Как в ограничить доступ в 1с
Ни для кого не секрет, что многие руководители компаний предпочитают сами заходить в 1С и смотреть конкретные данные: кого-то интересуют реализации и выручка, кто-то следит за движением денежных средств по счетам и т.д. Но в связи с неопытностью многих директоров и неумением обращаться с 1С, это может привести к печальным последствиям: не туда зашел, нечаянно провел документ прошлого периода и т.д. Поэтому очень важно установить права каждого пользователя программы во избежание неловких ситуаций. Ранее мы уже рассматривали вопросы о том, как установить пароль на вход в информационную базу, как заблокировать пользователя, а одной из самых популярных статей на нашем сайте стала публикация о том, как найти того, кто изменил данные в документах. В данной статье сделаем небольшой обзор по разграничению прав и ролей для пользователей 1С: Бухгалтерия предприятия, ред. 3.0.
Совсем недавно мы писали о настройке прав и интерфейса пользователей в 1С: ЗУП. Повторяться не будем, так как все действия, рассмотренные там, применимы к любой конфигурации 1С. Различным может быть лишь «наполнение», в нашем случае – это пользователи и их роли, которые зависят от конфигурации и от того, что заложил в нее разработчик.
Как и в других конфигурациях 1С, настройка пользователей и их прав размещена в разделе «Администрирование» - «Настройка программы» - «Настройка пользователей и прав».
Сразу небольшой нюанс: если у вас отличается картинка от вышеуказанного скриншота, то значит вы как пользователь не наделены полными правами. Менять свои права или устанавливать права другим пользователям может только пользователь с полными правами!
Продолжим рассматривать открывшуюся вкладку «Настройки пользователей и прав».
1 – в разделе «Пользователи» задается список пользователей, их права и настройки.
2 – в справочнике «Профили групп пользователей» задаются поставляемые конфигурацией шаблоны прав профилей пользователей.
Профили групп доступа
Поставляемый список профилей выглядит следующим образом:
• «Менеджер по продажам и т.д.».
Открыв карточку, вы увидите перечень доступных пользователю действий.
Кроме должностных ролей, так же как и в 1С: ЗУП ред. 3.1, в справочник включены профили, используемые как дополнение. В 1С: Бухгалтерии предприятия это:
• «Корректировка нераспознанных документов»;
• «Открытие внешних отчетов и обработок»;
• «Синхронизация данных с другими программами»;
Эти профили не могут работать самостоятельно, поэтому они добавляются к назначенному основному. Отдельно, назначив только эту роль, пользователь не сможет войти в программу.
Некоторые функции могут выполняться только под именем «Администратора», например, синхронизация данных. Но мы можем дополнить этой возможностью другой профиль, например, «Бухгалтер».
Перейдя на закладку «Описание», можно ознакомиться с краткими характеристиками профиля.
Создадим нового пользователя и назначим ему определенные права.
Создание пользователя в 1С: Бухгалтерии предприятия ред. 3.0
Шаг 1. Перейдите в раздел «Администрирование» - «Настройки пользователей и прав» и откройте справочник «Пользователи».
У нас имеется лишь пользователь с именем «Администратор» и все действия выполняются через него. Напоминаем, что если у вас уже выполняли настройку вашего пользователя и ограничили вам возможности, то вы можете не увидеть нужные разделы и настройки.
Шаг 2. Задайте полное имя пользователя. Из справочника «Физические лица» можно «привязать» имеющегося сотрудника и указать подразделение. Сохраните данные – «Записать» и для дальнейшей настройки перейдите в раздел «Права доступа».
Шаг 3. Галочками отметьте права, назначаемые пользователю, указав профиль. Профили можно комбинировать из списка.
Шаг 4. По нажатию кнопки «Отчет по правам доступа», можно ознакомиться с установленными пользователю настройками.
Шаг 5. Запишите изменения, перейдите на закладку «Основное» и сохраните пользователя.
Задача выполнена: пользователь создан, права назначены.
Закройте программу и войдите под именем созданного пользователя.
Визуально отличий в работе с документами вы можете не сразу заметить. Но имеются некоторые ограничения, например, бухгалтер не может менять параметры учета, настройки учетной политики, выполнять какие-то сервисные функции: редактировать пользователей, удалять помеченные объекты, сворачивать базу и т.п. Видно, что список гиперссылок раздела «Администрирование» значительно сокращен для него по сравнению с пользователями с полными правами.
Для примера создадим еще пользователей и назначим им разные роли из предложенных.
Шаг 6. Создадим пользователя «Главный бухгалтер», назначив ему соответствующую роль.
