возможность сформировать свой профиль с перечнем необходимых для работы прав доступа.

Например, существует необходимость того, чтобы дать возможность бухгалтерам просматривать журнал регистрации. Создавать профиль с нуля - довольно трудоемкая работа, поэтому скопируйте профиль под названием «Бухгалтер»:

И внесите в него необходимые изменения - добавьте роль с именем «Просмотр журнала регистрации»:

Новому профилю дайте другое название, например, - «Бухгалтер дополнениями». После этого установите флажок с именем «Просмотр журнала регистраций».

А сейчас необходимо отредактировать профиль у тех пользователей, которых мы сформировали ранее.

Ограничение прав на уровне записи в программе «1С 8.3 ()»

Что же означает ограничение прав на уровне записи или как еще называют ее в 1C- RLS (Record Level Security)? С целью получения такой возможности, необходимо установить нужный флажок:

Программный продукт будет требовать подтверждения действия и даст знать, что подобные изменения могут работу системы значительно замедлить. Очень часто существует необходимость в том, чтобы определенным пользователям программы был закрыт доступ к определенным организациям. Именно для подобных случаев и существуют настройки на уровне записи.

Опять зайдите в раздел управления профилем, 2 раза кликните по профилю под названием «Бухгалтер дополнениями» и перейдите на закладку с именем «Ограничение доступа»:

«Вид доступа» выберите «Организации», «Значение доступа» выберите «Все разрешены, исключения назначаются в группах доступа». После этого нажмите на «Записать и закрыть».

Затем вернитесь в раздел «Пользователи» и выберите, например, пользователя «Бухгалтер 1». Далее нажмите на кнопку под названием «Права доступа»:

С помощью кнопки «Добавить» выберите предприятие, информацию о котором будет видеть «Бухгалтер 1».

Следует отметить, что использование механизма разграничения прав на уровне записей может в общем повлиять на производительность работы программного продукта. Памятка для программиста: суть RLS заключается в том, что система «1С» в каждый из запросов добавляет дополнительное условие, спрашивая данные о том, имеет ли определенный пользователь разрешение на доступ к этой информации.

Другие настройки

Такие разделы как «Копирование настроек» и «Очистка настроек» говорят сами за себя. Это настройки внешнего вида программного продукта и отчетов. Например, если пользователь хорошо совершил настройки внешнего вида справочника «Номенклатура», то без проблем его существует возможность тиражировать и на других пользователей.

В разделе под названием «Настройка пользователей» существует возможность несколько изменить внешний вид программного продукта и для удобства работы сделать некоторые дополнительные настройки.

Флажок с именем «Разрешить доступ внешним пользователям» позволяет добавлять и настраивать внешних пользователей. Например, пользователь на основе «1С» желает организовать интернет-магазин. Клиенты данного магазина как раз и будут внешними пользователями. А настройка прав доступа реализуется подобно обычным пользователям.

Система прав доступа позволяет описывать наборы прав, соответствующие должностям пользователей или виду деятельности. Структура прав определяется конкретным прикладным решением.

Кроме этого, для объектов, хранящихся в базе данных (справочники, документы, регистры и т.д.) могут быть определены права доступа к отдельным полям и записям. Например, пользователь может оперировать документами (накладными, счетами и т.д.) определенных контрагентов и не иметь доступа к аналогичным документам других контрагентов.

Роли

Для реализации ограничения прав доступа в прикладных решениях предназначены специальные объекты конфигурации - Роли. .

Интерактивные и основные права

Все права, поддерживаемые системой 1С:Предприятие, можно разделить на две большие группы: основные и интерактивные. Основные права описывают действия, выполняемые над элементами данных системы или над всей системой в целом, и проверяются всегда, независимо от способа обращения к данным. Интерактивные права описывают действия, которые могут быть выполнены пользователем интерактивно. Соответственно проверяются они только при выполнении интерактивных операций стандартными способами, причем в клиент-серверном варианте все проверки прав (кроме интерактивных) выполняются на сервере.

Основные и интерактивные права взаимосвязаны. Например, существует основное право Удаление, которому соответствуют два интерактивных права: Интерактивное удаление и Интерактивное удаление помеченных. Если пользователю запрещено Удаление, то и все интерактивные "удаления" также будут запрещены для него. В то же время, если пользователю разрешено Интерактивное удаление помеченных, это значит, что Удаление ему также разрешается.

