Описание прав пользователей в 1с 8.3. Бухучет инфо. Синхронизация данных с другими программами

Перед каждым начинающим администратором информационных баз 1С рано или поздно возникает вопрос: как в 1С добавить пользователя. И если в 7 версии программы ответ на этот вопрос можно было дать однозначно: через Конфигуратор, то в восьмерке, в зависимости от версии программы, методы добавления пользователя могут существенно различаться.

Для чего нужно разграничение по пользователям

Каждый пользователь информационной базы обладает набором определенных прав и ролей. Для ограничения доступа к конкретным объектам конфигурации и исключения конфликтных ситуаций, связанных с некорректным вводом и исправлением информации и существует список пользователей.

Кроме этого список пользователей позволяет:

  1. Регулировать интерфейс программы, исключая из визуального отображения те элементы, доступ к которым не нужен;
  2. Фиксировать изменения в базе данных в разрезе этого списка.

Главное правило при редактировании этого списка: пользователь с полными (административными) правами всегда должен быть добавлен первым.

Добавление пользователя через Конфигуратор

Фактически, с точки зрения программиста, главный список пользователей хранится в Конфигураторе. Именно его можно открыть зайдя в меню Администрирование->Пользователи (Рис.1)

В открывшейся таблице будет видны две колонки «Имя» и «Полное имя» пользователя. Действия с уже существующим пользователем (ограничение и добавление прав, изменение пароля и т.д.) можно выполнить активировав строку двойным щелчком мыши.

Для добавления нового пользователя необходимо нажать значок на командной панели таблицы или кнопку Insert (Ins) на клавиатуре, в результате откроется диалоговое окно (Рис.2)

Рис. 2

Коротко по элементам формы на закладке «Основные»:

  • Имя – содержит текстовую информацию, которая будет отображаться в списке выбора пользователя при входе в систему, имя текущего пользователя может быть прочитано в коде модулей программы с помощью метода ИмяПользователя();
  • Полное имя – может совпадать с именем пользователя, чаще всего сюда записывают полное ФИО сотрудника.
  1. Внутренними средствами программы, для чего необходимо задать пароль пользователя;
  2. Средствами операционной системы;
  3. При помощи OpenID.

Галочка «Показывать в списке выбора», установленная в подменю «Аутентификация 1С Предприятия» указывает на то, что пользователь будет отображаться в списке, вызываемом при запуске системы. Если её не устанавливать, то для входа этого пользователя он будет должен ввести свое имя (как оно задано в Конфигураторе) с помощью клавиатуры в соответствующее окно.

Рис. 3

На закладке «Прочие» (Рис.3) всего четыре элемента:

  • Доступные роли (устанавливая те или иные галочки, можно существенно ограничивать или увеличивать возможности для изменения информации);
  • Основной интерфейс (можно регулировать визуальное отображение системы);
  • Язык (основной язык программы);
  • Режим запуска (управляемое или обычное приложение).

Добавление пользователя в режиме 1С Предприятие

Начиная с платформы 8.2, добавление новых пользователей стало доступно в режиме 1С Предприятия. Для этого в базу был добавлен соответствующий справочник «Пользователи».

В режиме тонкого клиента доступ к нему можно получить, зайдя на закладку «Администрирование» (Рис.4)->Настройки пользователей и прав-> Пользователи

Рис. 4

В открывшейся форме для создания нового пользователя необходимо нажать кнопку «Создать». Появится окно (Рис.5)

Рис. 5

Как видно, часть элементов этого окна совпадает с окном создания нового работника в Конфигураторе. Значительные отличия такого метода добавления:

  • Пользователю можно сопоставить конкретное физическое лицо из соответствующего справочника;
  • Установив галочку «Потребовать установку пароля при входе» можно дополнительно защитить базу от несанкционированного доступа (механизм защиты следующий: администратор, добавляющий новый элемент задает простейший пароль и сообщает его юзеру, при первом входе в системе этот пароль вводится, и при старте системы возникает окно запрашивающее новые идентификационные данные, таким образом, никто кроме пользователя не сможет авторизоваться в системе);
  • Конкретные разрешения на доступ того или иного юзера выдаются не включением и выключением его ролей, а добавление его в определенные группы доступа, куда можно попасть активировав соответствующую ссылку на форме.

Определяющий набор прав профиль хранится в справочнике «Группы пользователей», изменять и добавлять профиль можно в справочнике «Профили групп пользователей». Таким образом, у Администратора нет необходимости в контроле за каждым конкретным юзером, изменение параметров доступа осуществляется для всей группы в целом.

В режиме обычного приложения справочники «Пользователи» можно найти в меню Операции->Справочники (Рис.6)

Рис. 6

В принципе, окно добавления нового исполнителя в этом режиме мало отличается от представленных выше и повторно описывать каждый его элемент нет необходимости.

Нам бы в статье хотелось обратить внимание на меню «Дополнительные сведения» (Рис.7)

Рис. 7

Оно содержит 4 пункта:

  1. Настройки пользователя;
  2. Контактная информация;
  3. Группы доступа;
  4. Дополнительные права (не доступны, когда у пользователя указан профиль).