Роль «Главного бухгалтера» не отличается от администратора, но все же лучше этого пользователя выделить, а административные функции передать именно программисту, обслуживающему информационную базу.
Сравнивая интерфейс «Бухгалтера» и «Главного бухгалтера», видно отличие пунктов в разделах программы. Это ограничение роли пользователя. Некоторые пункты меню, имеющиеся у «Главного бухгалтера», у пользователя «Бухгалтер» отсутствуют. Например, раздел «Главное» - у главного бухгалтера имеется пункт «Внесение изменений в ЕГРЮЛ, ЕГРИП», у профиля «Бухгалтер» его нет.
Его интерфейс и права несколько отличны от рассмотренных выше «бухгалтерских полномочий». Так, используя предопределенные роли, можно назначать их пользователям.
Шаг 7. Создадим еще одного пользователя – «Руководитель» и назначим ему роль – «Только просмотр».
Зайдите под именем этого пользователя в программу 1С и попробуйте изменить документ. Доступ к редактированию закрыт. Внести изменения этот пользователь не сможет, т.к. ему разрешен лишь просмотр документов и формирование отчетов.
Создание нового профиля групп
Как вы заметили, предопределенные профили в 1С: Бухгалтерии предприятия ред. 3.0 закрыты для редактирования. Но пользователь может создать при необходимости свой профиль. И самый простой способ — это скопировать имеющийся и взять его за основу.
Шаг 1. Выделите «образец профиля» и нажмите кнопку «Копировать» или «F9» на клавиатуре.
Шаг 2. В открывшейся копии профиля нажмите кнопку «Только выбранные». Отразятся все доступные действия, и вы можете дополнить настройки пользователя, установив нужные вам галочки, или снять, ограничив возможности пользователя.
Вот таким способом можно разграничить права пользователей, используя поставляемые разработчиками профили и дополняя своими.
Остановимся еще на одном интересном моменте – на настройке «Ограничение доступа пользователей в 1С на уровне записей». Что это такое и как это можно применить?
Ограничение доступа пользователей в 1С на уровне записей
В разделе «Настройки пользователей и прав» - подраздел «Группы доступа» имеется галочка – «Ограничивать доступ на уровне записей».
Ее установка предполагает расширенную настройку, позволяющую более гибко регулировать права пользователей для доступа к документам, справочникам и отчетам программы. Наиболее распространенный на практике пример – это разграничение пользователей по организациям.
Шаг 1. Установите галочку на запрос программы о включении настройки, ответьте «Да».
Шаг 2. Перейдите в раздел «Пользователи».
Шаг 3. Откройте карточку пользователя.
Шаг 4. Перейдите на закладку «Права доступа». Выделив профиль, справа отобразится его вид доступа и значение доступа (Все запрещены/Все разрешены).
В нижней части настройки – «Разрешенные значения (Организации)» добавьте из списка организаций ту, с которой разрешено работать пользователю. Значение доступа изменится – «Все запрещены, кроме 1 значения».
Соответственно, для такого разбиения, вам необходимо создать дополнительные роли, способом как мы рассматривали выше и задать им расширенные настройки учета по организациям.
Для предопределенных профилей пользователя доступна настройка, установленная по умолчанию – «Организации».
Откроем профиль пользователя, созданный нами путем копирования.
Шаг 5. На закладке «Ограничение доступа» с помощью кнопки добавить можно дополнить параметры ограничений:
• «Ученые записи электронной почты»;
• «Виды поступления наличных».
Шаг 6. Выбрав значение ограничения для пользователя в нижней части укажите его значение.
Например, пользователю все операции поступления наличных (ПКО) запрещены, кроме выбранных вариантов вида поступления наличных – в нашем примере это «Оплата от покупателя». Другому пользователю можно установить, что он может работать лишь с видом поступления – «Розничная выручка» и т.п.
Но использование разделения прав на уровне записей имеет свои недостатки. Активация настройки вызывает замедление работы программы, т.к. системе приходится проверять наличие прав доступа пользователя к той или иной форме, формируя запросы.
Производительный и стандартный варианты работы
При включенной настройке «Ограничивать доступ на уровне записей» возможен выбор вариант работы:
• «Стандартный» - используемый по умолчанию, применим для файловых ИБ;
• «Производительный» - рекомендуем для клиент-серверных ИБ.
При выборе варианта работы «Производительный» доступ проверяется с помощью регламентного задания. При переключении его можно запустить, нажав на гиперссылку «Обновление доступа на уровне записей».
До завершения выполнения регламентной операции используется «Стандартный вариант работы».