Кроме того, основные права могут зависеть друг от друга. В результате образуются довольно сложные цепочки взаимосвязей, которые отслеживаются системой автоматически: как только разработчик снимает разрешение на какое-либо право, система сама снимает разрешения на все права, которые зависят от этого права. И наоборот, при установке какого-либо права разработчиком, система сама устанавливает все права, от которых это право зависит.

Например, для того, чтобы пользователь имел право Итерактивное удаление помеченных , ему необходимо обладать интерактивными правом Редактирование . Это право, в свою очередь, требует наличия интерактивного права Просмотр :

Право Интерактивное удаление помеченных Удаление . Интерактивное право Редактирование требует наличия основного права Изменение . Интерактивное право Просмотр требует наличия основного права Чтение .

Кроме этого основные права Изменение и Удаление требуют наличия основного права Чтение.

Ограничение доступа к данным на уровне записей и полей

Среди действий над объектами, хранящимися в базе данных (справочниками, документами и т.д.), есть действия, отвечающие за чтение или изменение информации, хранящейся в базе данных. К таким действиям относятся:

• чтение - получение записей или их фрагментов из таблицы базы данных;
• добавление - добавление новых записей без изменения существующих;
• изменение - изменение существующих записей;
• удаление - удаление некоторых записей без внесения изменений в оставшиеся.

Для этих действий в процессе настройки ролей могут быть заданы дополнительные условия на данные (ограничение доступа к данным). В этом случае над конкретным объектом, хранимым в базе данных, может быть выполнено запрошенное действие только в том случае, если ограничение доступа к данным для данных этого объекта принимает значение "истина". Аналогичные условия могут быть заданы и для таблиц базы данных, не имеющих объектной природы (регистров).

Для объектных таблиц и регистров сведений могут быть заданы разные ограничения для различных полей таблицы, что позволяет определять ограничения не только на уровне записей базы данных, но и на уровне отдельных ее полей:

Ограничение доступа к данным представляет собой условие, описанное на языке, который является подмножеством языка запросов. Это условие применяется для каждой записи таблицы базы данных, над которой выполняется операция. Если условие принимает значение "истина", то операция выполняется, а если нет, то не выполняется. Условие ограничения доступа может быть уточнено с помощью инструкций препроцессора(#ЕСЛИ <условие>, #ТОГДА.. и др.), что сделает его более эффективным. При просмотре списков и формировании отчетов существует возможность обеспечить отображение только тех данных, доступ к которым пользователю разрешен.

Для регистров накопления, бухгалтерского учета и расчета условия позволяют разграничить доступ по значениям измерений (для регистров бухгалтерского учета по балансовым измерениям), а для объектных данных и регистров сведений условия позволяют разграничивать доступ к данным по любым полям.

Условия ограничения можно ввести вручную или создать с помощью конструктора ограничений доступа к данным .

Параметры сеанса

Параметры сеанса представляют собой объекты прикладного решения, которые предназначены для использования в ограничениях доступа к данным для текущего сеанса (но могут применяться и для других целей). Их значения сохраняются в течение данного сеанса 1С:Предприятия. Использование параметров сеанса позволяет снизить время доступа к данным при ограничении доступа на уровне записей и полей. .

Выполнение на сервере без проверки прав

Привилегированные модули

Существует возможность назначения привилегированных модулей. В такие модули могут быть перенесены операции, использующие данные, на которые у текущего пользователя нет прав.

Например, пользователю могут быть назначены права, позволяющие создавать новый документ. Однако никаких прав на регистр, в котором этот документ создает движения при проведении, пользователю не дано. В такой ситуации процедура проведения документа может быть вынесена в привилегированный модуль, который выполняется на сервере без проверки прав. В результате, несмотря на то, что соответствующий регистр для пользователя недоступен, пользователь все же сможет проводить созданные им документы.

Привилегированный режим исполнения программного кода

Привилегированный режим исполнения кода, аналогичный режиму работы кода привилегированных модулей, можно включить/выключить средствами встроенного языка. Для этого в глобальном контексте предусмотрена процедура УстановитьПривилегированныйРежим() , а также функция ПривилегированныйРежим() , которая позволяет определить, включен привилегированный режим, или нет.