Первый пункт меню позволяет автоматизировать некоторые действия исполнителя: настроить автоподстановку реквизитов документа, отображение календарей и событий, префиксы и т.д.

Как показывает опыт использования системы 1С, меню «Дополнительные права», чаще всего требуется для возможности включения редактирования печатных форм документов. Именно здесь находится соответствующая галочка.

Созданный в программе юзер автоматически будет добавлен в список в Конфигураторе. Обратной связи в новых версиях программы нет, что крайне неудобно и непривычно для администраторов, работающих по старинке.

1С имеет встроенную систему прав доступа (эта система называется — роли 1С). Эта система является статической – как администратор поставил права 1С, так и будет.

Дополнительно, действует динамическая система прав доступа (называется – RLS 1С). В ней права 1С динамически высчитываются в момент работы пользователя на основании заданных параметров.

Одной из самых распространенных настроек безопасности в различных программах является набор разрешений на чтение/запись для групп пользователей и далее – включение или исключение пользователя из групп. Например, подобная система используется в Windows AD (Active Directory).

Такая система безопасности в 1С называется – Роли 1С. Роли 1С – это , который находится в конфигурации в ветке Общие/Роли. Роли 1С выступают в качестве групп, для которых назначаются права 1С. Далее пользователь включается или исключается из этой группы.

Нажав два раза на название роли 1С — Вам откроется редактор прав для роли 1С. Слева – список объектов 1С. Выделите любой и справа отобразятся варианты прав доступа (как минимум: чтение, добавление, изменение, удаление).

Для верхней ветки (название текущей конфигурации) устанавливаются административные права 1С и доступ на запуск различных вариантов .

Все права 1С поделены на две группы – «просто» право и такое же право с добавлением «интерактивное». Что это значит?

Когда пользователь открывает какую-либо форму (например, обработку) и нажимает на ней кнопку – то программа на встроенном языке 1С выполняет определенные действия, например удаление документов. За разрешение этих действий (выполняемых программно) – отвечают «просто» права 1С.

Когда пользователь открывает журнал и начинает делать что-то с клавиатуры самостоятельно (например, вводить новые документы) – это «интерактивные» права 1С.

Пользователю может быть доступно несколько ролей, тогда разрешения складываются.

Разрез возможностей установки прав доступа с помощью ролей – объект 1С. То есть Вы можете или включить доступ к справочнику или отключить. Включить немножко нельзя.

Для этого существует расширение системы ролей 1С под названием 1С RLS. Это динамическая система прав доступа, которая позволяет ограничить доступ частично. Например, пользователь видит только документы по определенному складу и организации и не видит остальные.

Аккуратно! При использовании запутанной схемы RLS 1С у разных пользователей могут быть вопросы, когда они попытаются сверить один и тот же отчет, сформированный из под разных пользователей.

Вы берете определенный справочник (например, организации) и определенное право (например, чтение). Вы разрешаете чтение для роли 1С. В панели Ограничение доступа к данным Вы устанавливаете текст запроса, который возвращает ИСТИНА или ЛОЖЬ в зависимости от настроек. Настройки обычно хранятся в регистре сведений (например регистр сведений конфигурации Бухгалтерия НастройкиПравДоступаПользователей).

Данный запрос выполняется динамически (при попытке реализовать чтение), для каждой записи справочника. Таким образом, для тех записей, для которых запрос безопасности вернул ИСТИНА – пользователь увидит, а остальные – нет.
Права 1С, на которые установлены ограничения RLS 1С – подсвечены серым.

Копирование одних и тех же настроек RLS 1С делается с помощью шаблонов. Вы делаете шаблон, называете его (например) МойШаблон, в нем указываете запрос безопасности. Далее, в настройках права доступа 1С указываете имя шаблона вот так: «#МойШаблон».

При работе пользователя в режиме 1С Предприятие, при работе RLS 1С, у него может появляться сообщение об ошибке «Недостаточно прав» (например, на чтение справочника Ххх).

Это значит, что RLS 1С заблокировала чтение нескольких записей.

Для того, чтобы такого сообщения не появлялось, необходимо в тексте запроса на встроенном языке 1С использовать слово РАЗРЕШЕННЫЕ ().

Например:

Профиль полномочий в программе 1С:УПП сочетает в себя:

· Разграничение доступа к объектам , определяется списком ролей

· Доступ к функциональным возможностям , задается настройкой дополнительных прав.

Примеры профилей:

· оператор - возможность создания документов отгрузки

· менеджер по продажам – кроме создания документов возможно изменение цены

· старший менеджер по продажам – возможность отключения контроля взаиморасчетов

Таким образом, профиль полномочий в 1С:УПП полноценно описывает функциональные возможности пользователя.

Для профиля можно установить основной интерфейс, который будет открываться по умолчанию в сеансе пользователя, для которого проставлен текущий профиль. Впрочем, для каждого пользователя также можно установить собственный интерфейс.

Обмен профилями в 1С:УПП

В подменю "Администрирование" находятся средства для обмена профилями между базами:

· Выгрузить профили - разрешает выгрузить профили в файл обмена.