Этот вариант работы рекомендован для клиент-серверных информационных баз, где он работает более эффективно. В файловой информационной базе такой вариант может привести к снижению скорости работы и для них предпочтительней «Стандартный» вариант. Но если в файловой базе работает один пользователь, то производительный вариант не вызовет ограничений и ускорит работу пользователя.
После включения варианта работы «Производительный», в разделе «Регламентные и фоновые задания» появится пункт «Обновление доступа на уровне записей». В задании необходимо установить галочку «Включить», чтобы оно автоматически выполнялось. О включении регламентного задания нам говорят установленные зеленые галочки.
Мы рассмотрели вопросы разграничения прав пользователей в программе 1С: Бухгалтерия предприятия ред. 3.0. Используя предопределенные шаблоны и принципы настройки прав, о которых мы рассказали, даже начинающий пользователь 1С справится с этой задачей. Для более выполнения более серьезной настройки и решения затруднительных вопросов советуем обратиться к специалистам.
В программе 1С:Документооборот ред 2.1 механизм системы прав доступа сильно изменился. С одной стороны, права доступа в данной версии стали проще и быстрее, с другой стороны - права по рабочим группам объектов теперь могут противоречить политикам доступа. Разберемся в данной статье как работает механизм прав доступа в 1с документообороте 2.1.
Настройка прав доступа в 1С:Документооборот 2.0 и 2.1 в клиент-серверном варианте на живых примерах будет подробно рассмотрена 21 сентября 2016г в 10:00 в 2-х часовом вебинаре "Права доступа в 1С:Документооборот", запись которого позже можно будет посмотреть по ссылке.
Для разграничения прав доступа нужно включить в настройках программы флаг Использовать ограничение прав доступа.
После установки настройки Использовать ограничение прав доступа пользователю сразу будет предложено обновить права. Для запуска процесса обновления прав достаточно ответить Да на вопрос программы.
При полном обновлении прав в отложенном режиме очистка прав выполняется в фоновом режиме, не мешая работе пользователя.
Суть отложенного обновления прав заключается в том, что длительные задания на обновление прав попадают в специальную очередь, которая обрабатывается в фоновом режиме, не мешая работе пользователей. Этот режим работы является рекомендованным для клиент-серверного варианта работы.
При установке отложенного обновления прав в файловой информационной базе выдается предупреждение о том, что данный режим использовать не рекомендуется.
В рабочей базе в клиент-серверном варианте работы флаг Отложенное обновление прав доступа должен быть всегда включен.
Для большей безопасности нужно установить флаг Запрещать вход в программу без пароля.
Также для безопасной работы 1С:Документооборот рекомендуется установить следующие флаги: Проверять сложность пароля, Ограничивать доступ через веб-серверы.
Рекомендуется использовать настройку Групповой расчет элементов очереди и указать максимальный размер порции дескрипторов. По умолчанию установлено значение 100. Данная настройка позволяет при расчете прав по дескриптору программе находить в очереди обновления прав дескрипторы такого же вида и обновлять их права за один вызов.
Полномочия в 2.1
В 1С:Документооборот 2.1 справочник Профили групп доступа переименован в Полномочия.
Полномочия предназначены для создания готовых подборок разрешенных действий (ролей), содержащих права доступа к объектам метаданных.
Конфигурация 1С:Документооборот уже включает в себя несколько готовых полномочий.
- Администратор: полный доступ.
- Делопроизводители: создание входящих документов, присвоение регистрационных номеров документам.
- Контроль ежедневных отчетов: неограниченный доступ к ежедневным отчетам сотрудников.
- Контроль задач и процессов : неограниченный доступ ко всем задачам и процессам.
- Ответственный за НСИ: неограниченный доступ для ведения всей НСИ по делопроизводству, учету времени, процессам.
- Ответственные за ЭДО: базовые права по электронным документам и правилам обмена.
- Пользователь: основное полномочие, запуск клиентских приложений, работа с файлами, внутренними документами, задачами, процессами и ведение учета времени.
- Работа с входящими и исходящими документами: чтение входящих документов, создание исходящих документов.
- Руководитель подразделения: чтение ежедневных отчетов сотрудников подразделения и работа с задачами сотрудников подразделения.
- Руководители проектов : добавление, изменение проектов.
Эти полномочия можно использовать как есть или изменить их в зависимости от конкретных потребностей.
Не рекомендуется менять типовые полномочия. В большинстве случаев типовые полномочия позволяют решать задачи ограничения прав доступа.
Полномочие состоит из двух списков:
- доступных ролей, где галочками отмечены те роли (преднастроенные в конфигураторе разрешенные действия), которые в этом полномочии участвуют;
- кому выданы.
