Как правильно настроить ограниченные права доступа в 1С:Комплексная автоматизация 2?

Системный администратор 1С v8.3 (Управляемые формы) 1С:Комплексная автоматизация Управленческий учет IT и автоматизация бизнеса
← На главную

Администрирование прав доступа в 1С:Комплексная автоматизация 2 кардинально отличается от привычных систем управления доступом на основе ACL или Active Directory. Вместо явного указания разрешений на конкретный файл или объект, мы работаем с Ролями, которые объединяются в Профили групп доступа. Рассмотрим подробно, как навести порядок в правах и предоставить пользователям именно те возможности, которые им необходимы.

Понимаем архитектуру прав 1С

В основе системы доступа лежат три ключевых элемента:

  1. Роль — минимальная единица прав, определяющая действия (чтение, добавление, изменение, удаление) над конкретными объектами метаданных (документами, справочниками).
  2. Профиль групп доступа — набор ролей, который определяет функциональные полномочия пользователя (например, «Кладовщик» или «Менеджер по продажам»).
  3. Группа доступа — связующее звено, которое объединяет пользователей с определенным профилем и правилами ограничения доступа (например, ограничение по конкретному складу).

Когда пользователь не может создать документ, это означает, что в его профиле отсутствуют Роли, содержащие право ИнтерактивноеДобавление для соответствующего типа документа.

Диагностика проблем с правами

Прежде чем менять настройки, необходимо выяснить, на каком именно объекте система блокирует пользователя. Разберем пошаговый алгоритм поиска причины ошибки:

  1. Изучаем Журнал регистрации. При попытке совершить действие, на которое не хватает прав, система фиксирует отказ. Откройте Журнал регистрации, отфильтруйте события по пользователю и типу события «Ошибка». Ищите записи с текстом «Доступ. Отказ в доступе». Именно там указан объект метаданных и конкретное право (например, Добавление или Чтение), которого не хватает.
  2. Используем отчет «Права доступа». В конфигурации предусмотрен отчет, который показывает текущий набор разрешений для выбранного пользователя. Это помогает увидеть, какие роли «собрались» у пользователя после назначения ему всех групп доступа.
  3. Применяем метод «тестового пользователя». Создайте пользователя с минимальными правами и добавляйте ему роли по одной, проверяя работоспособность интерфейса. Это самый надежный способ выявить скрытые зависимости.

Как правильно расширить полномочия профиля

Ошибкой будет попытка редактировать штатные роли в Конфигураторе, так как это значительно усложнит обновление системы. Рассмотрим правильный подход:

  1. Копирование профиля. Никогда не меняйте типовые профили разработчика. Создайте новый профиль на основе существующего (например, «Кладовщик»), нажав «Копировать».
  2. Анализ состава ролей. Внутри профиля можно увидеть список всех назначенных ролей. Если пользователю не хватает прав на Перемещение товаров, в настройках профиля найдите роли, в названии которых есть «Добавление и изменение документов».
  3. Настройка через кнопку «Только выбранные». В профиле снимите галку «Только выбранные» (или наоборот, настройте фильтр), чтобы увидеть полный перечень всех доступных ролей в системе.
  4. Поиск ролей. Поиск осуществляйте по маске, например, «Добавление и изменение перемещений».

Важные нюансы: RLS и зависимости

Даже если вы добавили роль на Добавление документа, пользователь может не видеть документ в списке или получать ошибку. Это происходит по двум причинам:

Во-первых, это RLS (Record Level Security). В КА 2 права часто ограничены «по складам» или «по организациям». Если в Группе доступа не настроено ограничение по конкретному складу, система может автоматически скрывать документы, созданные на других складах.

Во-вторых, «цепочка прав». Для создания Перемещения товаров пользователю необходимы права не только на сам документ, но и на все справочники, из которых выбираются данные: Склады, Номенклатура, Характеристики, Единицы измерения. Если вы дали роль на документ, но забыли право на чтение справочника Склады, документ не запишется.

Совет: Если вы хотите скрыть лишние разделы из интерфейса пользователя, используйте настройки Профилей групп доступа. В КА 2 реализован механизм функциональных опций — при отключении ненужных профилей интерфейс автоматически очищается от неиспользуемых команд.

Итоговая стратегия администратора

Для поддержания системы в рабочем состоянии:

  1. Стремитесь к политике минимальных прав. Не давайте пользователям Полные права.
  2. Используйте комбинации профилей. Пользователь может входить в несколько Групп доступа одновременно, и его права будут суммироваться.
  3. При возникновении ошибок обращайтесь к Журналу регистрации — это единственный достоверный источник информации о том, какое именно право «отвалилось» после обновления или изменения настроек.

Помните, что создание собственных ролей в Конфигураторе — это крайняя мера. Старайтесь собирать необходимые доступы из типовых профилей, так как это обеспечит стабильность при обновлении конфигурации.

← На главную