1С описание прав доступа

1С описание прав доступа

В 1С:Предприятии различают два типа прав – основные и интерактивные.

Основные (неинтерактивные) – проверяются всегда независимо от способа обращения к объектам информационной базы.

Интерактивные – проверяются при выполнении интерактивных операций (например, операция "Установить пометку удаления").

Нужно учитывать, что проверку интерактивных прав можно обойти, создав, например, при конфигурировании форму самостоятельно и заменив стандартные команды своими, а проверку неинтерактивных прав нельзя обойти ни при каких обстоятельствах. Неинтерактивными правами защищается характерная для объекта фундаментальная функциональность, за это отвечают, например, такие права, как: "Добавление", "Чтение", "Изменение", "Удаление".

Для построения защищенных прикладных решений достаточно управлять только 4-мя основными правами доступа — "Добавление" , "Чтение", "Изменение" и "Удаление".

Система 1С:Предприятие допускает проверку прав из встроенного языка. Например при добавлении команд к формам разработчик должен дополнительно позаботиться о проверке соответствующих интерактивных прав.

Пример проверки прав из языка:

При этом нужно помнить о том, что у будущего пользователя конфигурации соответствующие интерактивные и неинтерактивные права к тому или иному объекту могут различаться. Например, может быть разрешено право на "Удаление" и запрещено право "Интерактивное удаление".

Проверка прав объектов производится только в режиме "1С:Предприятие".
При попытке выполнить неразрешенную операцию выдается сообщение об ошибке "Нарушение прав доступа!", и производится отмена всех начатых транзакций.

Проверка основных и интерактивных прав используется расширениями формы, табличного поля и поля ввода (расширение формы определяется ее основным реквизитом, а табличного поля и поля ввода — типом редактируемых данных). Благодаря этому, если не установлено право "Просмотр", то форма списка или форма объекта не откроется, и будет выдано стандартное сообщение о нарушении прав доступа.

Рассмотрим проверку прав расширениями формы, табличного поля и поля ввода на примере документа:

  • При открытии формы документа проверяется право "Просмотр", после чего, если это форма нового объекта, то проверяется право "ИнтерактивноеДобавление", а если нет — право "Редактирование". Если выполняется запись с проведением, то проверяются права "ИнтерактивноеПроведение", "ИнтерактивнаяОтменаПроведения" или "ИнтерактивноеПроведениеНеОперативное", в зависимости от режима записи.
  • Расширение табличного поля для журнала документов при открытии формы, в которой журнал установлен основным реквизитом, проверяет, что право "Просмотр" установлено хотя бы у одного документа журнала. При проведении документов из журнала проверяются права "ИнтерактивнаяОтменаПроведения", "ИнтерактивноеПроведение" и "ИнтерактивноеПроведениеНеОперативное". При удалении документов проверяется право "ИнтерактивноеУдаление", а при установке/снятии пометки на удаление проверяются права "ИнтерактивнаяПометкаУдаления" и "ИнтерактивноеСнятиеПометкиУдаления". При добавлении нового документа, после выбора его типа, расширение табличного поля журнала документов проверяет право "ИнтерактивноеДобавление".
  • Поле ввода для документа проверяет только право "ВводПоСтроке".

Связанные права

Часть прав в системе 1С:Предприятия связаны друг с другом. Это означает, что основные права доступа, такие как "Чтение", "Изменение", "Добавление" и "Удаление" и некоторые другие могут влиять на права, отвечающие за такие операции с объектом, которые, в конечном счете, приведут к простейшим операциям. Например, нельзя разрешить право "Изменение", не выдав право "Чтение".

Интерактивные права напрямую зависят от их неинтерактивных аналогов, т.е. право "Интерактивное удаление" зависит от права "Удаление". На практике при конфигурировании это выглядит так, что при разрешении интерактивных прав аналогичные им неинтерактивные будут автоматически разрешены, и, наоборот, при снятии неинтерактивных прав соответствующие им интерактивные автоматически будут сброшены. Допускается лишь установка неинтерактивного права и сброс интерактивного, но не наоборот. Например, нельзя разрешить интерактивное право "Интерактивное удаление" и запретить неинтерактивное "Удаление".