Политики доступа
В соответствии с разработанными в организации документами по правам доступа мы можем задавать политики безопасности. Действие этих политик распространяются на объекты 1С:Документооборот и могут быть нарушены только рабочими группами объектов (например, если у документа заполнена рабочая группа, то политики перестают действовать).
Если в какой то политике доступа права уже выданы на какую-то область данных, то запретить их другой группой доступа не получится. Однако настройки прав по политикам могут быть сужены настройками прав по папкам.
Для управления политиками доступа в разделе "Настройка и администрирование" в панели навигации следует выполнить команду "Политики доступа".
Политики доступа нужны для того чтобы по крупному нарезать информационную базу для разных пользователей. Поэтому политик не бывает много. И не должно быть много иначе система прав может работать не оптимально.
Разрезы задают границы областей данных, с которыми разрешено работать пользователям: виды внутренних документов, виды входящих документов, виды исходящих документов, виды мероприятий, организации, грифы доступа, группы доступа контрагентов.
С помощью политик доступа можно задать как общие настройки прав для рабочих групп и подразделений, так и доступ к определенному виду документа или грифу доступа конкретному пользователю.
Общие разрешения работают следующим образом: доступ к объекту (документу, мероприятию и т д.) дается пользователю, у которого есть доступ ко всем разрезам доступа объекта: организации, грифу, виду и т д.
Разрешения одного разреза доступа можно скопировать другому. Для этого в контекстном меню списка разрезов предусмотрена команда Скопировать другим. В открывшемся окне достаточно выбрать разрез, куда копировать.
- Ограничение по виду документа, вопросу деятельности, грифу доступа, организации осуществляется по соответствующему полю карточки.
- Ограничение по группе доступа контрагентов осуществляется по соответствующему справочнику "Группы доступа контрагентов", значения которых доступны у справочника "Контрагенты". Ограничение устанавливается как по контрагентам, так и по относящимся к ним документам.
- Ограничение по группе доступа физических лиц осуществляется по соответствующему справочнику "Группы доступа физических лиц", значения которых доступны у справочника "Физические лица". Ограничение устанавливается только к сведениям о физических лицах.
- Ограничение по папкам файлов и папкам внутренних документов осуществляется в форме списка.
Если для пользователя (его рабочей группы, подразделения) есть специальные разрешения, то действуют они. Если специальных разрешений нет, действуют общие разрешения.
На пользователя может действовать сразу несколько специальных разрешений. Настройки нескольких специальных разрешений не расширяют друг друга.
Права на папки
Права по папкам можно настраивать для следующих объектов системы:
- внутренние документы,
- файлы,
- проекты,
- письма,
- мероприятия,
- форум.
Права доступа на папки дополнительно сужают доступ к объектам Системы.
Настройка прав на папки одинакова как для папок внутренних документов, так и на папки файлов, писем и мероприятий и осуществляется в соответствующем журнале в открывшейся карточке папки с помощью команды "Настроить права".
В таблице прав могут фигурировать как конкретные пользователи и роли, так и подразделения и рабочие группы.
Желательно назначать ответственных за папки, чтобы эти сотрудники следили за порядком в этой папке. Ответственному за папку можно дать дополнительные права на изменение папок и даже на управление правами в этой папке.
Право на изменение документов не означает, что пользователь может изменять саму папку. Права пользователя на изменение папки появятся только в том случае, когда у него будет права на Изменение папок.
Права пользователя на объекты в папке будут, если есть хотя бы одно разрешение и нет ни одного запрещения.
Приведем некоторые примеры.
1. В папке файлов «Бухгалтерия» права настроены таким образом, что указано только подразделение Бухгалтерия. Соответственно другие сотрудники, кроме Бухгалтерии (а также непосредственных руководителей), видеть эту папку и ее содержимое не будут. У Бухгалтерии есть хотя бы одно разрешение и нет запрещений. У других пользователей нет ни одного разрешения.
2. В папке файлов «Секретариат» права даны подразделению Секретариат и запрещены Фроловой, хотя Фролова входят в группу пользователей Секретариат. Соответственно на данную папку Фролова прав не получит, так как несмотря на имеющееся разрешение есть хотя бы одно запрещение.
У права есть последняя колонка Для подпапок, которая означает, что данные права будут наследоваться на все подчиненные папки.
Наследуемые права отображаются в списке прав голубым цветом и запрещены для удаления, если в подчиненной папке установлена галочка Наследовать права от вышестоящих папок
Подчиненным папкам можно устанавливать собственные права доступа, не зависящие от родительской папки:
Если у пользователя есть права на подчиненную папку, но на вышестоящую папку прав нет, то, при просмотре по папкам, сама папка будет ему недоступна, ему будет доступно только ее содержимое при просмотре списком.
Если есть папка «Отдел», и мы хотим чтобы в нее ходила вся фирма. Но в ее подпапки ходить нельзя. Тогда мы должны следующим образом настроить права доступа, как показано на картинке (дать права группе «Все пользователи» и для подпапок убрать наследование):
Если мы хотим, чтобы папка на просмотр и на редактирование была доступна для всех сотрудников, а у сотрудников отдела Бухгалтерия был только просмотр, то права должны быть установлены как показано на картинке (группе Все пользователи даем права на просмотр и редактирование, а подразделению Бухгалтерия – запрещаем редактирование):
Рабочая группа объекта
В карточках документов есть закладка "Рабочая группа". На этой закладке указывается список сотрудников, которые будут иметь доступ к этому документу, а остальные сотрудники не будут.
В настройках видов документов есть две полезные настройки «Автоматически вести состав участников рабочей группы» и «Заполнение рабочей группы является обязательным».
Если рабочая группа документа заполнена, то права рассчитываются только по ней без учета других настроек прав (политик доступа, настроек прав папок).
По умолчанию у участника рабочей группы есть доступ только на чтение документа. Чтобы назначить права на изменение, в карточке документа на закладке Рабочая группа необходимо установить флажок Изменение.
Добавить участника рабочей группы может любой сотрудник, у которого есть права на изменение данного документа.
Оригинал и полный текст статьи опубликован в блоге Владимира Лушникова на странице "Права доступа в 1С:Документооборот", запись которого позже можно будет посмотреть по ссылке.
На линию консультаций 1С бухгалтеры часто обращаются с просьбой настроить те или иные права для пользователей в программе. И как только консультант выводит на экран список доступных профилей, а их в программе более десятка, начинаются вопросы: «Ой, ого их сколько много!», «А чем они отличаются друг от друга?» и т.д. В нашей публикации мы не только дадим на них исчерпывающие ответы, но и расскажем с чем вы можете столкнуться при настройке прав пользователей в программе 1С: ЗУП ред. 3.1.
В программе 1С: Зарплата и управление персоналом список пользователей находится в разделе «Администрирование» - «Настройки пользователей и прав».
При различной настройке интерфейсов данный пункт может быть вынесен в раздел «Администрирование» - «Пользователи».
О том, что делать, если меню «Пользователи» не доступно, как создать пользователя и установить пароль, мы уже рассматривали в статье «Как установить или поменять пароль при входе в программу 1С?» на примере программы 1С: Бухгалтерия предприятия. В программе 1С: ЗУП данные действия не отличаются от рассмотренного варианта.
Нажав кнопку «Создать» в справочнике «Пользователи», можно добавить нового пользователя информационной базы или, открыв имеющегося, отредактировать его данные.
Основные настройки задаются на закладке «Главное». Но есть и другие разделы настроек.
Создавая пользователей, сразу возникает вопрос: какие права у них имеются и какие действия они смогут выполнять в программе? Ведь логически неправильно, если все имеют одинаковые права, и делают все, что им захочется: вводят документы, вносят исправления в данные других пользователей и т.п.
В карточке пользователя, перейдя по гиперссылке «Права доступа», определяются группа доступа и разрешенные действия – роли пользователя.
Так, чтобы ограничить действия пользователей, в 1С можно выполнить настройку прав, в которой определить круг полномочий вошедшего в систему человека. Для этого в конфигурации задействованы такие объекты, как права и роли. Они назначаются определенным пользователям в зависимости от их должности и выполняемых функций. Данную настройку можно выполнить в режиме 1С: Предприятие.
Возможна и более гибкая настройка прав в режиме «Конфигуратор» в разделе «Администрирование» - «Пользователи».
Открыв пользователя, на закладке «Прочие» производится разграничение ролей. Установив галочки доступных ролей и прав, назначаются возможные действия выбранному пользователю.
Возможно включение определенного интерфейса.
Но в таком количестве всевозможных прав и ролей легко запутаться и подбирать права и роли в «Конфигураторе» весьма трудоемко.
Так как разработчики 1С позаботились о возможности выполнения настройки прав в пользовательском режиме с помощью справочников «Профили групп доступа» и «Группы доступа», мы рассмотрим именно этот вариант.
В данных справочниках описаны предопределенные роли, которые можно взять за основу настройки. В большинстве случаев их достаточно для работы и разделения полномочий.
Настройка прав пользователей 1С: ЗУП ред. 3.1 в режиме 1С: Предприятие
Начнем с того, что уже не в первый раз мы сталкиваемся с вопросами отсутствия нужных пунктов настройки или вообще удаленными предопределенными элементами справочников, используемых для настройки.
Поэтому рассмотрим сначала 2 вопроса: «Что должно быть в программе изначально?» и «Что делать если некоторые пункты меню отсутствуют?».
Ведь по каким-то причинам пользователь 1С может столкнуться и с такой проблемой.
Для определения прав пользователя при первоначальной настройке программы используется раздел «Настройки пользователей и прав».
Шаг 1. Перейдите в раздел «Администрирование» - «Настройки пользователей и прав».
В разделе находится и справочник «Пользователи», и нужные нам шаблоны настроек прав доступа пользователей – «Профили групп доступа» в подразделе «Группы доступа».
В программе 1С: Бухгалтерия предприятия этот пункт также находится в разделе «Настройки пользователей и прав».
Рассмотрим пример из другой базы 1С: ЗУП. Откроем раздел «Настройки пользователей и прав».
Нам нужен справочник «Профили групп доступа».
Открыв раздел, мы видим, что его нет.
В чем причина? Дело в правах пользователя, под которым осуществлен вход в систему и настройках программы, или, возможно, при настройке программы эти пункты просто убрали.
Исправляем ситуацию, ведь необходимо включить видимость нужных разделов.
Настройка видимости справочника «Профили групп пользователя»
Шаг 2. В разделе «Администрирование» нажмите кнопку в виде «шестеренки» - «Настройки» и выберите команду – «Настройка навигации».
Шаг 3. В открывшемся окне «Настройка панели навигации» в разделе «Доступные команды» найдите строку «Профили групп доступа» и, выделив ее, нажмите кнопку «Добавить». Она перенесется в окно «Выбранные команды».
Шаг 4. По нажатию «Ок» пункт меню закрепится на рабочем столе.
В разделе «Администрирование» появился нужный нам справочник «Профили групп доступа».
Перейдем к справочнику «Профили групп доступа».
Справочник «Профили групп доступа» - поставляемые элементы
Справочник «Профили групп доступа» включает список поставляемых системой пользовательских настроек.
Если вы установите отбор – показать «Поставляемые», то увидите, что весь список предопределен. Настройки профилей автоматически обновляются вместе с программой.
В справочнике имеются профили:
• «Кадровик (без доступа к зарплате»;
• «Расчетчик» и другие.
Можно добавить и свои профили, но зачастую при наличии имеющихся настроек в этом нет необходимости. Например, если по каким-то причинам предопределенные элементы удалены, то можно создать свой профиль.
Для того нажмите кнопку «Создать».
Пропишите наименование профиля и галочкой отметьте разрешенные действия (роли) для профиля.
В системе заложены предопределенные настройки прав для пользователей и интерфейсов рабочего стола:
• «Интерфейс Руководитель подразделения»;
Установить интерфейс недостаточно, нужно четко прорабатывать каждую роль, и это достаточно трудоемкий процесс.
Если по каким-то причинам у вас в базе отсутствуют нужные роли, вы можете установить «Демо-версию» программы 1С и посмотреть образец заполнения там.
Откроем для примера предопределенную роль «Кадровик». На закладке «Разрешенные действия (роли)» перечислены разрешенные действия и настройки.
Справочник «Группы доступа»
Еще один справочник, используемый при настройке прав, это «Группы доступа».
Шаг 1. Перейдите в раздел «Администрирование» - «Настройки пользователей и прав» - гиперссылка «Группы доступа».
В ней объединены пользователи по профилям и ролям. Например, «Старшие кадровики» имеют профиль «Старший кадровик», «Старшие расчетчики» - профиль «Старшие расчетчики».
Вид профиля задается при создании группы. Здесь же можно подобрать и пользователей данной группы. Например, в организации несколько расчетчиков, кадровиков и т.п.
Создадим для примера новую группу «Кадровики» и назначим профиль «Кадровик».
Шаг 3. Укажите наименование группы и задайте предопределенный профиль из справочника «Профили групп доступа». В нашем примере «Кадровик».
Шаг 4. Нажмите «Записать и закрыть», сохранив настройку. Участников группы мы не задаем. В дальнейшем они будут закрепляться в настройке пользователя и автоматически объединяться в заданные группы.
Группа пользователей «Кадровики» создана.
Создание пользователя в 1С: ЗУП и назначение ему прав
Рассмотрев основные настройки прав, перейдем к вопросу как назначить эти права пользователю в 1С: Зарплата и управление персоналом.
Шаг 1. Откройте справочник «Пользователи» - раздел «Администрирование» - «Настройки пользователей и прав». Нажмите «Создать».
Шаг 2. Заполните поля:
Пользователя можно выбрать из справочника «Физические лица».
Нажмите «Записать» и перейдите по ссылке «Права доступа».
Нажав на строку или кнопку «Изменить группу», вы увидите состав группы «Кадровики».
Назначая данную группу прав пользователям таким образом они объединяются.
Шаг 4. Перейдите на закладку «Разрешенные действия (роли)» и увидите список действий, закрепленный за данной ролью, и действия, которые пользователь может выполнять.
Таким образом вы можете, используя предопределенные роли, создавать пользователей и назначать им различные права. При необходимости можно скопировать роль, задать ей другое имя и более гибко выполнить настройку, отключив или добавив определенные функции.
Виды интерфейсов и прав пользователей в ЗУП
Посмотрим, как меняется интерфейс и возможности программы при входе под разными ролями.
Закройте программу и зайдите под именем созданного нами пользователя с правами «Кадровик».
Интерфейс «Кадровика» выглядит следующим образом – меню «Кадры»:
• «Работа с кадрами»;
• справочник «Сотрудники и т.д.
Другие разделы ему не доступны. Это ограничено его ролью и правами.
Кадровик может работать с документами: добавлять плановые начисления, отражать больничные, отпуска, премии и т.п.
В отличие от профиля «Кадровик», роль «Кадровик (без доступа к зарплате)» не имеет возможности изменять и просматривать плановые начисления, а соответственно и документы, где они отражены.
Например, для такого пользователя приказ о приеме на работу не доступен для редактирования и скрывает информацию о начислениях сотруднику.
Роль «Кадровик (без доступа к зарплате)» применяется для тех пользователей, которым не надо видеть плановые начисления сотрудников – оклады, надбавки и другое.
Создадим пользователя с правами «Табельщик» и посмотрим его интерфейс и возможности.
Он имеет право просматривать кадровые и другие документы, имеющиеся в интерфейсе, но без права вносить изменения.
Откроем для примера кадровые приказы. Как видите, поля и кнопки блеклые, т.е. недоступны для редактирования.
В разделе зарплата «Табельщик» может работать лишь с документами учета времени:
Остальные разделы доступны только для просмотра. Для примера, откроем журнал «Работа в выходные и праздничные дни». Как видите в них нет кнопки «Создать».
Все возможные действия определены ролью - профилем «Табельщик».
Запустим 1С под именем пользователя, имеющего права «Старший расчетчик».
Интерфейс и функционал программы изменился. Он имеет те же функции, что и просто профиль «Расчетчик» и пользователь может:
• просматривать и изменять документы расчета и выплаты зарплаты, взносов, данных о сотрудниках, касающихся расчета зарплаты;
• просматривать кадровые документы, не редактируя их;
• изменять или добавлять плановые начисления;
• задать или изменять график работы сотрудников и т.д.
Но пользователь с профилем «Старший расчетчик» может изменять настройки расчета зарплаты, начислений и удержаний в разделе «Настройка»:
• «Шаблоны ввода исходных данных» и т.д.
Профилю «Расчетчик» эти действия недоступны.
Создавать и назначать права пользователям может пользователь с профилем «Администратор», он имеет полные права и обязательно должен присутствовать. Если вы зайдете под профилем «Администратор», вам будут доступны все функции программы.
Для разграничения пользователей зачастую достаточно предопределенных ролей 1С: ЗУП.
Поэкспериментируйте с настройками. В любой момент, если каких-то функций не будет хватать, вы можете самостоятельно изменить профиль пользователя, добавить или отключить возможные действия.
Сегодня рассмотрим вопрос по типовой конфигурации УТ 11. Нашему слушателю в процессе изучения курса Профессиональная разработка отчетов в 1С 8.3 на Системе Компоновки Данных (СКД) понадобилось ограничить доступность некоторых дополнительных отчетов.
Вопрос вроде бы простой, но, как оказалось, в нем есть свои нюансы…
Вопрос
Работает ли в УТ 11.3.4.197 ограничение на уровне записи для дополнительных отчётов и обработок? Если да, то какие настройки необходимо поставить?
Интересует вариант разрешить все доп. отчёты, кроме указанных в профиле/группе доступа. Не получается, чтобы сработал запрет. В чём он должен выражаться?
Ответ
Да, в роли Чтение дополнительных отчетов и обработок реализовано ограничение доступа на уровне записей.
Создаем новый профиль, указываем роль Чтение дополнительных отчетов и обработок , назначаем ограничение доступа Дополнительные отчеты и обработки :
В группе доступа указываем разрешенные значения:
После этого в панели отчетов пользователя этой группы будут отображаться варианты из отчета «Внешний отчет доп »:
Остальные варианты из дополнительных отчетов не отображаются в панели.
Ну что, подведем итоги? В типовых конфигурациях при разработке отчетов нужно уметь работать не только со схемой компоновки данных и подсистемами БСП, которые обслуживают работу отчетов, но и уметь настраивать ограничения доступа к отчету, опять же, через соответствующую подсистему БСП. И тут у нас три варианта:
- Разобраться во всем самому. Конфигуратор + официальная документация с ИТС + продвинутые коллеги, конечно, помогут в этом. Но! Сколько времени нужно потратить на то, чтобы пройти этот путь от начала и до конца? Если вы не знаете, то мы подскажем – очень много!
- Не погружаться самому, а быстро нагуглить кейсы-шаблоны, вопросы-ответы (по типу нашего) и побыстрее «закрыть вопрос». Не критикуя такой способ, опишем одним словом очевидный минус такого подхода – это слово «поверхностность». Да, именно поверхностность. Вроде вот скачали шаблон какого-то отчета, вроде что-то подправили, вроде заработало, но количество непонятной магии такое… любой шаг влево, шаг вправо уже вызывает легкий холодок и желание опять погуглить. Ни о каком четком понимании, конечно, речи идти не может. Но мы не осуждаем :).
- Обучиться приемам работы и с подсистемами БСП, и с кейсами по доработке типовых конфигураций. На наш скромный взгляд, это самый быстрый способ пройти п.1. Кстати, он не только самый быстрый , но и, кажется, самый комфортный для вас в плане нагрузки. Но решать, конечно же, вам!
Пишите в комментариях, что думаете о ситуации. Если работаете с типовыми конфигурациями, было бы здорово, если бы описали свой опыт: как вырабатывали навыки, обучались ли на курсах/сами, с какими трудностями столкнулись? А если кто уже давно в типовых, может, и совет дадите менее опытным? :)
Ранее мы рассматривали настройку ролей пользователей в системе 1С Предприятие 8, сегодня мы продолжим изучение механизма прав и углубимся далее — в механизм RLS (ограничение прав на уровне записей).
Ниже мы рассмотрим достоинства и недостатки данного метода и рассмотрим настройку RLS в 1С Предприятии 8.3 на примере.
1С RLS (Record Level Security) или ограничение прав на уровне записи — это настройка прав пользователей в системе 1С, которая позволяет разделить права для пользователей в разрезе динамически меняющихся данных.
Самый распространенный вид настройки 1C RLS — ограничение видимости пользователя в разрезе организаций или клиентов (пользователь видит лишь «свои» данные).
Преимущества ограничения прав на уровне записей в 1С
Основное преимущество — наличие механизма вообще, механизм достаточно сложный и интересный. Позволяет очень тонко разграничить права пользователей — пользователи могут даже не догадываться о существовании в системе других данных.
Недостатки 1С 8 RLS
Среди недостатков можно отметить заметное падение производительности системы. Это вызвано тем, что платформа при построении запроса в базе данных осложняет любой запрос разработчика дополнительными условиями.
Если вы только начинаете программировать в 1С или просто хотите систематизировать свои знания - попробуйте Школу программирования 1С нашего друга Владимира Милькина. Пошаговые и понятные уроки даже для новичка с поддержкой учителя.
Попробуйте бесплатно по ссылке >>
Также среди недостатков — сложность настройки этого функционала и сложность отладки. 1C выпустило очень мало материалов по настройке и работе этого функционала. Достаточно трудно найти специалиста, который грамотно настроил бы механизм.
Настройка ограничения прав на уровне записей 1С RLS
Ограничение прав на уровне записи (RLS) применяется для ограничения следующих типов прав:
- Чтение
- Добавление
- Изменение
- Удаление
Внешне настройка RLS (прав на уровне записей) похожа на составление простого запроса 1С. Пример шаблона для ограничения доступа видимости документов по клиенту из шапки документа:
Как Вы видите, в запросе есть специальные параметры, например » &ИспользоватьОграниченияПравДоступаНаУровнеЗаписей». Это параметры в РЛС подбираются из объектов метаданных — «Параметры сеансов«. Как правило, они задаются при старте сессии пользователя.
Конструктор ограничения доступа к данным
Для удобства разработчика в 1С 8.3 есть специальная утилита для помощи в настройки РЛС — Конструктор ограничения доступа к данным. Он вызывается из поля «Ограничение доступа». Выглядит следующим образом:
Другие статьи по 1С:
Пример настройки RLS:
Если Вы начинаете изучать 1С программирование, рекомендуем наш бесплатный курс (не забудьте подписаться на YouTube — регулярно выходят новые видео):
Читайте также: