Работа с правами доступа в 1С:Предприятие часто сталкивается с неочевидными проблемами, одна из которых — невозможность исключить пользователя из группы из-за «косвенного включения». Сообщение системы «Невозможно исключить пользователя из группы, так как он включен в неё косвенно»** блокирует стандартные действия администратора, оставляя его в недоумении: где искать причину и как её устранить?

Проблема возникает из-за иерархической структуры групп пользователей в , где права наследуются через цепочку вложенных групп. Даже если вы пытаетесь убрать пользователя напрямую, система «видит», что он всё ещё получает доступ через другую группу. В этой статье разберём механизм косвенного включения, способы диагностики и рабочие решения — от ручного анализа прав до использования обработок и скриптов.

⚠️ Внимание: Изменение прав доступа может нарушить работоспособность системы. Перед внесением изменений создайте резервную копию базы или протестируйте действия на копии рабочей базы.

Что такое «косвенное включение» пользователя в группу 1С?

В 1С:Предприятие группы пользователей организованы по принципу иерархии: одна группа может входить в другую, наследуя её права. Например, группа Бухгалтерия входит в группу Финансовый отдел, а та — в Все сотрудники. Если пользователь добавлен в Бухгалтерия, он автоматически получает права всех «родительских» групп.

Косвенное включение — это ситуация, когда пользователь не добавлен в группу напрямую, но получает её права через другую группу. Система блокирует его исключение, чтобы избежать потери доступа к критичным функциям. Например:

  • 🔹 Пользователь ИвановИИ входит в группу Менеджеры.
  • 🔹 Группа Менеджеры входит в группу Продажи.
  • 🔹 Вы пытаетесь убрать ИвановИИ из Продажи, но система выдаёт ошибку — потому что он косвенно включён через Менеджеры.

Такая структура удобна для управления правами, но усложняет их корректировку. Главная сложность — 1С не показывает полный путь наследования прав в интерфейсе по умолчанию, поэтому администратору приходится анализировать иерархию вручную.

📊 Как часто вы сталкиваетесь с проблемами прав доступа в 1С?
Еженедельно
Раз в месяц
Редко
Никогда
Не знаю, что это

Причины ошибки «Невозможно исключить пользователя из группы»

Ошибка возникает в трёхчных сценариях:

  1. Наследование через вложенные группы. Пользователь не добавлен в целевую группу напрямую, но получает её права через другую группу (см. пример выше).
  2. Дублирование в нескольких группах. Пользователь добавлен в группу напрямую и косвенно через другую группу. Система блокирует исключение, чтобы избежать конфликта прав.
  3. Системные ограничения. В некоторых конфигурациях (например, 1С:ЗУП или 1С:ERP) есть защищённые группы, из которых нельзя исключать пользователей без изменения ролей.

Чаще всего проблема связана с первым пунктом. Например, в конфигурации 1С:Управление торговлей группа Кладовщики может входить в Складской персонал, а та — в Все сотрудники. Если вы попытаетесь убрать кладовщика из Все сотрудники, получите ошибку.

⚠️ Внимание: В версиях 1С:Предприятие 8.3.20+ логика наследования прав была доработана. Если вы работаете с устаревшей версией (до 8.3.15), проверьте актуальность механизмов в документации или тестовой базе.

Причина ошибки Пример Решение
Наследование через вложенную группу Пользователь в Бухгалтерия, которая входит в Финансовый отдел Исключить из Бухгалтерия или переназначить права
Дублирование в нескольких группах Пользователь добавлен и в Менеджеры, и в Продажи напрямую Удалить прямую привязку к Продажи
Системные ограничения Попытка исключить из группы Администраторы в 1С:ЗУП Изменить роль пользователя или права группы

Как найти все группы, в которые входит пользователь?

Чтобы устранить ошибку, сначала нужно определить все группы, к которым принадлежит пользователь — как напрямую, так и косвенно. В стандартном интерфейсе этой информации нет, поэтому придётся использовать обходные пути.

Способ 1: Ручное исследование через «Пользователи»

Откройте список пользователей (Администрирование → Пользователи) и:

  1. Выберите нужного пользователя и откройте его карточку.
  2. Перейдите на вкладку Группы доступа (или Права, в зависимости от конфигурации).
  3. Просмотрите список групп, в которые он входит напрямую.
  4. Для каждой группы проверьте, в какие родительские группы она входит (через контекстное меню или кнопку Состав группы).

Этот метод работает, но занимает много времени, особенно если групп много. Для ускорения используйте поиск по названию группы (Ctrl+F).

Способ 2: Отчёт «Права пользователей» (для 1С:Управление торговлей, ERP, ЗУП)

В некоторых конфигурациях есть стандартный отчёт, который показывает полную картину прав. Например, в 1С:ERP:

  1. Перейдите в Администрирование → Отчёты по администрированию → Права пользователей.
  2. Выберите нужного пользователя и сформируйте отчёт.
  3. В результатах будет список всех групп, включая косвенные.

Если такого отчёта нет, можно использовать внешние обработки (см. следующий раздел).