Зависимость прав может выстраиваться в сложные цепочки, например, у объекта "Документ" право "Интерактивная отмена проведения" зависит от прав "Отмена проведения" и "Просмотр" одновременно, где первое зависит от "Изменение", которое, в свою очередь, зависит от права "Чтение" (см. рисунок).

Ключевым является право "Чтение", при его отсутствии автоматически пропадают любые другие права на доступ к объекту.

Михаил Сайко

Вопрос с правами доступа возникает в связи с необходимостью ограничить права пользователя в 1С (или группы пользователей), что подразумевает под собой запрет на совершение каких-либо действий с определенными объектами, например, их просмотр, запись, редактирование и т.д. Или, наоборот – из-за необходимости дать (расширить) права пользователей в 1С, что в реальности чаще всего следует за сообщением системы о нарушении прав доступа (например, недостаточно прав для просмотра) и обращением пользователя к администраторам с просьбой об этом.

Чтобы внести коррективы в правила доступа и изменить права на просмотр того или иного раздела или на любое другое действие, необходимо зайти в «Настройки пользователей и прав», что можно сделать при включенном пользовательском режиме на вкладке «Администрирование» (при условии, конечно, что имеются права на это).

Перейдя по ссылке «Пользователи», можно увидеть, кто из пользователей входит в ту или иную группу доступа.

Как уже упоминалось, в группы доступа входят определенные пользователи, а самим группам соответствует профили групп доступа, которые объединяют роли. По сути роль – это метаданные, разнообразие и количество которых зависит от конфигурации. Как правило, ролей довольно много и в них легко запутаться. Стоит помнить, что одна лишняя назначенная роль может открыть доступ к объектам нежелательным пользователям.

Читайте также:  Как обновить приложение авито в телефоне пошагово

Описание прав пользователей доступно на вкладке «Описание».

Роли просматриваются посредством элемента справочника «Пользователи», попасть в который можно по клику на конкретном пользователе.

Здесь же формируется отчет по правам доступа, где отображается статус доступа к конкретным объектам системы.

Крайняя правая колонка «Ограничения на уровне записей» – это дополнительные условия, ограничивающие действия с объектами базы данных. По сути это запрос, выполняющийся в момент работы и сообщающий, можно или нельзя работать с объектом.

На скриншоте видно, что документ «Ввод начальных остатков» доступен для пользователя, но доступ возможен только к определенным складам.

Таким образом, установить доступ или изменить права в 1С можно добавив пользователя в ту или иную группу в пользовательском режиме.

Саму группу также можно изменить, например, добавив значение в ограничение доступа.

Права администратора позволяют осуществлять управление правами в режиме конфигуратора, где уже заданы типовые роли. Например, роль с много объясняющим названием «Базовые права», как правило, дает возможность осуществить только чтение или только просмотр объекта.

Для управления правами, призванными изменять объекты, предусмотрены специальные роли добавления/изменения данных.

Если известно, на какой объект не хватает прав у пользователя, можно:

  • От обратного: посмотреть вкладку «права» у конкретного объекта, при этом вверху мы увидим все роли, доступные в конфигурации, а в нижнем окне – права. Наличие тех или иных прав на объект отмечено «галочкой». Таким же образом задаются права для новых объектов.

  • Открыть роль, назначенную пользователю, и, выбрав в левом окне конкретный объект, в правом окне увидеть список прав, то есть действия, которые пользователь с данной ролью может сделать с этим объектом – чтение, добавление, просмотр т.д.

Таким образом, все возможные права в системе предопределены. Чтение, добавление, изменение, просмотр, редактирование и другие права могут быть включены или выключены в любой роли для любого объекта. Назначить права отдельно, не используя при этом роли, невозможно. Для разграничения прав пользователя необходимо назначить соответствующую роль. Удобным инструментом для анализа прав и ролей становится таблица «Все роли», формируемая в конфигураторе.


На скриншоте видно, что роль «Полные права» обладает максимальным объемом прав. И если задачи ограничивать пользователей в правах не стоит вовсе – можно смело назначать эту роль всем пользователям, навсегда избавившись от вопросов пользователей.

На практике же, как правило, в большинстве случаев все-таки необходима «защита от дурака». Подстраховаться от нежелательного изменения данных нужно всем более-менее крупным компаниям. Здесь на помощь приходит встроенные в 1С роли. Разобраться в разнообразии ролей не просто, на это требует много времени. Поэтому создание собственной роли для решения практических задач, зачастую может быть единственным выходом. Рассмотрим этот момент подробнее. Добавить роль можно в дереве метаданных.