· Загрузить профили - разрешает загрузить профили пользователей из файла обмена, который был создан с помощью сервиса "Выгрузить".

Сервисные функции

В профиле пользователя существует полезная функция копирования настроенных дополнительных прав в другие профили. Ее удобно применять, когда создается несколько профилей. Вызвать функцию можно с помощью кнопки "Копировать" командной панели дополнительных прав. В открывшемся окне необходимо выбрать один или несколько профилей, в которые необходимо установить такие же дополнительные права, как и в текущем профиле.

Для того чтобы посмотреть каким пользователем установлен данный профиль, необходимо нажать на кнопку "Показать пользователей с текущим профилем".

Также существует возможность установить текущий профиль сразу нескольким пользователям. Для этого в 1С:УПП необходимо воспользоваться обработкой из меню "Администрирование" -> "Групповая обработка пользователей". В открывшемся окне можно добавить пользователей вручную, либо с помощью подбора.

Роли в 1С:УПП

Каждому профилю может быть присвоено несколько ролей.

При этом доступ к объектам определяется по правилу: действие разрешено, если оно разрешено, хотя бы для одной роли этого профиля.

Выделяют три вида ролей:

1. Обязательные . Без этих ролей невозможно работать в конфигурации. Единственная обязательная роль - "Пользователь". Она по умолчанию присваивается пользователям любого профиля.

2. Специальные . Эти роли наделяют пользователей функциональными возможностями, определяют права доступа к справочникам и документам.

3. Дополнительные . Данные роли определяют доступ пользователя к различным сервисным или регламентным механизмам конфигурации.

Специальные роли в 1С:УПП

Мастер смены

Роль определяет возможность ввода документов оперативного учета производства:"Отчет мастера смены","Отчет о составе смены» и «Завершение смены".

Администратор пользователей

Предоставляет доступ к объектам подсистемы "Администрирование пользователей": справочники "Пользователи", "Профили", настройка доступа на уровне записей и другие.

Полные права

Предоставляет права на полный доступ ко всем объектам системы (за исключением непосредственного удаления из базы данных). Данная роль может назначаться только администраторам базы данных, и ни в коем случае не должна быть присвоена пользователям.

Поскольку для этой роли система не выполняет никаких проверок:

· Контроль достаточности ТМЦ

· Контроль уровня дебиторской задолженности

· Контроль даты запрета редактирования

· И другие.

Дополнительные роли в 1С:УПП

Право администрирования

Предоставляет доступ к административным функциям системы: удаление объектов из базы данных, конфигурирование, управление итогами и другим.

Администрирование дополнительных форм и обработок

Роль позволяет добавлять записи в справочник "Внешние обработки", в котором хранятся:

· Внешние обработки заполнения табличных частей

· Внешние отчеты и обработки

· Внешние обработки, подключаемые к отчетам

Администрирование сохраненных настроек

Назначается пользователям, которым необходимо работать с сохраненными настройками отчетов на базе универсально отчета. То есть определяет доступ на удаление и создание записей в регистре сведений "Сохраненные настройки". Также эта роль необходима, чтобы иметь возможность добавлять произвольные поля в отчетах, построенных на СКД.

Право внешнего подключения

Если пользователь будет подключаться к базе через внешнее соединение (web-расширение, подключение по технологии OLE), ему необходимо установить данную роль.

Право запуска внешних отчетов и обработок

Позволяет пользователям запускать отчеты и обработки, расположенные во внешних файлах. Эту возможность нужно предоставлять только ответственным пользователям.

Дополнительные права пользователе й

Разрешить проведение документа без контроля взаиморасчетов

Эта опция влияет на видимость флага "Отключить контроль взаиморасчетов" в документе "Реализация товаров и услуг". Обычно рядовым сотрудникам запрещено отгружать ТМЦ при несоблюдении условий взаиморасчетов, а для руководящих пользователей такая возможность должна быть.

Справочник «Пользователи» в 1С:УПП

В справочнике хранятся пользователи, работающие с системой. Элементы этого справочника указываются во всех документах в поле «Ответственный».

Существует классификация пользователей по группам. Причем группы бывают двух типов.

1. Первые влияют на иерархию в справочнике "Пользователи" и используются, преимущественно, для удобства навигации по справочнику. В этом случае каждая запись справочника принадлежит одной группе-родителю.

2. Также существует справочник "Группы пользователей" , который предназначен для разграничения доступа на уровне записей. При этом один пользователь может входить в несколько групп пользователей. Вхождение пользователя в группы обеспечивается через пункт меню «Пользователи» - > "Группы пользователей".

Рисунок 1 - Справочник "Группы пользователей"

Ограничение доступа на уровне записей

Механизм построчного разграничения доступа данных применяется, когда необходимо организовать доступ только к некоторым элементам. Часто этот механизм называют RLS. Например, каждый менеджер по продажам работает со своей группой клиентов. Просматривать документы по клиентам не своей группы пользователю запрещено. Подобная задача решается с помощью ограничения доступа на уровне записей.