Использование привилегированного режима позволяет, во-первых, ускорить работу, так как не будут накладываться ограничения на доступ к данным, а во-вторых, позволяет выполнять операции с данными от лица пользователей, которым эти данные недоступны.

Привилегированный режим рекомендуется использовать тогда, когда с логической точки зрения нужно отключить проверку прав, или когда можно отключить проверку прав, чтобы ускорить работу. Допустимо использовать привилегированный режим тогда, когда работа с данными от лица некоторого пользователя не нарушает установленные для этого пользователя права доступа.

Здравствуйте уважаемые читатели блога . Пришлось немного затянуть с очередной статьей в связи с интенсивной сдачей отчетности и большим количеством поступающих вопросов по этому поводу. Кстати, и Вы можете задавать свои вопросы в чате или на отправлять сообщения напрямую мне на почту. Но хватит рекламы) Сегодня мы поговорим о новых полезных и интересных возможностях, которые нам дарит новая платформа 1С Предприятия 8.3 и конфигурации, построенные на её основе: Зарплата и Управление Персоналом 3.0 и Бухгалтерия Предприятия 3.0 .

В статье пойдет речь о том, как самостоятельно настроить доступ пользователя только к тем документам, справочникам и отчетам, которые ему нужны для работы и ограничить доступ к остальным. В этом нам поможет командный интерфейс с гибкой настройкой, появившийся в программах 1С редакции 3.0. Обсуждать особенности разграничения прав доступа на объекты программы мы будем на основе конфигурации 1С ЗУП 3.0, но этот же механизм можно с успехом использовать и для программного продукта 1С Бухгалтерия Предприятия 3.0. Собственно, я и изучил этот вопрос, когда оказывал по настройке пользователей именно в Бух 3.0.

Как создать пользователя в обычном пользовательском режиме работы 1С редакции 3.0

✅

✅

✅

Хочу сразу заметить, что работать нам предстоит и с обычным пользовательским режимом эксплуатации программы, и с режимом конфигуратора. В этом нет ничего страшного и сложного, программировать не придется) Также сразу замечу, что скриншоты в этой статье будут представлены из нового, не так давно появившегося в программах 1С редакции 3.0 интерфейса «Такси» . Чтобы на него переключиться достаточно открыть сервисное меню и там найти настройки параметров. В окне параметров в группе переключателей «Внешний вид» следует выбрать интерфейс «Такси» и перезагрузить программу. Хотя, кому удобно может оставаться в обычном интерфейсе, все документы, справочники и настройки, которые я буду обсуждать в статье, идентичны в этих интерфейсах.

Разберем ситуацию, когда у Вас ещё нет нужного пользователя. Создавать пользователя необходимо в обычном пользовательском режиме. Переходим в раздел главного меню «Администрирование» и там находим пункт «Настройки пользователей и прав».

Если требуется, то можно сразу установить пароль.

Теперь, что касается прав доступа для этого нового пользователя. Их устанавливать не надо. В настройку прав доступа можно попасть непосредственно из формы, в которой настраивается пользователь. Достаточно в её верхней части перейти по ссылке «Права доступа». Так вот, необходимо, чтобы в правах доступа (и на закладке «Группы доступа» , и на закладке «Разрешенные действия (роли)» ) всё было пусто. Права мы будем настраивать не в пользовательском режиме, а в конфигураторе 1С, чуть позже.

Но в этом отношении есть важная особенность. Необходимо, чтобы в базе был хотя бы один пользователь, который имеет административные права. У меня таким пользователем является Администратор. Он входит в группу доступа «Администратор» и имеет роли «Администратор системы» и «Полные права».

Теперь нам следует перейти в режим конфигуратора и уже в нем продолжить настройку. Для этого при запуске 1С выбираем нужную базу и жмем кнопку «Конфигуратор». Только не следует заходить под новым пользователем. Он пока не имеет никаких прав, и работа будет невозможна. Входить следует под пользователем с полными правами, в моем случае это «Администратор».

После открытия окна конфигуратора давайте убедимся, что и здесь отображается, созданный нами новый пользователь. Список пользователе в конфигураторе хранится в разделе главного меню «Администрирование» -> «Пользователи».