💡

В конфигурациях на базе БСП (Библиотека стандартных подсистем) есть универсальный отчёт «Анализ прав доступа». Найдите его через поиск по командам (Ctrl+Shift+F) по фразе «права».

Автоматизированные инструменты для анализа групп

Ручный анализ занимает часы, особенно в крупных базах с десятками групп. Для ускорения процесса используйте:

  • 🛠 Обработка «Анализ прав пользователей» (доступна на Инфостарт или 1С:ИТС). Показывает полную иерархию групп для выбранного пользователя.
  • 📊 Отчёт «Дерево групп доступа» (входит в некоторые конфигурации, например, 1С:Документооборот). Визуализирует связи между группами.
  • 💻 Скрипт на встроенном языке (для опытных пользователей). Пример кода для вывода всех групп пользователя:
Процедура ВывестиГруппыПользователя(ИмяПользователя)

Пользователь = ПользователиИнформационнойБазы.НайтиПоИмени(ИмяПользователя);


Если Пользователь = Неопределено Тогда


Сообщить("Пользователь не найден!");


Возврат;


КонецЕсли;



Группы = Новый Массив;


ПолучитьВсеГруппыПользователя(Пользователь, Группы);



Для Каждого Группа Из Группы Цикл


Сообщить(Группа.Наименование);


КонецЦикла;


КонецПроцедуры



Процедура ПолучитьВсеГруппыПользователя(Пользователь, Группы)


Для Каждого Группа Из Пользователь.ГруппыДоступа Цикл


Если НЕ Группы.Найти(Группа) Тогда


Группы.Добавить(Группа);


ПолучитьВсеГруппыПользователя(Группа, Группы); // Рекурсивный обход


КонецЕсли;


КонецЦикла;


КонецПроцедуры

Скрипт рекурсивно обходит все группы, в которые входит пользователь, включая косвенные. Запустите его в Отладчике (Сервис → Отладка → Начать отладку).

Проверьте права на чтение списка пользователей|Создайте резервную копию базы|Установите обработку «Анализ прав» (если используете)|Подготовьте список пользователей для проверки|Запустите анализ в тестовом режиме-->

Как исключить пользователя из группы, если он включён косвенно?

Когда вы нашли все группы, связанные с пользователем, можно приступить к исключению. Варианты решений зависят от причины ошибки:

Решение 1: Исключить из «родительской» группы

Если пользователь косвенно включён через другую группу, достаточно убрать его из первичной группы. Например:

  1. Пользователь ПетровПП входит в Логисты, а та — в Склад.
  2. Вы хотите убрать его из Склад, но получаете ошибку.
  3. Решение: Исключите ПетровПП из Логисты. Автоматически он потеряет доступ и к Склад.

⚠️ Внимание: Перед исключением проверьте, не потеряет ли пользователь критичные права. Например, в 1С:ЗУП группа Кадровики может давать доступ к расчёту зарплаты. Удаление из неё заблокирует работу отдела.

Решение 2: Переназначить права через роли

Если пользователь должен оставаться в первичной группе, но не должен иметь права «родительской», перенастройте роли:

  1. Откройте группу, из которой нужно убрать пользователя (например, Продажи).
  2. Перейдите на вкладку Роли.
  3. Уберите галочки с ролей, которые не должны наследоваться.
  4. Сохраните изменения.

Это решение подходит, если проблема в избыточных правах, а не в самой структуре групп.

Решение 3: Использовать обработку для принудительного исключения

В крайних случаях (например, при ошибках в структуре групп) можно использовать программное исключение. Скрипт для принудительного удаления пользователя из группы:

Процедура ИсключитьПользователяИзГруппы(ИмяПользователя, ИмяГруппы)

Пользователь = ПользователиИнформационнойБазы.НайтиПоИмени(ИмяПользователя);


Группа = ГруппыДоступаПользователей.НайтиПоИмени(ИмяГруппы);



Если Пользователь = Неопределено Или Группа = Неопределено Тогда


Сообщить("Пользователь или группа не найдены!");


Возврат;


КонецЕсли;



// Принудительное исключение (обходим проверку косвенного включения)


Попытка


Пользователь.ГруппыДоступа.Удалить(Группа);


Пользователь.Записать;


Сообщить("Пользователь успешно исключён!");


Исключение


Сообщить("Ошибка:" + ОписаниеОшибки);


КонецПопытки;


КонецПроцедуры

⚠️ Внимание: Этот метод обходит стандартные проверки и может привести к потере доступа или ошибкам при авторизации. Используйте его только если другие способы не сработали, и обязательно протестируйте на копии базы.

💡

Перед принудительным исключением пользователя из группы проверьте, не используется ли эта группа в бизнес-процессах (например, для рассылки уведомлений или утверждения документов).

Типичные ошибки при работе с группами пользователей

При попытке устранить проблему администраторы часто допускают ошибки, которые усложняют ситуацию. Рассмотрим самые распространённые:

  • 🔄 Исключение из всех групп подряд. Если убрать пользователя из всех групп, он потеряет доступ к системе. Всегда оставляйте хотя бы одну группу с базовыми правами (например, Пользователи).
  • 🔒 Изменение прав системных групп. Группы вроде Администраторы или Все пользователи часто защищены от редактирования. Ихфикация может привести к сбоям.
  • 📁 Игнорирование вложенных групп. Администраторы удаляют пользователя из «видимой» группы, но забывают про косвенные связи. Всегда проверяйте полную иерархию.
  • 🔄 Копирование прав вместо переназначения. Вместо того чтобы правильно настроить роли, администраторы дублируют группы, что приводит к путанице.

Чтобы избежать ошибок, следуйте алгоритму:

  1. Создайте резервную копию базы.
  2. Проанализируйте все группы пользователя (включая косвенные).
  3. Определите минимально необходимые права для его работы.
  4. Внесите изменения и протестируйте доступ.

⚠️ Внимание: В конфигурациях с ролевым доступом (например, 1С:ERP) изменение групп может повлиять на работу бизнес-процессов (утверждение документов, задачи). Перед изменениями проверьте настройки в разделе Администрирование → Бизнес-процессы.

Профилактика проблем с косвенным включением

Чтобы избежать ошибок в будущем, следуйте рекомендациям по структурированию групп:

  • 📂 Используйте плоскую структуру групп. Избегайте глубокого вложения (больше 3 уровней). Например:
Все сотрудники


├── Финансовый отдел


│ ├── Бухгалтерия


│ └── Казначейство


└── Отдел продаж


├── Менеджеры


└── Логисты
  • 🔗 Не дублируйте права в нескольких группах. Если группа Менеджеры уже входит в Продажи, не добавляйте пользователей в Продажи напрямую.
  • 📝 Документируйте изменения прав. Ведите журнал (например, в 1С:Документооборот или Excel), где фиксируйте, какие группы связаны с бизнес-процессами.
  • 🔍 Регулярно аудируйте права. Раз в квартал запускайте отчёт «Анализ прав доступа» и удаляйте неиспользуемые группы.

Для автоматизации аудита используйте регламентные задания1С:Предприятие 8.3.18+):

  1. Создайте обработку, которая проверяет группы на наличие «сирот» (пользователей без активности).
  2. Настройте регламентное задание на ежемесячный запуск (Администрирование → Регламентные задания).
  3. Результаты отправляйте на почту администратору.
Пример скрипта для поиска неиспользуемых групп

Процедура НайтиНеиспользуемыеГруппы

Запрос = Новый Запрос;

Запрос.Текст =

"ВЫБРАТЬ

| ГруппыДоступаПользователей.Ссылка КАК Группа

|ИЗ

| РегистрСведений.ПоследняяАктивностьПользователей КАК Активность

|ЛЕВОЕ СОЕДИНЕНИЕ Справочник.ГруппыДоступаПользователей КАК ГруппыДоступаПользователей

|ПО Активность.Пользователь = ГруппыДоступаПользователей.Пользователь

|ГДЕ

| Активность.Пользователь ЕСТЬ NULL

| И НЕ ГруппыДоступаПользователей.ПометкаУдаления";

Результат = Запрос.Выполнить;

Возврат Результат.Выгрузить;

КонецПроцедуры

FAQ: Частые вопросы по работе с группами в 1С

Можно ли полностью отключить проверку косвенного включения?

Нет, это системное ограничение 1С:Предприятие. Проверка нужна, чтобы избежать потери доступа. Обойти её можно только программно (см. скрипт в разделе «Решение 3»), но это рискованно.

Почему после исключения из группы пользователь всё равно имеет доступ?

Скорее всего, права дублируются в другой группе или роли. Проверьте:

  • 🔹 Все группы пользователя (включая косвенные).
  • 🔹 Назначенные роли в Администрирование → Роли.
  • 🔹 Права на уровне профилей доступа (в некоторых конфигурациях).
Как перенести пользователя между группами без потери прав?

Следуйте алгоритму:

  1. Добавьте пользователя в новую группу.
  2. Проверьте, что все необходимые права назначены.
  3. Исключите его из старой группы.
  4. Протестируйте доступ.

Используйте отчёт «Сравнение прав» (если есть в конфигурации), чтобы убедиться, что ничего не потеряно.

Где в 1С хранится информация о группах пользователей?

Данные о группах и пользователях хранятся в:

  • 📁 Справочник Пользователи (метаданные).
  • 📁 Справочник ГруппыДоступаПользователей.
  • 📁 Регистр сведений ПраваПользователей (в некоторых конфигурациях).

Для прямого доступа к этим объектам используйте Конфигуратор (Файл → Открыть конфигурацию).

Можно ли восстановить права пользователя после ошибочного исключения?

Да, если:

  • 🔹 У вас есть резервная копия базы (восстановите её).
  • 🔹 Вы помните, в какие группы входил пользователь (добавьте его обратно).
  • 🔹 В конфигурации ведётся журнал изменений (проверьте Администрирование → Журналы → Журнал регистрации).

Если копии нет, восстановить права можно только вручную, анализируя роли и группы.