В новой роли разграничить права можно простым выставлением флажков напротив соответствующего права.

Флажки в низу окна говорят о том, что права будут автоматически назначаться для новых объектов метаданных/для реквизитов и табличных частей объекта, для которого назначаются права, а также – будут ли наследоваться права относительно родительского объекта.

Ограничения прав доступа задаются в правом нижнем окне новой роли. Это мощный инструмент, позволяющий ограничить права на уровне записей, т.е. предоставить доступ именно к необходимым данным. Если простое назначение прав может только «прямолинейно» дать или отнять права на действия с объектом, то механизм ограничений позволяет гибко настроить права доступа относительно данных. Например, ограничить чтение и просмотр данных только по одной организации.

Конструктор ограничений доступа к данным позволяет создать условие, по которому будет ограничен доступ.

Ограничение прав доступа описывается в виде языковых конструкций. Для облегчения их создания предусмотрено использование шаблонов ограничений. Надо заметить, что использование этого механизма напрямую сказывается на производительности, ведь системе, обращаясь к какому-либо объекту, необходимо прочитать и выполнить эти ограничения. Этот процесс отнимает ресурсы компьютера и тормозит работу.

В заключение хотелось бы отметить, что фирма 1С в качестве разработчика позаботилась о наличие широких возможностей для администраторов в части редактирования прав в своих программных решениях. И если на первый взгляд эти инструменты могут показаться сложными и избыточными, то в дальнейшем, особенно при попытке построить эффективную схему доступа в условиях многоуровневой, разветвленной структуры персонала на предприятии или в организации, становится ясно, что функционал программы вполне соответствует реальным потребностям.

Программа «1С: Документооборот» располагает неограниченными возможностями по изменению и доработкам прав доступа к любым данным. Права можно назначать пользователям, рабочим группам, ролям исполнителей, сотрудникам подразделения. Это реализовано через ряд следующих настроек:

  • Полномочия.
  • Политики доступа.
  • Права доступа на папки.
  • Рабочие группы.

Полномочия — самое крупное деление прав, базовые настройки. Это готовый набор ролей, определяющий типы данных, которые будут доступны пользователям. Остальные настройки только ограничивают эти права.

Читайте также:  Как нумеровать список в ворде

Политики предоставляют допуск к информации по разрезам доступа.

Права на содержание папок дают доступ к документам в определенных папках.

Рабочая группа позволяет быстро сформировать права для сотрудника, который в неё добавлен и отменяет предыдущие настройки политик и прав на папки у пользователя.

Права на любой объект в «1С: Документооборот» — это совокупность вышеописанных настроек. Таким образом, можно делать их специфичными для каждого сотрудника или группы людей в компании. Права настраивает администратор базы. Для назначения прав доступа в меню раздела «Настройка и администрирование» предусмотрена группа команд «Права доступа».

Полномочия в «1С: Документооборот»

Полномочия — это готовая подборка ролей с правами на доступ к данным. При наличии большого количества сотрудников с однотипным доступом они позволяют удобно структурировать роли согласно должностным инструкциям.

Для того, чтобы не перенастраивать права на каждого отдельного пользователя, рекомендуется настраивать доступ для подразделения, рабочих групп, ролей. Это избавит от необходимости заново изменять права при увольнении или переводу сотрудника.

В «1С:Документооборот» настроены четырнадцать предопределенных полномочий:

  1. Администратор – полный доступ к любым данным и функциям.
  2. Выполняющие потоковое сканирование – неограниченный доступ ко всем документам.
  3. Делопроизводители – права на работу с входящими и исходящими документами, добавление и изменение дел хранения документов.
  4. Контроль ежедневных отчетов – неограниченный доступ к ежедневным отчетам всех сотрудников.
  5. Контроль задач и бизнес-процессов – неограниченный доступ ко всем задачам и процессам.
  6. Мониторинг процессов – права на работу с показателями процессов.
  7. Ответственные за категоризацию – права на управление общими категориями (добавление/изменение/удаление).
  8. Ответственный за НСИ – неограниченный доступ для ведения всей НСИ по делопроизводству, учету времени, процессам.
  9. Ответственный за ЭДО – базовые права по электронным документам и правилам обмена.
  10. Пользователи – основные полномочия, запуск клиентских приложений, работа с файлами, внутренними документами, задачами, процессами и ведение учета времени.
  11. Работа с входящими и исходящими документами – права на чтение входящих и создание исходящих документов, добавление и изменение контрагентов, доступ к почте.
  12. Руководители подразделений – доступ к задачам, отчетам и записям о трудозатратах подчиненных.
  13. Руководители проектов – добавление и изменение проектов, где текущий пользователь указан руководителем.
  14. Синхронизация данных с другими программами – права на выполнение синхронизации и просмотр ее результатов.

Если необходимо, можно изменить эти полномочия или создать произвольные.

Чтобы назначить роли полномочиям, достаточно установить или снять флажки в списке разрешенных действий.

Полномочия выдаются прямо в карточках пользователей, рабочих групп и подразделений.

Полный список полномочий пользователя и ролей, которые им соответствуют, выводится в отчете Настройки доступа пользователей.

Рассмотрим пример использования ролей для неограниченного чтения данных. Чтобы выдать сотруднику доступ на чтение всех документов, файлов, процессов и задач, необходимо:

  • Создать полномочия «Неограниченное чтение документов, файлов, процессов и задач».
  • Добавить в эти полномочия роли:
  • Чтение внутренних документов без ограничения,
  • Чтение входящих документов без ограничения,
  • Чтение исходящих документов без ограничения,
  • Чтение процессов и задач без ограничения,
  • Чтение файлов без ограничения.
  • Выдать полномочия сотруднику.
  • Политики доступа

    Политики доступа содержат сведения о том, кому и на какие разрезы доступа назначены права. Разрезы задают границы областей данных, с которыми разрешено работать пользователям: виды внутренних документов, виды входящих документов и т.д.

    С помощью политик доступа можно задать как общие настройки прав для рабочих групп и подразделений, так и доступ к определенному виду документа или вопросу деятельности конкретному пользователю.

    Существуют следующие политики доступа:

    1. Общие разрешения — для быстрой настройки прав.
    2. Специальные разрешения — для гибкой настройки прав.
    3. Локальные администраторы — для назначения прав, которые не зависят от настроек рабочих групп.

    Рекомендуется назначать права не отдельным пользователям, а подразделениям, рабочим группам, ролям исполнителей. Пользователю может быть выдано одно или несколько разрешений, которые в совокупности образуют его персональные настройки прав.

    На закладке «Общие разрешения» приведены разрезы доступа, на которые назначаются права.

    Каждому пользователю можно указать уровень доступа: Чтение, Редактирование, Регистрация. Разрешения одного разреза доступа можно скопировать другому.

    Для более тонкой настройки предназначены Специальные разрешения. За их включение/отключение отвечает настройка «Использовать специальные разрешения в политиках доступа». Открыть её можно выбрав «Настройка и администрирование – Настройка программы – Права доступа».

    Как работают политики доступа

    При расчете прав политики доступа применяются следующим образом. Если для пользователя или его рабочей группы есть специальные разрешения, то действуют они. Если специальных разрешений нет, действуют общие разрешения.

    Общие разрешения работают так: доступ к объекту (документу, мероприятию и т. д.) дается пользователю или его рабочей группе, у которого есть доступ ко всем разрезам доступа объекта: организации, грифу, вопросу деятельности.

    Специальные разрешения действуют следующим образом:

    • На пользователя может действовать сразу несколько специальных разрешений.
    • Настройки нескольких специальных разрешений не расширяют друг друга.
    Читайте также:  Как посмотреть невидимые папки windows 7

    Рекомендуется использовать Специальные разрешения только в том случае, если нужную Вам комбинацию нельзя настроить с помощью Общих разрешений.

    Локальные администраторы

    Назначить локальных администраторов значит назначить пользователям доступ, который не зависит от рабочих групп и настроек прав папок. Например, начальнику договорного отдела можно назначить неограниченный доступ на чтение всех договоров организации. Начальник получит доступ к договору, даже если не входит в его рабочую группу.

    Возможность включается одноименной настройкой: «Настройка программы – Права доступа – Локальные администраторы».


    Локальные администраторы назначаются в политиках доступа. Принцип настройки повторяет специальные разрешения:

    • разрешение назначается для конкретного предмета,
    • можно выбрать произвольные комбинации разрезов доступа,
    • пользователю можно выдать несколько разрешений по одному предмету.

    Обратите внимание: разрешения локальных администраторов не отменяют общие и специальные разрешения, а дополняют их.

    Настройка политик в разрезе подразделений

    Политики доступа удобно настраивать в разрезе подразделений.

    По умолчанию использование разреза «Подразделения» отключено. Для включения достаточно установить флажок: «Настройка программы – Права доступа – Используемые разрезы доступа – Подразделения». В общих разрешениях в контекстном меню разреза «Подразделения» доступна команда «Заполнить по умолчанию».

    При выполнении этой команды для каждого подразделения, не содержащего подчиненных, добавляются разрешения для всех его сотрудников.

    Права папок в «1С: Документооборот»

    Дополнительно ограничить то, что разрешено политиками доступа можно с помощью папок. Для них предусмотрена гибкая настройка прав доступа на уровне каждой папки. Настройка выполняется по команде «Настройка прав».

    Управлять правами папки может не только Администратор, но и другие пользователи с соответствующими правами. Права доступа к папке могут быть разрешающими, запрещающими или не назначены. Значения прав меняются двойным щелчком мыши или клавшей Enter.

    При назначении прав на папку один сотрудник может входить сразу в несколько групп пользователей (поле списка Пользователь) с разными настройками. Эти настройки суммируются по следующим правилам:

    • пользователь получит право доступа, если для него есть хотя бы одно разрешение и нет ни одного запрета. То есть запрет доступа преобладает над разрешением: если сотруднику одновременно назначили и разрешающие, и запрещающие права, будут действовать запрещающие;
    • ячейка «Не назначено» не дает доступ, но и не запрещает. То есть не участвует в расчете прав пользователя.

    Приведем все возможные комбинации для расчета прав папок:

    • Разрешено + Не назначено = Разрешено,
    • Запрещено + Не назначено = Запрещено,
    • Разрешено + Запрещено = Запрещено,
    • Пусто + Пусто = Запрещено.

    Рабочие группы объектов «1С: Документооборот»

    Для точечной настройки прав на объекты используются рабочие группы. Это ограничение доступа к конкретному документу или шаблону. Рабочую группу нужно заполнять только если права на объект должны определяться не общими настройками, а индивидуально. Если у объекта заполнена рабочая группа, то настройки политик при этом не действуют.

    Рабочие группы могут заполняться:

    • вручную,
    • автоматически при продвижении процессов по документу,
    • автоматически при создании документа по шаблону.

    По умолчанию у участника рабочей группы есть доступ только на чтение документа. Чтобы назначить права на изменение, в карточке документа на закладке «Рабочая группа» нужно установить флажок «Изменение».

    В «1С: Документооборот» при движении документа по процессу его рабочая группа заполняется автоматически. При этом право «Изменение» выдается пользователям, у которых уже есть разрешения на изменение документа в соответствии с политиками доступа и настройками прав папок.

    Можно ограничить добавление пользователей в рабочие группы объектов. За это отвечает настройка «Проверять соответствие рабочих групп общим настройкам доступа», которая расположена по пути «Настройка и администрирование – Настройка программы – Права доступа». Если настройка включена, то нельзя будет добавить в рабочую группу пользователя, у которого нет соответствующих разрешений в политиках доступа или в настройках папки объектов.

    Для включения автоматического заполнения рабочей группы в настройках вида документа предусмотрены два флажка:

    • Для документов этого вида заполнение рабочей группы является обязательным – если флажок установлен, документ этого вида не может быть записан с пустой рабочей группой.
    • Автоматически вести состав участников рабочей группы – если флажок установлен, то в рабочую группу будут автоматически добавляться участники процессов и задач. В рабочую группу документа будет добавлен его автор и пользователи из других реквизитов (ответственный, зарегистрировал, адресат, утвердил и т.п).

    Проверка настроенных прав доступа

    В «1С:Документооборот» можно посмотреть права доступа ко всем данным информационной базы.

    По команде «Права доступа» в меню «Еще» карточек объектов можно перейти в окно со сведениями о том, кому и какие права на объект назначены. Команда доступна для всех пользователей.

    Что нового для вашей 1С?

    Рассылка осуществляется в день выхода обновления. Никакой рекламы, только полезная информация. Посмотрите пример →

    Ссылка на основную публикацию
    Adblock detector