Обратите внимание, что у пользователя стоит вопросительный знак. Это означает, что для него не определено ни одной роли, т.е. другими словами, не задано прав доступ. «Роли» — это объект конфигурации. В каждой роли устанавливается набор документов, справочников, отчетов, к которым имеет доступ пользователь, обладающей этой ролью. Все доступные роли мы можем увидеть если откроем пользователя и перейдем на закладку «Прочие».

Напомню, что нам надо настроить доступ сотрудника к произвольному набору документов, справочников и отчетов. При этом я даже не стал конкретизировать о каком наборе идет речь, это не так важно. А важно то, что для таких случаев в конфигурации нет и не может быть подходящей роли. Разработчики 1С не в состоянии предусмотреть все возможные варианты разграничения доступа к объектам, которые встречаются на практике. А запросы у конечного пользователя бывают очень даже экстравагантные.

Режим редактирования типовой конфигурации в 1с

✅ Семинар «Лайфхаки по 1C ЗУП 3.1»
Разбор 15-ти лайфхаков по учету в 1с зуп 3.1:

✅ ЧЕК-ЛИСТ по проверке расчета зарплаты в 1С ЗУП 3.1
ВИДЕО - ежемесячная самостоятельная проверка учета:

✅ Начисление зарплаты в 1С ЗУП 3.1
Пошаговая инструкция для начинающих:

Как Вы, наверное, уже поняли веду я к тому, что нам придется создать свою собственную роль . При этом следует обговорить одну важную деталь. Создание новой роли означает внесение изменения в типовую конфигурацию. Для тех, у кого конфигурация уже дорабатывалась и не является типовой, ничего не изменится. Для начала я расскажу, как определить типовая конфигурация или уже нет.

Во-первых, необходимо открыть конфигурацию. Для этого в разделе главного меню «Конфигурация» нажимаем «Открыть конфигурацию» . После этого в левой части конфигуратора появится окно с древовидной структурой всех объектов информационной базы. Во-вторых, также в разделе главного меню «Конфигурация» переходим в пункт «Поддержка» -> «Настройка поддержки». Откроется одноименное окно. Если окно имеет вид, как на скриншоте, то значит у Вас конфигурация типовая. При этом я имею ввиду наличие надписи «Конфигурация находится на поддержке» и наличие кнопки .

Итак, если у Вас типовая конфигурация, то нам придется включить возможность её изменения, иначе мы не сможем создать новую роль. Отдельно хочу отметить, что с точки зрения обновления особых сложностей не возникнет, так как мы будет создавать новую роль, а не изменять существующие, поэтому все типовые объекты конфигурации так и останутся типовыми. Для включения возможности редактирования конфигурации надо в окне «Настройка поддержки» нажать на кнопку «Включить возможность изменения» .

Возможно, в следующих публикациях я более подробно напишу про такого рода обновления. Итак, в этом окне нам надо ответить «Да».

Далее откроется окно «Настройка правил поддержки», где необходимо выбрать переключатель «Объект поставщика редактируется с сохранением поддержки». Для нашей задачи этого будет вполне достаточно. Только учтите, что после нажатия «ОК» придется немного подождать, прежде чем продолжить работу.

После этого в дереве объектов конфигурации (помните, когда мы открывали конфигурацию, оно у нас открылось в левой части конфигуратора) должны исчезнуть замочки, а в окне «Настройка поддержки» появится надпись «Конфигурация находится на поддержке с возможностью изменения».

Как создать новую роль в конфигураторе 1С

✅ Семинар «Лайфхаки по 1C ЗУП 3.1»
Разбор 15-ти лайфхаков по учету в 1с зуп 3.1:

✅ ЧЕК-ЛИСТ по проверке расчета зарплаты в 1С ЗУП 3.1
ВИДЕО - ежемесячная самостоятельная проверка учета:

✅ Начисление зарплаты в 1С ЗУП 3.1
Пошаговая инструкция для начинающих:

Вот теперь мы можем приступить к созданию новой роли. Ещё раз поясню, что такое «Роль» — это набор прав, определяющих возможность просмотра или редактирования справочников, документов и прочих объектов конфигурации. Просмотр и редактирование – это наиболее понятные варианты прав доступа, но есть и многие другие. Чтобы стало понятнее давайте выберем в дереве объектов Роль «Полные права» (Общие -> Роли -> Полные права). Откроется окно настройки. В этом окне слева перечислены все объекты программы (справочники, документы, отчеты и прочие), а справа те права, которые в этой роли определены для каждого из объектов. На скриншоте это видно.

Теперь напомню задачу. Нам необходимо обеспечивать возможность работы пользователя только с ограниченным кругом документов, отчетов и справочников. Наиболее очевидным вариантом является – создать новую роль и определить доступ только к нужным объектам. Однако, в конфигурации есть большое количество всяких служебных объектов, таких как константы, общие формы, общие модули, регистры различного назначения и для нормальной работы пользователя необходимо иметь доступ к этим общим объектам. Их довольно много и очень легко какой-то объект упустить. Поэтому я предложу несколько другой подход.

Давайте создадим новую роль путем копирования типовой роли «Полные права». Эту новую роль назовем «Роль_Фролова». Для редактирования наименования роли надо зайти в свойства и без пробелов задать новое имя.

Теперь давайте эту роль установим для пользователя «Фролова». Перед этим нам надо сохранить информационную базу, чтобы только что созданная роль появилась в списке доступных ролей пользователя. Жмем клавишу F7 или нажимаем соответствующую кнопку в панели инструментов. После этого можно устанавливать эту роль нашему пользователю. Заходим в список пользователей (Администрирование -> Пользователи) и на закладке «Прочие» ставим галочку напротив роли «Роль Фролова». Жмем «Ок».

Пока эта роль полностью идентична исходной («Полные права»). В таком виде мы её и оставим. Пока. А настраивать доступ к документам и справочникам будем, используя возможности гибкой настройки командного интерфейса программы 1С .

Как настроить элементы командного интерфейса в 1С

Теперь нам предстоит вернуться в обычный пользовательский режим работы, т.е. как при обычной работе в 1С. Нам надо запуститься под нашим новым пользователем – Фролов С.М. Это можно сделать из конфигуратора. Однако предварительно надо установить настройку, чтобы при запуске Предприятия из конфигуратора запрашивался пользователем, под которым следует запускаться. Для этого в главном меню выбираем «Сервис» -> «Параметры» и на закладке «Запуск 1С:Предприятия» в разделе «пользователь» устанавливаем переключатель «Имя», жмем ОК и можем запускать пользовательский режим непосредственно из конфигуратора. Для этого используем команду из главного меню «Сервис» -> «1С:Предприятие». И не забудьте, что выбрать мы должны пользователя Фролова.

Когда программа запустится под пользователем Фроловым, ему будут доступны все объекты, поскольку его роль создана копированием полных прав, и мы ничего не меняли. Давайте допустим, что для этого пользователя требуется оставить лишь возможности кадрового ведения учета, но не все, а только прием, перемещение и увольнение. Для начала надо убрать все лишние разделы и оставить только один – «Кадры».

Для этого заходим в служебное меню Вид -> Настройка панели разделов . В открывшемся окне переносим все ненужные разделы из правой колонки в левую.

Теперь обратите внимание, что у нас останется всего 2 раздела «Главное» и «Кадры». «Главное» мы убрать не можем, поэтому необходимо в этом разделе оставить только нужные ссылки. Для этого переходим в этот раздел и в правом верхнем углу жмем «Настройка навигации» . Это окно похоже на то, в котором мы убирали лишние раздела, и оно имеет такой же принцип работы. В правой колонке оставляем только нужные документы и справочники.

И в результате в разделе «Главное» у нас получится только необходимый кадровику набор документов, отчетов и справочников.

Что касается раздела «Кадры», то его можно оставить в исходном виде или настроить более тонко, если, например, кадровик не должен иметь дело с больничными, отпусками и декретными. То точно также в панели навигации эти документы можно убрать. На этом я подробно останавливаться не буду, поскольку это уже зависит от конкретной задачи.

Отмечу только ещё один элемент, который также надо настроить, чтобы избежать возможность доступа пользователя к закрытым для него данным. Этим элементом является «Начальная страница » или как её ещё называют «Рабочий стол» . Он автоматически открывается при запуске пользовательского режима. Для настройки начальной страницы следует открыть служебное меню Вид -> Настройка начальной страницы. Откроется окно, в котором из перечня доступных форм можно настроить состав левой и правой колонки. Вы бор доступных форм не такой уж и большой. Так, например, для нашей ситуации, где сотрудник занимается кадрами не следует давать ему доступ к такой форме как «Расчет зарплата: Форма». Но я решил вообще убрать все формы, чтобы лишний раз не искушать пользователя. Начальная страница будет пустой.

Окончательная настройка роли пользователя в конфигураторе 1С

Итак, предположим, что мы настроили доступ ко всем необходимым документам и справочникам для нашего кадровика, используя возможности командного интерфейса. Теперь главный вопрос как же сделать так, чтобы пользователь сам не смог открыть настройки интерфейса и открыть себе доступ к запрещенным документам. Для этого следует вернуться в конфигуратор и в дереве объектов конфигурации выбрать Общие -> Роли -> Роль_Фролова. Открываем эту роль. Теперь в открывшемся окне позиционируем курсор на надписи «ЗарплатаИУправлениеПерсоналом», а в колонке «Права» ищем настройку «Сохранение данных пользователя» . Убираем галочку напротив этой настройки. Это означает, что пользователь сам не сможет настроить содержимое панелей разделов, панели навигации и рабочего стола, а значит из командного интерфейса не получит доступ к запрещенным разделам.

Чтобы в этом убедиться можно зайти в базу под пользователем Фроловым и попробовать открыть настройку разделов или навигации. При этом в служебном меню пункт «Вид» вы не найдете. Он стал недоступен, так как мы убрали у роли пользователя Фролова право на «Сохранение данных пользователя».

Таким образом мы ограничили пользователю видимость объектов только теми справочниками, документами и отчетами, которые ему действительно нужны для работы. При этом в режиме конфигуратора в правах этого сотрудника отредактировали всего лишь одну галочку.

Однако это ещё не всё. Мы ограничили явный доступ к запрещенным объектам. Однако пользователь может попасть в нежелательный справочник или документ из доступного ему документа. Так наш кадровик Фролов из документа «Прием на работу» может открыть справочник «Организации» и случайно или целенаправленно изменить там какие-то данные. Чтобы похожей ситуации не произошло, следует просмотреть и проанализировать все объекты, которые связаны с доступными пользователю документами и справочниками. А затем в конфигураторе открыть роль нашего пользователя и запретить редактирование или вообще просмотр нежелательных объектов. Конкретный вариант выбирать Вам самим, в зависимости от поставленной задачи.

Вот и всё! Довольно сложную задачу мы решили не очень сложным способом. Тот, кто дочитал до конца может по праву гордиться собой) Если я что-то упустил и у Вас есть замечания, буду рад и увидеть в комментариях к статье.

Скоро появятся новые интересные материалы на .

Чтобы узнать первыми о новых публикациях подписывайтесь на обновления моего блога:

01.06.2018

Как в типовой конфигурации "1С:Бухгалтерия предприятия" редакция 3.0 настроить права доступа пользователей таким образом, чтобы каждый пользователь мог создавать, просматривать и редактировать документы только определенных организаций.

Функциональные возможности типовой конфигурации "1С:Бухгалтерия проедприятия" версии ПРОФ позволяют вести учет от лица нескольких организаций (юр.лиц или ИП) в одной общей информационной базе, что позволяет использовать общие справочники и получать сводную аналитическую информацию сразу по нескольким организациям, входящим в группу компаний.

Естественно, что при этом возникает необходимость некоторым пользователям дать возможность работы от лица только одной или нескольких строго определенных организаций и ограничить доступ к данным других организаций.

В программах на технологической платформе 1С:Предприятие 8.3 данная задача решается с помощью механизма ограничения доступа данных на уровне записей RLS, что можно расшифровать как Record Level Security (безопасность на уровне записей) или Row Level Security (безопасность на уровне строк).

Раньше данный механизм приходилось встраивать в режиме конфигурирования с помощью программистов. В типовой конфигурации "1С:Бухгалтерия предприятия" редакции 3.0 функциональные возможности механизма ограничения доступа в разрезе организаций уже входит в типовой функционал и может быть включен и настроен обычным пользователем (с правами администратора) самостоятельно без помощи специалистов.

Данный способ настройки прав доступа RLS в разрезе организаций можно использовать в типовой конфигурации "Бухгалтерия предприятия" редакция 3.0, как в локальной версии, установленной на компьютере пользователя, так и в облачной версии 1С:Бухгалтерии .

Рассмотрим настройку RLS на примере типовой конфигурации "1С:Бухгалтерия предприятия 8" редакции 3.0 (Интерфейс "Такси").

Исходные данные.

Имеется информационная база, в которой ведется учет четырех организаций, из которых одно ИП и три ООО (см.рис.)

В данной информационной базе будут работать один Администратор и три пользователя: главный бухгалтер, один руководитель подразделения и менеджер по продажам.

Необходимо настроить права пользователей следующим образом:

Настройка

Первым делом необходимо включить возможность ведения разграничения прав доступа по организациям. Для этого в разделе "Администрирование" выберите пункт "Настройка пользователей и прав"

В открывшейся форме в подразделе "Группы доступа" поставьте "галку" напротив "Ограничивать доступ на уровне записей".

Обратите внимание, что включение данного механизма разграничения прав может привести к значительному снижению скорости работы системы (особенно, если она и до этого работала не быстро) и повышению требований к производительности используемого компьютерного и серверного оборудования.
Причиной снижения скорости работы является то, что к стандартным запросам при обращениях к данным добавляются дополнительные отборы и каждый раз, когда пользователь будет обращаться к каким-либо данным информационной базы, программа будет осуществлять дополнительную проверку.
Поэтому, прежде чем включать эту настройку, мы рекомендуем сначала проверить ее влияние на скорость работы программы на тестовой копии вашей информационной базы.

После этого в справочнике "Пользователи" выбираем пользователя, права которого будем настраивать и нажимаем кнопку "Права доступа".

Профиль "Администратора" дает возможность доступа ко всем данным всех организаций, дополнительная настройка прав администратора не требуется. В системе должен быть хоть один пользователь с правами администратора.

Сначала настроим права главного бухгалтера "Иванова Анна Сергеевна", которой необходимо предоставить полный доступ ко всем организациям.

Откроется окно настройки прав.

Необходимо выбрать профиль пользователя "Главный бухгалтер".

У главного бухгалтера должен быть полный доступ ко всем организациям, поэтому в правом окне колонке "Значение доступа" выбираем "Все разрешены".

Справедливости ради можно отметить, что "Главному бухгалтеру" можно было назначить права "Администратора" - это бы автоматически дало бы доступ к данным всех организаций, но тогда в интерфейсе у Главного бухгалтера также будут пункты администрирования системы.
Это можно сделать, если у нет отдельного администратора и его роль выполняет главбух, но не следует назначать одному пользователю более одной роли.

Если в конфигурации описано несколько ролей с ограничением доступа на уровне записей (RLS), то не рекомендуем назначать одному пользователю более одной такой роли (например, бухгалтер и кадровик), т.к. при выполнении всех запросов к их условиям будут добавляться условия обоих RLS с использованием логического ИЛИ, что может привести к снижению скорости обработки запроса и в итоге всей программы

Если настройка производится в облачном сервисе "1С:Фреш", то при сохранении настроек программа может запросить подтверждение изменений прав доступа, для чего необходимо будет вести пароль пользователя, от лица которого производится настройка.

Следующий пользователь Попов Владимир Иванович, которому необходимо предоставить полный доступ к документам одной организации "ИП Попов В.И.".

Ограничение доступа к данным можно настроить двумя способами: по принципу "белого" или "черного списка", т.е. можно пользователю настроить доступ к списку разрешенных организаций и тогда пользователь будет иметь доступ к данным той организации, которая указана в этом списке или наоборот настроить список запрещенных организаций и тогда пользователь будет иметь доступ к данным всех организаций в информационной базе, кроме тех, которые указаны в данном списке.

Выбираем профиль "Главный бухгалтер", в колонке "Вид доступа" в правом верхнем окне выбираем "Все запрещены". После этого в окне "Разрешенные значения" нажимаем кнопку "Добавить" и в выпадающем меню выбираем ИП Попов В.И.

Сохраняем настройки.

Переходим к настройке прав следующего пользователя Сидоров Петр Николаевич, которому необходимо предоставить доступ только к выписке первичных документов отдела продаж от лица только двух организаций: ООО "Лидер" и ООО "Мебельщик".

Выбираем профиль "Менеджер по продажам". Значение доступа выбираем "Все запрещены". В окне "Разрешенные значения" сначала выбираем ООО "Лидер", а потом еще раз нажитмаем кнопку добавить и выбираем вторую организацию ООО "Мебельщик".

Сохраняем настройки.

Если данная информация оказалась для вас полезной, то лайкаем статью в соцсетях и делимся ссылкой на любимых форумах))).

Компания "Онлайн", 2018

Как в 1С:Бухгалтерия предприятия редакции 3.0 настроить права пользователей в разрезе организаций, Ограничение прав доступа пользователей на уровне записей к данным только одной организации в 1С:Бухгалтерии с помощью механизма RLS (Record Level Security), Пользователь должен видеть документы только своей организации в многофирменной информационной базе 1С:Бухгалтерии, Как в 1С:Бухгалтерии использовать механизм ограничения доступа на уровне записей (RLS - Record Level Securiy) для настройки прав пользователя к документам только одной организации? Настройка механизма разграничения прав на уровне записей RLS (Record Level Security) в 1С:Бухгалтерии 8.3, На предприятии в одной информационной базе конфигурации 1С:Бухгалтерия предприятия 3.0 ведется учет нескольких организаций и пользователям базы данных необходимо настроить доступ таким образом, чтобы каждый пользователь мог видеть документы только нужных организаций? Как в 1С:Бухгалтерии 8.3 разрешить пользователю доступ к данным только одной организации, Настройка системы RLS ограничения прав пользователя для доступа к документам только одной организации в конфигурации 1С:Бухгалтерия предприятия ред.3.0, Как настроить ограничение доступа на уровне записей RLS в типовой конфигурации 1С:Бухгалтерия 8.3, Ограничения доступа по организациям в 1С:Бухгалтерии 8.3. с помощью механизма RLS, Как в 1С:Бухгалтерии 8.3 настроить права доступа пользователю к данным только одной организации, Как в 1С:Бухгалтерии 8 скрыть организации для некоторых пользователей, Настройка системы RLS (Row Level Security - ограничение прав на уровне строк) в 1С:Бухгалтерия предприятия ред.3.0, Ограничение доступа к данным только одной организации у конкретного пользователя в 1С:Бухгалтерии 8.3, Как в типовой конфигурации 1С:Бухгалтерия предприятия редакции 3.0 настроить права доступа пользователей в разрезе организаций, Как включить возможность настройки ограничения доступа на уровне записей в типовой конфигурации 1С:Бухгалтерия предприятия ред.3.0, Как при многофирменном учете в 1С:Бухгалтерии разрешить пользователю доступ к документам только одной организации, Как в конфигурации 1С:Бухгалтерия предприятия 3.0 настроить права доступа пользователя к документам только одной организации, Настройка системы RLS (Record Level Security - ограничение прав на уровне записей) в конфигурации 1С:Бухгалтерия предприятия ред.3.0, Настройка механизмов RLS для ограничения пользователю прав доступа к данным только одной организации в конфигурации 1С:Бухгалтерия предприятия ред.3.0, Ограничение доступа к документам только одной организации у конкретного пользователя в 1С:Бухгалтерия предприятия 3.0, Как скрыть документы одной организации в общей базе 1С:Бухгалтерии для одного пользователя, В одной информационной базе 1С:Бухгалтерии ведется учет нескольких организаций, как настроить RLS чтобы пользователь мог видеть документы только своей организации? На предприятии в одной информационной базе 1С:Бухгалтерии ведется многофирменный учет и пользователям базы данных необходимо настроить доступ таким образом, чтобы каждый пользователь мог создавать, просматривать и редактировать документы только определенных организаций? Как в 1С:Бухгалтерии 8.3 с помощью механизма RLS (Record Level Security - ограничение прав на уровне записей) настроить ограничение видимости документов для конкретного пользователя в разрезе выбранных организаций?

Теги: Настройка RLS в 1С:Бухгалтерии 8.3, Как настроить ограничение прав на уровне записей в 1С БП 3.0 Обзоры