В этой статье я рассмотрю, как работать с пользователями в 1С Бухгалтерии 8.3:
- создавать нового пользователя;
- настраивать права — профили, роли и группы доступа;
- как в 1С 8.3 настроить ограничение прав на уровне записей (RLS) — например, по организациям.
Инструкция подойдет не только для бухгалтерской программы, но и для многих других, построенных на базе БСП 2.х: 1С Управление торговлей 11, Зарплата и управление персоналом 3.0, ERP 2.0, Управление небольшой фирмой и других.
Если Вам интересна настройка прав с точки зрения программиста, читайте данную статью.
В интерфейсе программы 1С управление пользователями производится в разделе «Администрирование», в пункте «Настройка пользователей и прав»:
Содержание
Как создать нового пользователя в 1С
Чтобы завести в 1С Бухгалтерии 3.0 нового пользователя и назначить ему определенные права доступа, в меню «Администрирование» существует пункт «Настройки пользователей и прав». Заходим туда:
Управление списком пользователей осуществляется в разделе «Пользователи». Здесь можно завести нового пользователя (или группу пользователей) либо отредактировать уже существующего. Управлять списком пользователей может только пользователь с административными правами.
Создадим группу пользователей с названием «Бухгалтерия», а в ней двух пользователей: «Бухгалтер 1» и «Бухгалтер 2».
Чтобы создать группу, нажимаем кнопку, которая выделена на рисунке выше, и вводим наименование. Если в информационной базе есть другие пользователи, которые подходят на роль бухгалтера, можно тут же их добавить в группу. В нашем примере таких нет, поэтому нажимаем «Записать и закрыть».
Теперь создадим пользователей. Устанавливаем курсор на нашу группу и нажимаем кнопку «Создать»:
В полное имя введем «Бухгалтер 1», имя для входа зададим «Бух1» (именно оно будет отображаться при входе в программу). Пароль укажем «1».
Обязательно убедитесь, что установлены флажки «Вход в программу разрешен» и «Показывать в списке выбора», иначе пользователь себя не увидит при авторизации.
Способ авторизации я всегда выбираю «Аутентификация 1С:Предприятия».
Получите 267 видеоуроков по 1С бесплатно:
«Режим запуска» оставим «Авто».
Настройка прав доступа — ролей, профилей
Теперь нужно указать «Права доступа» данному пользователю. Но сначала нужно его записать, иначе появится окно с предупреждением, как показано на рисунке выше. Нажимаем «Записать», затем «Права доступа»:
Выбираем профиль «Бухгалтер». Данный профиль стандартный и настроен на основные права, необходимые бухгалтеру. Нажимаем «Записать» и закрываем окно.
В окне «Пользователь (создание)» нажимаем «Записать и закрыть». Так же создаем второго бухгалтера. Убеждаемся, что пользователи заведены и могут работать:
Следует отметить, что один и тот же пользователь может принадлежать нескольким группам.
Флажок «Отображать автора документа» отвечает за то, будет ли в документе отображаться пользователь, который его создавал.
Права доступа для бухгалтеров мы выбирали их тех, которые были заложены в программу по умолчанию. Но бывают ситуации, когда необходимо добавить или убрать какое-нибудь право. Для этого существует возможность создать свой профиль с набором необходимых прав доступа.
Зайдем в раздел «Профили групп доступа».
Допустим, нам нужно разрешить нашим бухгалтерам просматривать журнал регистрации.
С нуля создавать профиль довольно трудоемко, поэтому скопируем профиль «Бухгалтер»:
И внесем в него необходимые изменения — добавим роль «Просмотр журнала регистрации«:
Дадим новому профилю другое наименование. Например, «Бухгалтер с дополнениями». И установим флажок «Просмотр журнала регистраций».
Теперь нужно сменить профиль у пользователей, которых мы завели ранее.
Ограничение прав на уровне записи в 1С 8.3 (RLS)
Разберемся, что означает ограничение прав на уровне записи, или, как называют её в 1C, RLS (Record Level Security). Чтобы получить такую возможность, нужно установить соответствующий флажок:
Программа потребует подтверждения действия и сообщит, что такие настройки могут сильно замедлить систему. Нередко бывает необходимость, чтобы некоторые пользователи не видели документов определенных организаций. Как раз для таких случаев и существует настройка доступа на уровне записи.
Заходим опять в раздел управления профилем, два раза кликаем по профилю «Бухгалтер с дополнениями» и переходим на закладку «Ограничения доступа»:
«Вид доступа» выберем «Организации», «Значения доступа» выберем «Все разрешены, исключения назначаются в группах доступа». Нажимаем «Записать и закрыть».
Теперь возвращаемся в раздел «Пользователи» и выбираем, например, пользователя » Бухгалтер 1″. Нажимаем кнопку «Права доступа»:
Через кнопку «Добавить» выбираем организацию, данные по которой будет видеть «Бухгалтер 1».
Обратите внимание! Использование механизма разграничения прав на уровне записей может отразиться на производительности программы в целом. Заметка для программиста: суть RLS в том, что система 1С добавляет в каждый запрос дополнительное условие, запрашивая информацию о том, разрешено ли читать пользователю данную информацию.
Прочие настройки
Разделы «Копирование настроек» и «Очистка настроек» вопросов не вызывают, их названия говорят сами за себя. Это настройки внешнего вида программы и отчетов. Например, если Вы настроили красивый внешний вид справочника «Номенклатура», его можно тиражировать на остальных пользователей.
В разделе «Настройки пользователей» можно изменить внешний вид программы и сделать дополнительные настройки для удобства работы.
Флажок «Разрешить доступ внешним пользователям» дает возможность добавлять и настраивать внешних пользователей. Например, Вы хотите организовать на базе 1С интернет-магазин. Клиенты магазина как раз и будут являться внешними пользователями. Настройка прав доступа осуществляется аналогично обычным пользователям.
Если Вы начинаете изучать 1С программирование, рекомендуем наш бесплатный курс (не забудьте подписаться на YouTube — регулярно выходят новые видео):
К сожалению, мы физически не можем проконсультировать бесплатно всех желающих, но наша команда будет рада оказать услуги по внедрению и обслуживанию 1С. Более подробно о наших услугах можно узнать на странице Услуги 1С или просто позвоните по телефону +7 (499) 350 29 00. Мы работаем в Москве и области.
Михаил Сайко
Вопрос с правами доступа возникает в связи с необходимостью ограничить права пользователя в 1С (или группы пользователей), что подразумевает под собой запрет на совершение каких-либо действий с определенными объектами, например, их просмотр, запись, редактирование и т.д. Или, наоборот – из-за необходимости дать (расширить) права пользователей в 1С, что в реальности чаще всего следует за сообщением системы о нарушении прав доступа (например, недостаточно прав для просмотра) и обращением пользователя к администраторам с просьбой об этом.
Чтобы внести коррективы в правила доступа и изменить права на просмотр того или иного раздела или на любое другое действие, необходимо зайти в «Настройки пользователей и прав», что можно сделать при включенном пользовательском режиме на вкладке «Администрирование» (при условии, конечно, что имеются права на это).
Перейдя по ссылке «Пользователи», можно увидеть, кто из пользователей входит в ту или иную группу доступа.
Как уже упоминалось, в группы доступа входят определенные пользователи, а самим группам соответствует профили групп доступа, которые объединяют роли. По сути роль – это метаданные, разнообразие и количество которых зависит от конфигурации. Как правило, ролей довольно много и в них легко запутаться. Стоит помнить, что одна лишняя назначенная роль может открыть доступ к объектам нежелательным пользователям.
Описание прав пользователей доступно на вкладке «Описание».
Роли просматриваются посредством элемента справочника «Пользователи», попасть в который можно по клику на конкретном пользователе.
Здесь же формируется отчет по правам доступа, где отображается статус доступа к конкретным объектам системы.
Крайняя правая колонка «Ограничения на уровне записей» – это дополнительные условия, ограничивающие действия с объектами базы данных. По сути это запрос, выполняющийся в момент работы и сообщающий, можно или нельзя работать с объектом.
На скриншоте видно, что документ «Ввод начальных остатков» доступен для пользователя, но доступ возможен только к определенным складам.
Таким образом, установить доступ или изменить права в 1С можно добавив пользователя в ту или иную группу в пользовательском режиме.
Саму группу также можно изменить, например, добавив значение в ограничение доступа.
Права администратора позволяют осуществлять управление правами в режиме конфигуратора, где уже заданы типовые роли. Например, роль с много объясняющим названием «Базовые права», как правило, дает возможность осуществить только чтение или только просмотр объекта.
Для управления правами, призванными изменять объекты, предусмотрены специальные роли добавления/изменения данных.
Если известно, на какой объект не хватает прав у пользователя, можно:
- От обратного: посмотреть вкладку «права» у конкретного объекта, при этом вверху мы увидим все роли, доступные в конфигурации, а в нижнем окне – права. Наличие тех или иных прав на объект отмечено «галочкой». Таким же образом задаются права для новых объектов.
- Открыть роль, назначенную пользователю, и, выбрав в левом окне конкретный объект, в правом окне увидеть список прав, то есть действия, которые пользователь с данной ролью может сделать с этим объектом – чтение, добавление, просмотр т.д.
Таким образом, все возможные права в системе предопределены. Чтение, добавление, изменение, просмотр, редактирование и другие права могут быть включены или выключены в любой роли для любого объекта. Назначить права отдельно, не используя при этом роли, невозможно. Для разграничения прав пользователя необходимо назначить соответствующую роль. Удобным инструментом для анализа прав и ролей становится таблица «Все роли», формируемая в конфигураторе.
На скриншоте видно, что роль «Полные права» обладает максимальным объемом прав. И если задачи ограничивать пользователей в правах не стоит вовсе – можно смело назначать эту роль всем пользователям, навсегда избавившись от вопросов пользователей.
На практике же, как правило, в большинстве случаев все-таки необходима «защита от дурака». Подстраховаться от нежелательного изменения данных нужно всем более-менее крупным компаниям. Здесь на помощь приходит встроенные в 1С роли. Разобраться в разнообразии ролей не просто, на это требует много времени. Поэтому создание собственной роли для решения практических задач, зачастую может быть единственным выходом. Рассмотрим этот момент подробнее. Добавить роль можно в дереве метаданных.
В новой роли разграничить права можно простым выставлением флажков напротив соответствующего права.
Флажки в низу окна говорят о том, что права будут автоматически назначаться для новых объектов метаданных/для реквизитов и табличных частей объекта, для которого назначаются права, а также – будут ли наследоваться права относительно родительского объекта.
Ограничения прав доступа задаются в правом нижнем окне новой роли. Это мощный инструмент, позволяющий ограничить права на уровне записей, т.е. предоставить доступ именно к необходимым данным. Если простое назначение прав может только «прямолинейно» дать или отнять права на действия с объектом, то механизм ограничений позволяет гибко настроить права доступа относительно данных. Например, ограничить чтение и просмотр данных только по одной организации.
Конструктор ограничений доступа к данным позволяет создать условие, по которому будет ограничен доступ.
Ограничение прав доступа описывается в виде языковых конструкций. Для облегчения их создания предусмотрено использование шаблонов ограничений. Надо заметить, что использование этого механизма напрямую сказывается на производительности, ведь системе, обращаясь к какому-либо объекту, необходимо прочитать и выполнить эти ограничения. Этот процесс отнимает ресурсы компьютера и тормозит работу.
В заключение хотелось бы отметить, что фирма 1С в качестве разработчика позаботилась о наличие широких возможностей для администраторов в части редактирования прав в своих программных решениях. И если на первый взгляд эти инструменты могут показаться сложными и избыточными, то в дальнейшем, особенно при попытке построить эффективную схему доступа в условиях многоуровневой, разветвленной структуры персонала на предприятии или в организации, становится ясно, что функционал программы вполне соответствует реальным потребностям.
Office 365, AD, Active Directory, Sharepoint, C#, Powershell. Технические статьи и заметки.
Настраиваем права доступа в 1С Университет ПРОФ. Часть 1. Базовые права
Дано: установленный 1С Университет ПРОФ (версия 2.0.7).
Задача: настроить права доступа для пользователей с минимумом изменений в типовой конфигурации.
Вариантов настроить права доступа в 1С множество, в том числе полное переписывание системы ролей под себя. Создание своих ролей, конечно, было бы самим правильным и тонко настраиваемым решением, однако, не всем это под силу (нужен 1С-специалист) и такие роли требуют постоянной актуализации при обновлении (если поменялись или добавились какие-либо объекты в системе или логика какого-либо процесса).
Т.к. перед нами стоит задача минимального затрагивания конфигурации, здесь я постаралась рассмотреть способ, позволяющий настроить доступ через интерфейс программы, минуя настройку в конфигураторе. У него тоже есть свои недостатки, о которых указано ниже в статье, а также предложены варианты их обхода.
Итак, начнем. Допустим, что администратор в базе уже есть со следующими ролями (задано через конфигуратор) — администратор, администратор системы, администрирование, обновление конфигурации базы данных, полные права.
Если необходим также пользователь с полными правами, также желательно создать его в конфигураторе и задать роль "Полные права".
Далее все действия производим в режиме "Предприятие" (не в конфигураторе) под администратором.
Этапы:
1) Предварительная подготовка (настройка программы и профилей)
2) Создание групп и настройка прав (на конкретные документы)
3) Создание пользователей
4) Настройка интерфейсов (шаблоны пользователей)
5) Дополнительная защита
Условимся, что:
— Пользователи не должны беспрепятственно создавать любые документы или редактировать чужие.
— Пользователи разных подразделений должны видеть физических лиц только своего подразделения (например, сотрудники кафедры видят только своих преподавателей, а сотрудники факультетов — только своих студентов).
1. Предварительная подготовка (настройка программы и профилей)
Предварительно настроим профиль групп доступа "Пользователи", установив ему роль "Пользователь".
Для этого переходим на "Администрирование" — "Настройка пользователей и прав" — "Профили групп доступа" — Пользователи:
Далее устанавливаем роль "Пользователь":
Сохраняем. Переходим по ссылке "Группы доступа" и проверяем, что группа и профиль пользователей соответствуют друг другу:
Примечание: есть один замеченный глюк — если зайти в профиль групп доступа "Администратор", то иногда у него слетают роли "Администратор" и "Администрирование". Проявляется это чаще всего, когда пытаетесь начать редактировать пользователей и появляется сообщение, что нет доступа. Если так, то нужно зайти в конфигуратор и снова установить у администратора эти права. Такая же беда иногда случается с пользователем, которого закреплена роль "Полные права" — если в режиме 1С:Предприятие зайти в его профиль и попытаться изучить права, то может слететь эта роль (лечится опять же через конфигуратор).
Также включаем следующие параметры:
1) Ограничивать доступ на уровне записей. Благодаря этому, у каждого документа появляется ответственное лицо, которое его создало, что позволяет настраивать доступ только к "своим" документам и к каждому документу в отдельности. Например, если сделать нужные настройки, то операторы ПК будут иметь доступ только к созданным ими заявлениям абитуриентов.
2) Группы пользователей (так мы сможем группировать пользователей с одинаковыми правами доступа, чтобы не назначать права отдельно каждому пользователю)
3) Разграничивать доступ к справочнику "Физические лица" (чтобы каждое подразделение видело только "своих" физических лиц)
2. Создание групп и настройка прав (на конкретные документы)
Теперь необходимо определить категории пользователей, например: оператор ПК, секретарь ПК, сотрудник УМУ, сотрудник деканата, отдел кадров студентов и т.п.
В качестве примера, рассмотрим приемную комиссию. Выделим две категории оператор ПК и секретарь ПК.
На вкладке "Пользователи" создаем, например, такие группы: Приемная комиссия — а ней две подгруппы "Операторы ПК" и "Секретари ПК":
Теперь на группу "Секретари ПК" через механизм "Администрирование прав объекта" назначим следующие права на документы:
Похожий список прав рекомендовали сами разработчики в инструкции на своем сайте — см. Инструкция по настройке прав доступа сотрудников ПК по адресу sgu-infocom.ru/support/instructions
Чтобы попасть в окно "Администрирование прав объекта" группы, нажмите "Изменить" в контекстном меню группы "Секретари" и затем кнопку с изображением "папки с шестеренкой":
Не перепутайте и не нажмите кнопку случайно на каком-нибудь пользователе, иначе права будут на конкретного пользователя, а не на группу.
В открывшемся окне выберите перечисленные выше объекты доступа (предопределенные документы из справочника "Объекты метаданных") и расставьте права ("галочки") напротив соответствующих документов.
Этим действием мы указали, что все пользователи, входящие в данную группу, будут иметь доступ к указанным документам. Если документ со значением "Все значения", то пользователь сможет править документы других пользователей, есть написано "Секретарь ПК", то только свои.
Для группы "Операторы ПК" можно сделать следующие права:
Для УМУ, например, так:
И т.д. Частично информацию по составу документов для различных категорий можно почерпнуть из инструкции разработчиков по внедрению от 2011 года — new.1c-universitet.ru/Media/Default/files/user_introduction.pdf
Эксперименты с созданием групп-подгрупп показали, что права, назначенные на группу, не наследуются на подгруппу, хотя этот было бы удобно. Таким образом, получается, что права надо задавать именно на последнюю по иерархии группу, т.е. ту, где непосредственно будут находиться пользователи.
3. Создание пользователей
Теперь создаем непосредственно пользователей системы. Выбираем группу, например, "Секретари ПК" и нажимаем "Создать":
Создание пользователя стандартное. Стоит обратить внимание на поле "Подразделение". На его основании программа предоставляет доступ к справочнику физических лиц: т.е. если указано конкретное подразделение (например, факультет), то пользователь будет видеть только студентов (физических лиц) этого факультета. Если нужен полный доступ к физическим лицам, то нужно установить корневой элемент структуры вуза (обычно это наименование вуза).
Далее пользователю необходимо присвоить группу доступа "Пользователь", которую мы настраивали в разделе 1. Делается это следующим образом:
Создайте столько пользователей, сколько нужно.
Одного пользователя при необходимости можно включать в несколько групп пользователей.
Если создается пользователь приемной комиссии, то нужно не забыть назначить ему доступные приемные кампании:
В принципе, всё необходимое сделано и можно уже останавливаться на данном этапе — пользователи созданы, права на документы предоставлены — можно начинать работать. Все последующие разделы направлены на урезание прав пользователей и защиты базы от изменений.
4. Настройка интерфейсов (шаблоны пользователей)
Пользователи созданы, однако по умолчанию они видят все подсистемы в программе, кроме администрирования (планирование учебного процесса, расписание, приемная комиссия, структура и т.п.), например, так:
Неудобство в том, что панели настраиваются под каждым пользователем отдельно. Поэтому была придумала такая идея: сделать шаблонных пользователей, настраивать им интерфейс, а затем копировать настройки реальным пользователям при помощи стандартного механизма копирования настроек.
Итак, под шаблонных пользователей лучше создать отдельную группу, например, "Шаблоны пользователей".
Создаем пользователей-шаблонов для секретарей и операторов (создание такое же, как и обычных пользователей):
Теперь заходим в программу под каждым из этих шаблонных пользователей и настраиваем интерфейс.
Убираем лишние подсистемы и ссылки на документы и справочники.
Также многим пользователям с небольшими мониторами не удобно работать с интерфейсом со вкладками, поэтому мы переключили их в режим работы "Формы в отдельном окне" (через "Параметры"):
В итоге, например, у оператора может быть вот такой интерфейс:
Теперь скопируем сделанные настройки на основных пользователей. Для этого в разделе "Настройки пользователей и прав" переходим по ссылке "Копировать настройки":
В открывшемся окне выбираем одного шаблонного пользователя как источника и нужных пользователей в качестве приемников:
Нажимаем "Скопировать и закрыть" и делаем тоже самое для других шаблонов.
Это удобно при массовых изменениях интерфейсов групп пользователей.
После копирования желательно у шаблонов отключить возможность входа в систему.
5. Дополнительная защита
Главный недостаток подобного способа настройки ролей — пользователи хоть и не имеют доступа к документам, они имеют доступ ко всем справочникам (кроме физ.лиц): они могут добавлять элементы и изменять существующие (удалить не смогут).
А также, если пользователь догадается как включить "Все функции", то он сможет изменять константы, запускать любые обработки, бизнес-процессы (ирония в том, что если он сможет добраться через "Все функции", например, до константы "Ограничивать доступ на уровне записей", то ничто не помешает ему ее отключить…).
Это повышает требования к пользователям, но зачастую они меняют элементы сами того не подозревая, без злого умысла.
О способах дополнительной защиты и обхода вышеуказанной проблемы читайте в следующей части статьи.