Ограничение доступа на уровне записей настраивается для справочника "Группы пользователей". Если пользователь входит в несколько групп, то области данных, которые ему будут доступны, объединяются. Например, для группы "МСК" доступны данные по организации "МебельСтройКомплект", а для группы "ЮФО МСК" - организации "ЮФО МебельСтройКомплект". Тогда если пользователю будут назначены обе группы, то он будет вводить документы от имени обеих организаций.

Включение ограничений на уровне записей можно выполнить из интерфейса "Заведующий учетом" главное меню "Доступ на уровне записей" -> "Параметры". Здесь же настраивается, по каким справочникам необходимо настраивать ограничение.

Непосредственно настройка RLS выполняется с помощью формы настройки прав доступа. Открыть форму можно главное меню "Доступ на уровне записей" -> "Настройка доступа". Также форму разграничения доступа можно вызвать из справочников, для которых возможна настройка RLS.

В рамках одной группы пользователей ограничения объединяются по логическому условию "И". Например, для группы "МСК" настроено доступ по организации "МебельСтройКомплект", и по группе доступа контрагентов контрагентов "Покупатель". Тогда пользователи данной группы смогут вводить документы только от имени "МебельСтройКомплект", и только для контрагентов, входящих в группу доступа "Покупатель".

Если пользователь входит в несколько групп, то его права на уровне записей объединяются по всем группам. То есть права разных групп суммируются по логическому условию "ИЛИ". Например, для группы "МСК" открыт доступ к документам только организации "МебельСтройКомплект", а для группы "Торговый дом "Комплексный". Если пользователю назначены обе группы, то он будет иметь доступ к документам обеих организаций.

Ограничение доступа на уровне записей применяется только для указанных справочников. Например, на рисунке для группы пользователей «МСК» определен доступ к организациям и внешним обработкам. Для всех остальных справочников группа пользователей "МСК" имеет полный доступ на уровне "RLS". Для того, чтобы обратиться к настройке группы, необходимо открыть форму с помощью контекстного меню, либо клавиши F2.

В форме элемента справочника "Группы пользователей" указывается по каим видам объектов будет применяться RLS, а также количество настроенных правил. Также возможно менять состав группы: включать или исключать из нее пользователей.

Если для какого-либо вида объекта не задано ни одного правила, это означает, что доступа к элементам этого справочника не будет вообще. Например, на рисунке для группы "МСК" нет ни одной строки у объекта "Внешние обработки". Это означает, что для пользователя группы "МСК" не будут доступны внешние обработки. Однако, если пользователь будет входить в две группы: "МСК" и "Торговый дом", то ему будут доступны все внешние обработки, как на чтение, так и на запись. Поскольку для группы пользователей "Торговый дом" не назначено ограничение доступа к внешним обработкам.

Рисунок 2 - Обработка для ограничения доступа на уровне записей

Производительность

Следует иметь в виду, что при включении механизма ограничения доступа на уровне записей, возможно замедление системы. Это связано с реализацией механизма RLS: в каждый посылаемый запрос к БД вставляется условие, где выполняется проверка соответствующих прав. Таким образом, каждое обращение к базе данных выполняется немного медленнее, а нагрузка на сервер возрастает.

Также важно то, в чем большее количество групп входит пользователь, тем медленнее будет работать система в его сеансе. Поэтому для увеличения скорости, прежде всего, рекомендуется уменьшить количество групп, в которые пользователь входит.

Роли, для которых не настроен RLS

При настройке ограничения доступа на уровне записей следует иметь ввиду, что для некоторых ролей не настроен RLS.

· Для роли "Полные права" есть полный доступ ко всем объектам без ограничений на уровне записей.

· Для роли "Планирование" возможно чтение (просмотр) всех объектов без ограничений RLS.

· Роль "Финансист" допускает открытие многих объектов без проверки доступа на уровне записей.

Таким образом, при настройке профиля полномочий пользователя следует иметь в виду, что добавление одной из этих трех ролей может снять ограничения RLS. Например, для менеджера по продажам настроено ограничение доступа по организациям: пользователю доступны данные только по организации "МебельСтройКомплект". Если в профиль полномочий пользователя добавить кроме роли "Менеджер по продажам" роль «Финансист», то сотруднику в журнале "Документы контрагентов" будут видны документы по всем организациям.

Разграничение доступа по уровням в 1С:УПП - организации, подразделения, физические лица

Настройка доступа для справочников "Организации", "Подразделения", "Подразделение организаций"

Особенность справочника "Организации" заключается в том, что он не является иерархическим. Однако определение подчинения в нем возможно с помощью реквизита "Головная организация".

Справочники "Подразделения" и "Подразделения организаций" отличает то, что в нем организована иерархия элементов. Это означает, что любой элемент справочника может иметь подчиненные подразделения. При этом все записи равноправны, то есть, нет разделения на группы и элементы.

Перечисленные выше особенности означают, что значение реквизита "Вид наследования" можно заполнять либо значение "Распространить на подчиненных", либо "Только для текущего элемента".

По справочникам возможны следующие ограничения:

· Чтение – определяет возможность просмотра данных в справочнике "Организации", формирования отчетов, а также документов по выбранной фирме

· Запись – задает возможность создания и редактирования документов по выбранной организации

Отчет по системе прав в 1С:УПП

Для просмотра настроенных прав пользователей удобно использовать "Отчет по системе прав".

Отчет выводит данные:

· По настройкам ограничения доступа на уровне записей в разрезе групп пользователей

· Дополнительных прав пользователей в разрезе профилей

· По группам пользователей

· По профилям полномочий пользователей

Отчет по системе прав разработан с помощью "Системы компоновки данных", поэтому возможна его гибкая настройка.

Рисунок 3 - Отчет по системе прав

Просмотр прав доступа по ролям

Для того чтобы узнать какие роли имеют доступ к определенным объектам, необходимо воспользоваться конфигуратором. В ветке «Общие» -> «Роли» можно просматривать права, настроенные для каждой роли.

Если есть необходимость получить сводную таблицу, в строках которой будут выводиться объекты, а в колонках роли, то необходимо воспользоваться контекстным меню для корневого объекта "Роли".

Спасибо!

В программе 1С имеется встроенная система прав доступа, которая находится в Конфигуратор — Общие — Роли.

Чем характеризуется данная система и в чем ее основное предназначение? Она позволяет описывать наборы прав, которые соответствуют должностям пользователей либо видам их деятельности. Данная система прав доступа имеет статический характер, что означает, как выставил администратор права доступа к 1С, так и есть. В дополнение к статической действует вторая система прав доступа — динамическая (RLS). В этой системе права доступа высчитываются динамических способом, в зависимости от заданных параметров,в процессе работы.

Роли в 1С

К наиболее распространенным настройкам безопасности в разных программах является так называемый набор разрешений на чтение/запись для различных групп пользователей и в дальнейшем: включение либо исключение конкретного пользователя из групп. Такая система, например, используется в операционной системе Windows AD (Active Directory). Система безопасности, применяемая в программном обеспечении 1С, получила название - роли. Что это такое? Роли в 1С представляет собой объект, который расположен в конфигурации в ветви: Общие — Роли. Эти роли 1С представляют собой группы, для которых и назначаются права. В дальнейшем каждый пользователь может включаться и исключаться из данной группы.

Щелкнув дважды мышью на названии роли, Вы откроете редактор прав для роли. Слева расположен список объектов, отметьте любой из них и справа Вам откроются варианты возможных прав доступа:

— чтение: получение записей либо их частичных фрагментов из таблицы базы данных;
— добавление: новых записей при сохранении уже существующих;
— изменение: внесение изменений в существующие записи;
— удаление: некоторых записей, сохраняя без изменения остальные.

Отметим, что все права доступа можно разделить на две основные группы — это «просто» право и такое точно право с добавлением характеристики «интерактивное». Что здесь имеется в виду? А дело в следующем.

В случае, когда пользователь открывает какую-нибудь форму, например обработку, и при этом щелкает на ней мышью, то программа на встроенном языке 1С начинает производить конкретные действия, удаления документов, например. За разрешение таких действий, выполняемых программой, отвечают соответственно «просто» права 1С.

В том случае, когда пользователь, открывает журнал и начинает что-то самостоятельно вводить с клавиатуры (новые документы, например), то за разрешение таких действий отвечают «интерактивные» права 1С. Каждому пользователю может быть доступно сразу несколько ролей, тогда складывается разрешение.

RLS в 1С

Вы можете, включить доступ к справочнику (или документу) либо отключить его. Нельзя при этом «включить немножко». Для этой цели и существует определенное расширение системы ролей 1С, которое получило название - RLS. Это динамическая система по правам доступа, которая вносит частичные ограничения в доступ. К примеру, вниманию пользователя становятся доступны только документы определенной организации и склада, остальные он не видит.

Следует иметь в виду тот факт, что систему RLS нужно применять очень аккуратно, так как в ее запутанной схеме довольно непросто разобраться, у разных пользователей при этом могут возникать вопросы, когда они, например, сверяют один и тот же отчет, который сформирован из под различных пользователей. Рассмотрим такой пример. Вы выбираете определенный справочник (организации, например) и конкретное право (чтение, например), то есть Вы разрешаете чтение для роли 1С. При этом в дистанционной панели Ограничения доступа к данным Вами устанавливается текст запроса, согласно которому устанавливается Ложь или Истина, в зависимости от настроек. Обычно настройки сохраняются в специальном регистре сведений.

Этот запрос будет выполняться динамически (при осуществлении попытки организовать чтение), для всех записей справочника. Это работает так: те записи, для которых запрос безопасности присвоил — Истина, пользователь увидит, а другие - нет. Права 1С с установленными ограничениями, подсвечены серым цветом.

Операция копирования одинаковых настроек RLS производится с помощью шаблонов. Для начала Вы создаете шаблон, назвав его, к примеру, МойШаблон, в нем Вы отражаете запрос безопасности. Затем в настройках прав доступа указываете имя этого шаблона таким образом: «#МойШаблон».

Когда пользователь работает в режиме 1С Предприятие, при подключении к работе RLS, может появится сообщение об ошибке вида: «Недостаточно прав» (на чтение справочника ХХХ, например). Это говорит о том, что системой RLS заблокировано чтение некоторых записей. Чтобы это сообщение больше не появлялось, нужно в текст запроса ввести слово РАЗРЕШЕННЫЕ.

Здравствуйте уважаемые читатели блога . Пришлось немного затянуть с очередной статьей в связи с интенсивной сдачей отчетности и большим количеством поступающих вопросов по этому поводу. Кстати, и Вы можете задавать свои вопросы в чате или на отправлять сообщения напрямую мне на почту. Но хватит рекламы) Сегодня мы поговорим о новых полезных и интересных возможностях, которые нам дарит новая платформа 1С Предприятия 8.3 и конфигурации, построенные на её основе: Зарплата и Управление Персоналом 3.0 и Бухгалтерия Предприятия 3.0 .

В статье пойдет речь о том, как самостоятельно настроить доступ пользователя только к тем документам, справочникам и отчетам, которые ему нужны для работы и ограничить доступ к остальным. В этом нам поможет командный интерфейс с гибкой настройкой, появившийся в программах 1С редакции 3.0. Обсуждать особенности разграничения прав доступа на объекты программы мы будем на основе конфигурации 1С ЗУП 3.0, но этот же механизм можно с успехом использовать и для программного продукта 1С Бухгалтерия Предприятия 3.0. Собственно, я и изучил этот вопрос, когда оказывал по настройке пользователей именно в Бух 3.0.

Как создать пользователя в обычном пользовательском режиме работы 1С редакции 3.0




Хочу сразу заметить, что работать нам предстоит и с обычным пользовательским режимом эксплуатации программы, и с режимом конфигуратора. В этом нет ничего страшного и сложного, программировать не придется) Также сразу замечу, что скриншоты в этой статье будут представлены из нового, не так давно появившегося в программах 1С редакции 3.0 интерфейса «Такси» . Чтобы на него переключиться достаточно открыть сервисное меню и там найти настройки параметров. В окне параметров в группе переключателей «Внешний вид» следует выбрать интерфейс «Такси» и перезагрузить программу. Хотя, кому удобно может оставаться в обычном интерфейсе, все документы, справочники и настройки, которые я буду обсуждать в статье, идентичны в этих интерфейсах.

Разберем ситуацию, когда у Вас ещё нет нужного пользователя. Создавать пользователя необходимо в обычном пользовательском режиме. Переходим в раздел главного меню «Администрирование» и там находим пункт «Настройки пользователей и прав».

Если требуется, то можно сразу установить пароль.

Теперь, что касается прав доступа для этого нового пользователя. Их устанавливать не надо. В настройку прав доступа можно попасть непосредственно из формы, в которой настраивается пользователь. Достаточно в её верхней части перейти по ссылке «Права доступа». Так вот, необходимо, чтобы в правах доступа (и на закладке «Группы доступа» , и на закладке «Разрешенные действия (роли)» ) всё было пусто. Права мы будем настраивать не в пользовательском режиме, а в конфигураторе 1С, чуть позже.

Но в этом отношении есть важная особенность. Необходимо, чтобы в базе был хотя бы один пользователь, который имеет административные права. У меня таким пользователем является Администратор. Он входит в группу доступа «Администратор» и имеет роли «Администратор системы» и «Полные права».

Теперь нам следует перейти в режим конфигуратора и уже в нем продолжить настройку. Для этого при запуске 1С выбираем нужную базу и жмем кнопку «Конфигуратор». Только не следует заходить под новым пользователем. Он пока не имеет никаких прав, и работа будет невозможна. Входить следует под пользователем с полными правами, в моем случае это «Администратор».

После открытия окна конфигуратора давайте убедимся, что и здесь отображается, созданный нами новый пользователь. Список пользователе в конфигураторе хранится в разделе главного меню «Администрирование» -> «Пользователи».

Обратите внимание, что у пользователя стоит вопросительный знак. Это означает, что для него не определено ни одной роли, т.е. другими словами, не задано прав доступ. «Роли» — это объект конфигурации. В каждой роли устанавливается набор документов, справочников, отчетов, к которым имеет доступ пользователь, обладающей этой ролью. Все доступные роли мы можем увидеть если откроем пользователя и перейдем на закладку «Прочие».

Напомню, что нам надо настроить доступ сотрудника к произвольному набору документов, справочников и отчетов. При этом я даже не стал конкретизировать о каком наборе идет речь, это не так важно. А важно то, что для таких случаев в конфигурации нет и не может быть подходящей роли. Разработчики 1С не в состоянии предусмотреть все возможные варианты разграничения доступа к объектам, которые встречаются на практике. А запросы у конечного пользователя бывают очень даже экстравагантные.

Режим редактирования типовой конфигурации в 1с

Семинар «Лайфхаки по 1C ЗУП 3.1»
Разбор 15-ти лайфхаков по учету в 1с зуп 3.1:

ЧЕК-ЛИСТ по проверке расчета зарплаты в 1С ЗУП 3.1
ВИДЕО - ежемесячная самостоятельная проверка учета:

Начисление зарплаты в 1С ЗУП 3.1
Пошаговая инструкция для начинающих:

Как Вы, наверное, уже поняли веду я к тому, что нам придется создать свою собственную роль . При этом следует обговорить одну важную деталь. Создание новой роли означает внесение изменения в типовую конфигурацию. Для тех, у кого конфигурация уже дорабатывалась и не является типовой, ничего не изменится. Для начала я расскажу, как определить типовая конфигурация или уже нет.

Во-первых, необходимо открыть конфигурацию. Для этого в разделе главного меню «Конфигурация» нажимаем «Открыть конфигурацию» . После этого в левой части конфигуратора появится окно с древовидной структурой всех объектов информационной базы. Во-вторых, также в разделе главного меню «Конфигурация» переходим в пункт «Поддержка» -> «Настройка поддержки». Откроется одноименное окно. Если окно имеет вид, как на скриншоте, то значит у Вас конфигурация типовая. При этом я имею ввиду наличие надписи «Конфигурация находится на поддержке» и наличие кнопки .

Итак, если у Вас типовая конфигурация, то нам придется включить возможность её изменения, иначе мы не сможем создать новую роль. Отдельно хочу отметить, что с точки зрения обновления особых сложностей не возникнет, так как мы будет создавать новую роль, а не изменять существующие, поэтому все типовые объекты конфигурации так и останутся типовыми. Для включения возможности редактирования конфигурации надо в окне «Настройка поддержки» нажать на кнопку «Включить возможность изменения» .

Возможно, в следующих публикациях я более подробно напишу про такого рода обновления. Итак, в этом окне нам надо ответить «Да».

Далее откроется окно «Настройка правил поддержки», где необходимо выбрать переключатель «Объект поставщика редактируется с сохранением поддержки». Для нашей задачи этого будет вполне достаточно. Только учтите, что после нажатия «ОК» придется немного подождать, прежде чем продолжить работу.

После этого в дереве объектов конфигурации (помните, когда мы открывали конфигурацию, оно у нас открылось в левой части конфигуратора) должны исчезнуть замочки, а в окне «Настройка поддержки» появится надпись «Конфигурация находится на поддержке с возможностью изменения».

Как создать новую роль в конфигураторе 1С

Семинар «Лайфхаки по 1C ЗУП 3.1»
Разбор 15-ти лайфхаков по учету в 1с зуп 3.1:

ЧЕК-ЛИСТ по проверке расчета зарплаты в 1С ЗУП 3.1
ВИДЕО - ежемесячная самостоятельная проверка учета:

Начисление зарплаты в 1С ЗУП 3.1
Пошаговая инструкция для начинающих:

Вот теперь мы можем приступить к созданию новой роли. Ещё раз поясню, что такое «Роль» — это набор прав, определяющих возможность просмотра или редактирования справочников, документов и прочих объектов конфигурации. Просмотр и редактирование – это наиболее понятные варианты прав доступа, но есть и многие другие. Чтобы стало понятнее давайте выберем в дереве объектов Роль «Полные права» (Общие -> Роли -> Полные права). Откроется окно настройки. В этом окне слева перечислены все объекты программы (справочники, документы, отчеты и прочие), а справа те права, которые в этой роли определены для каждого из объектов. На скриншоте это видно.

Теперь напомню задачу. Нам необходимо обеспечивать возможность работы пользователя только с ограниченным кругом документов, отчетов и справочников. Наиболее очевидным вариантом является – создать новую роль и определить доступ только к нужным объектам. Однако, в конфигурации есть большое количество всяких служебных объектов, таких как константы, общие формы, общие модули, регистры различного назначения и для нормальной работы пользователя необходимо иметь доступ к этим общим объектам. Их довольно много и очень легко какой-то объект упустить. Поэтому я предложу несколько другой подход.

Давайте создадим новую роль путем копирования типовой роли «Полные права». Эту новую роль назовем «Роль_Фролова». Для редактирования наименования роли надо зайти в свойства и без пробелов задать новое имя.

Теперь давайте эту роль установим для пользователя «Фролова». Перед этим нам надо сохранить информационную базу, чтобы только что созданная роль появилась в списке доступных ролей пользователя. Жмем клавишу F7 или нажимаем соответствующую кнопку в панели инструментов. После этого можно устанавливать эту роль нашему пользователю. Заходим в список пользователей (Администрирование -> Пользователи) и на закладке «Прочие» ставим галочку напротив роли «Роль Фролова». Жмем «Ок».

Пока эта роль полностью идентична исходной («Полные права»). В таком виде мы её и оставим. Пока. А настраивать доступ к документам и справочникам будем, используя возможности гибкой настройки командного интерфейса программы 1С .

Как настроить элементы командного интерфейса в 1С

Теперь нам предстоит вернуться в обычный пользовательский режим работы, т.е. как при обычной работе в 1С. Нам надо запуститься под нашим новым пользователем – Фролов С.М. Это можно сделать из конфигуратора. Однако предварительно надо установить настройку, чтобы при запуске Предприятия из конфигуратора запрашивался пользователем, под которым следует запускаться. Для этого в главном меню выбираем «Сервис» -> «Параметры» и на закладке «Запуск 1С:Предприятия» в разделе «пользователь» устанавливаем переключатель «Имя», жмем ОК и можем запускать пользовательский режим непосредственно из конфигуратора. Для этого используем команду из главного меню «Сервис» -> «1С:Предприятие». И не забудьте, что выбрать мы должны пользователя Фролова.

Когда программа запустится под пользователем Фроловым, ему будут доступны все объекты, поскольку его роль создана копированием полных прав, и мы ничего не меняли. Давайте допустим, что для этого пользователя требуется оставить лишь возможности кадрового ведения учета, но не все, а только прием, перемещение и увольнение. Для начала надо убрать все лишние разделы и оставить только один – «Кадры».

Для этого заходим в служебное меню Вид -> Настройка панели разделов . В открывшемся окне переносим все ненужные разделы из правой колонки в левую.

Теперь обратите внимание, что у нас останется всего 2 раздела «Главное» и «Кадры». «Главное» мы убрать не можем, поэтому необходимо в этом разделе оставить только нужные ссылки. Для этого переходим в этот раздел и в правом верхнем углу жмем «Настройка навигации» . Это окно похоже на то, в котором мы убирали лишние раздела, и оно имеет такой же принцип работы. В правой колонке оставляем только нужные документы и справочники.

И в результате в разделе «Главное» у нас получится только необходимый кадровику набор документов, отчетов и справочников.

Что касается раздела «Кадры», то его можно оставить в исходном виде или настроить более тонко, если, например, кадровик не должен иметь дело с больничными, отпусками и декретными. То точно также в панели навигации эти документы можно убрать. На этом я подробно останавливаться не буду, поскольку это уже зависит от конкретной задачи.

Отмечу только ещё один элемент, который также надо настроить, чтобы избежать возможность доступа пользователя к закрытым для него данным. Этим элементом является «Начальная страница » или как её ещё называют «Рабочий стол» . Он автоматически открывается при запуске пользовательского режима. Для настройки начальной страницы следует открыть служебное меню Вид -> Настройка начальной страницы. Откроется окно, в котором из перечня доступных форм можно настроить состав левой и правой колонки. Вы бор доступных форм не такой уж и большой. Так, например, для нашей ситуации, где сотрудник занимается кадрами не следует давать ему доступ к такой форме как «Расчет зарплата: Форма». Но я решил вообще убрать все формы, чтобы лишний раз не искушать пользователя. Начальная страница будет пустой.

Окончательная настройка роли пользователя в конфигураторе 1С

Итак, предположим, что мы настроили доступ ко всем необходимым документам и справочникам для нашего кадровика, используя возможности командного интерфейса. Теперь главный вопрос как же сделать так, чтобы пользователь сам не смог открыть настройки интерфейса и открыть себе доступ к запрещенным документам. Для этого следует вернуться в конфигуратор и в дереве объектов конфигурации выбрать Общие -> Роли -> Роль_Фролова. Открываем эту роль. Теперь в открывшемся окне позиционируем курсор на надписи «ЗарплатаИУправлениеПерсоналом», а в колонке «Права» ищем настройку «Сохранение данных пользователя» . Убираем галочку напротив этой настройки. Это означает, что пользователь сам не сможет настроить содержимое панелей разделов, панели навигации и рабочего стола, а значит из командного интерфейса не получит доступ к запрещенным разделам.

Чтобы в этом убедиться можно зайти в базу под пользователем Фроловым и попробовать открыть настройку разделов или навигации. При этом в служебном меню пункт «Вид» вы не найдете. Он стал недоступен, так как мы убрали у роли пользователя Фролова право на «Сохранение данных пользователя».

Таким образом мы ограничили пользователю видимость объектов только теми справочниками, документами и отчетами, которые ему действительно нужны для работы. При этом в режиме конфигуратора в правах этого сотрудника отредактировали всего лишь одну галочку.

Однако это ещё не всё. Мы ограничили явный доступ к запрещенным объектам. Однако пользователь может попасть в нежелательный справочник или документ из доступного ему документа. Так наш кадровик Фролов из документа «Прием на работу» может открыть справочник «Организации» и случайно или целенаправленно изменить там какие-то данные. Чтобы похожей ситуации не произошло, следует просмотреть и проанализировать все объекты, которые связаны с доступными пользователю документами и справочниками. А затем в конфигураторе открыть роль нашего пользователя и запретить редактирование или вообще просмотр нежелательных объектов. Конкретный вариант выбирать Вам самим, в зависимости от поставленной задачи.

Вот и всё! Довольно сложную задачу мы решили не очень сложным способом. Тот, кто дочитал до конца может по праву гордиться собой) Если я что-то упустил и у Вас есть замечания, буду рад и увидеть в комментариях к статье.

Скоро появятся новые интересные материалы на .

Чтобы узнать первыми о новых публикациях подписывайтесь на обновления моего блога: