Настройка доступа в 1С:Предприятие для новых сотрудников — рутинная, но критически важная задача. Ошибки на этом этапе могут привести к утечкам данных, нарушению бизнес-процессов или даже блокировке работы всей системы. Согласно статистике , 38% инцидентов безопасности в компаниях связаны с неправильно настроенными правами пользователей. Эта статья поможет избежать типичных ошибок и организовать доступ так, чтобы сотрудники видели только ту информацию, которая необходима для их работы.

Мы разберём все этапы: от создания учётной записи до тонкой настройки ролей, включая нюансы для разных версий платформы (1С:8.3, 1С:8.2) и конфигураций (Бухгалтерия 3.0, Управление торговлей 11, Зарплата и Управление Персоналом 3.1). Особое внимание уделим безопасности — как ограничить доступ к конфиденциальным данным (зарплаты, кадровые документы) и предотвратить несанкционированные действия.

Если вы администрируете в облаке (1С:Fresh, 1С:ГISPRU) или на локальном сервере, инструкции ниже подойдут для обоих случаев — с учётом специфики каждого варианта. Для удобства мы добавили чек-листы, таблицы соответствия ролей и разобрали частые ошибки с кодом 21003 ("Отказано в доступе").

1. Подготовка: какие данные нужны перед настройкой доступа

Прежде чем создавать пользователя в , соберите полный пакет информации. Это сэкономит время и поможет избежать дозапросов к IT-отделу или бухгалтерии. Вот что потребуется:

  • 📝 ФИО сотрудника и его должность (для присвоения корректной роли).
  • 📧 Корпоративный email (если используется аутентификация через Active Directory или 1С:ID).
  • 🔑 Уровень доступа: какие разделы программы нужны (например, только "Заказы клиентов" или полный доступ к "Складу").
  • 📅 Срок действия доступа (для временных сотрудников или стажёров).
  • 💻 Тип подключения: локальный компьютер, терминал, веб-клиент или мобильное приложение.

Если в компании действует политика информационной безопасности, уточните, не требуется ли согласование доступа с отделом безопасности или директором. Например, в 1С:ERP доступ к модулю "Бюджетирование" часто ограничивают на уровне топ-менеджмента.

⚠️ Внимание: Если сотрудник работает с персональными данными (паспортные данные, СНИЛС, медицинские справки), его доступ должен соответствовать требованиям ФЗ-152 ("О персональных данных"). В 1С:ЗУП для этого предусмотрена отдельная роль "Работа с персональными данными".

Для удобства используйте шаблон запроса на доступ (можно адаптировать под свою компанию):

Шаблон запроса на доступ в 1С

ФИО сотрудника: ________________

Должность: ________________

Отдел: ________________

Необходимые модули 1С:

☐ Бухгалтерия (указать разделы: ________________)

☐ Торговля (указать разделы: ________________)

☐ Зарплата (указать разделы: ________________)

☐ Прочие: ________________

Срок доступа: ☐ Постоянный ☐ Временный до ____/____/____

Тип аутентификации: ☐ Локальный ☐ Доменный ☐ 1С:ID

Дополнительные комментарии: ________________

2. Создание пользователя в 1С: пошаговая инструкция

Процесс создания пользователя зависит от режима аутентификации, который настроен в вашей базе. Рассмотрим два самых распространённых варианта: внутреннюю аутентификацию (логин/пароль хранятся в самой ) и доменную (интеграция с Active Directory).

2.1. Внутренняя аутентификация (для небольших компаний)

Если ваша компания не использует AD, следуйте этим шагам:

  1. Откройте 1С:Предприятие в режиме "Конфигуратор" (для этого у вас должны быть права администратора).
  2. Перейдите в меню Администрирование → Пользователи.
  3. Нажмите "Создать" и заполните поля:
    • 👤 Имя — ФИО сотрудника (например, "Иванов И.И. (Менеджер)").
    • 🔐 Полное имя — логин для входа (обычно совпадает с email или сокращённым ФИО, например, "ivanov_ii").
    • 🔑 Пароль — задайте временный пароль (минимальная длина — 8 символов, с заглавными буквами и цифрами).
    • 📌 Аутентификация — выберите "Аутентификация 1С:Предприятия".
  • Сохраните пользователя и назначьте ему роли (об этом подробнее в следующем разделе).

    • После создания пользователя обязательно проверьте, что флаг "Запретить изменение пароля" снят — это позволит сотруднику сменить временный пароль при первом входе.

    2.2. Доменная аутентификация (для корпоративных сетей)

    Если ваша компания использует Active Directory, процесс упрощается:

    1. В Конфигураторе перейдите в Администрирование → Пользователи.
    2. Нажмите "Создать" и выберите тип аутентификации "Аутентификация Windows".
    3. В поле Имя укажите доменное имя пользователя в формате ДОМЕН\имя_пользователя (например, COMPANY\ivanov_ii).
    4. Назначьте роли и сохраните настройки.

      5. При доменной аутентификации пароль управляется через AD, поэтому менять его нужно в настройках Windows (нажмите Ctrl+Alt+Del → Изменить пароль).

      📊 Какой тип аутентификации используется в вашей компании?
      Внутренняя (логин/пароль в 1С)
      Доменная (Active Directory)
      1С:ID (облако)
      Другой вариант

      3. Назначение ролей: какие права давать сотруднику

      Роли в определяют, что именно может делать пользователь в программе. Ошибка в назначении ролей — самая частая причина утечек данных. Например, если бухгалтеру по зарплате дать роль "Полные права", он получит доступ к коммерческим тайнам компании.

      Вот базовые принципы назначения ролей:

      • 🔧 Минимальные права: давайте только те роли, которые необходимы для работы. Например, менеджеру по продажам не нужна роль "Редактирование справочников номенклатуры".
      • 📊 Разделение обязанностей: один пользователь не должен иметь права на создание, редактирование и утверждение документов (например, заказ → счёт → оплата).
      • 🔍 Проверка конфликтов: в есть встроенный механизм проверки конфликтов ролей (Администрирование → Проверка конфигурации).

    Ниже — таблица типовых ролей для популярных конфигураций:

    Должность Конфигурация 1С:Бухгалтерия 3.0 Конфигурация 1С:Управление торговлей 11 Конфигурация 1С:ЗУП 3.1
    Бухгалтер Бухгалтер, Просмотр отчётов Финансист, Просмотр финансовых отчётов Расчётчик зарплаты
    Менеджер по продажам Менеджер по продажам, Просмотр цен
    Кладовщик Материально-ответственное лицо Кладовщик, Приёмка и отгрузка товаров
    Кадровик Кадровик, Ведение кадрового учёта

    Для назначения ролей:

    1. Откройте карточку пользователя в Конфигураторе.
    2. Перейдите на вкладку "Роли".
    3. Отметьте галочками нужные роли. Если требуемой роли нет, её можно создать в Конфигураторе → Роли.
    4. Сохраните изменения.
    ⚠️ Внимание: В 1С:ERP и 1С:КА 2.4 есть роль "Администратор", которая даёт неограниченный доступ. Назначайте её только техническим специалистам и обязательно ведите журнал выдачи (Администрирование → Журнал регистрации).

    Убедиться, что пользователь не имеет роль "Полные права"

    Проверить отсутствие конфликтов ролей в настройках конфигурации

    Согласовать доступ с руководителем отдела сотрудника

    Задокументировать выданные права в журнале учёта

    -->

    4. Ограничение доступа к данным: как скрыть конфиденциальную информацию

    Даже если пользователь имеет нужную роль, в можно дополнительно ограничить доступ к конкретным документам, справочникам или регистрам. Например, чтобы менеджер видел только заказы своего отдела или бухгалтер — только данные по своему филиалу.

    Для этого используются механизмы RLS (Row-Level Security):

    • 🔒 Настройка прав на уровне записей (например, доступ только к документам со статусом "Утверждён").
    • 📂 Ограничение по организационным единицам (филиалы, отделы).
    • 👥 Персональные ограничения (например, руководитель видит данные только своего подразделения).

    Пример настройки RLS в 1С:УТ 11:

    1. Откройте Конфигуратор → Объекты конфигурации → Документы → Заказ клиента.
    2. Перейдите на вкладку "Права".
    3. Нажмите "Настройка прав на уровне записей" и добавьте правило, например: 
      Отдел = ТекущийПользователь.Подразделение
    4. Сохраните конфигурацию и обновите базу.

    Для проверки ограничений используйте тестирование от имени пользователя:

    1. В Конфигураторе выберите Сервис → Тестирование и исправление → Тестирование прав доступа.
    2. Укажите пользователя и проверьте, какие данные он видит.
    💡

    Если в вашей конфигурации нет встроенных механизмов RLS, их можно добавить через дополнительные отборы в запросах или с помощью расширений. Обратитесь к партнёру для разработки кастомизированного решения.

    5. Настройка доступа через веб-клиент и мобильное приложение

    Если сотрудники работают удалённо, им может потребоваться доступ к через веб-клиент или мобильное приложение (1С:Мобильная платформа). Настройка в этом случае имеет свои нюансы.

    5.1. Доступ через веб-клиент

    Для подключения через браузер:

    1. Убедитесь, что на сервере установлен и настроен веб-сервер Apache или IIS с модулем 1С:Предприятия.
    2. В Конфигураторе проверьте, что пользователь имеет право "Доступ через веб-клиент" (вкладка "Прочие" в настройках пользователя).
    3. Откройте в браузере адрес вида http://[адрес_сервера]/[имя_базы] и авторизуйтесь.

    Частые ошибки при настройке веб-доступа:

    • 🚫 Ошибка 403 Forbidden — проверьте права на папку с базой на сервере.
    • 🚫 Ошибка подключения к серверу 1С — убедитесь, что служба 1С:Предприятия запущена.
    • 🚫 Не отображаются отчёты — проверьте, что в ролях пользователя есть право "Просмотр отчётов через веб-клиент".

    5.2. Доступ через мобильное приложение

    Для работы с 1С:Мобильной платформой:

    1. Установите приложение 1С:Предприятие из App Store или Google Play.
    2. В Конфигураторе включите поддержку мобильного доступа (Администрирование → Публикация на веб-сервере → Мобильное приложение).
    3. Настройте обмен данными через 1С:Предприятие 8. Мобильная платформа (требуется лицензия).
    4. В мобильном приложении укажите адрес сервера и авторизуйтесь.

    Обратите внимание: не все конфигурации поддерживают мобильный доступ "из коробки". Например, в 1С:Бухгалтерии 3.0 для этого требуется доработка.

    💡

    Для удалённого доступа обязательно настройте VPN или защищённое соединение (HTTPS). Передача данных по незащищённым каналам может привести к перехвату логина и пароля.

    6. Типичные ошибки и их решение

    Даже опытные администраторы сталкиваются с проблемами при настройке доступа. Рассмотрим самые распространённые ошибки и способы их устранения.

    Ошибка Код ошибки Причина Решение
    Отказано в доступе 21003 Не хватает прав на объект Проверьте назначенные роли и RLS-ограничения
    Неверный логин или пароль 21001 Опечатка в логине/пароле или заблокирован пользователь Сбросьте пароль в Конфигураторе или разблокируйте учётную запись
    Не удалось подключиться к серверу 1С 21005 Служба 1С не запущена или проблемы с сетью Перезапустите службу 1С:Предприятия на сервере
    Документ не найден или недоступен 21007 RLS-ограничения или документ удалён Проверьте настройки RLS или восстановите документ из архива

    Если пользователь видит пустой список документов или справочников, скорее всего, проблема в отборе данных. Проверьте:

    • Настроены ли дополнительные отборы в ролях.
    • Не установлены ли глобальные фильтры в настройках программы.
    • Соответствует ли дата запрета редактирования текущей дате (в некоторых конфигурациях старые документы блокируются для изменений).
    ⚠️ Внимание: Если после изменения ролей права не применяются, обновите кэш на клиентском компьютере. Для этого удалите папку %APPDATA%\1C\1cv8 или используйте команду 1CV8.EXE /ClearCache.

    7. Контроль и аудит прав доступа

    Настройка доступа — это только половина задачи. Не менее важно регулярно проверять, кто и какие права имеет в системе. Это помогает вовремя выявлять избыточные права или неактивных пользователей.

    Вот что нужно делать:

    • 📅 Ежемесячный аудит: проверяйте список пользователей и удаляйте учётные записи уволенных сотрудников.
    • 🔍 Журнал регистрации: анализируйте действия пользователей (Администрирование → Журнал регистрации).
    • 📊 Отчёты по правам: в 1С:ИТС есть готовые отчёты для анализа распределения ролей.

    Для автоматизации аудита можно использовать:

    • 1С:Аудит прав доступа — специализированное решение для мониторинга.
    • Скрипты на встроенном языке — для генерации отчётов по пользователям с избыточными правами.
    • Сторонние утилиты (например, 1C:Security Audit).

    Пример скрипта для поиска пользователей с ролью "Полные права":

    Запрос = Новый Запрос;

    Запрос.Текст =
    

    "ВЫБРАТЬ
    

    |   Пользователи.Имя КАК Пользователь,
    

    |   Роли.Имя КАК Роль
    

    |ИЗ
    

    |   Справочник.Пользователи КАК Пользователи
    

    |       ЛЕВОЕ СОЕДИНЕНИЕ РегистрСведений.ПраваПользователей КАК Права
    

    |       ПО Пользователи.Ссылка = Права.Пользователь
    

    |       ЛЕВОЕ СОЕДИНЕНИЕ Справочник.Роли КАК Роли
    

    |       ПО Права.Роль = Роли.Ссылка
    

    |ГДЕ
    

    |   Роли.Имя = ""Полные права""";
    


    Результат = Запрос.Выполнить();
    

    Выборка = Результат.Выбрать();
    

    Пока Выборка.Следующий() Цикл
    

    Сообщить(Выборка.Пользователь + " - " + Выборка.Роль);
    

    КонецЦикла;

    Если в вашей компании более 50 пользователей , рекомендуем настроить автоматические оповещения о подозрительных действиях (например, массовое изменение документов или доступ в нерабочее время).

    8. Частые вопросы (FAQ)

    Как сбросить пароль пользователя, если он его забыл?

    Если пользователь забыл пароль, администратор может сбросить его через Конфигуратор:

    1. Откройте Администрирование → Пользователи.
    2. Выберите пользователя и нажмите "Изменить".
    3. В поле Пароль введите новый пароль и сохраните.
    4. Сообщите новый пароль сотруднику (рекомендуем использовать временный пароль и попросить его сменить при первом входе).

    Если пароль заблокирован после нескольких неудачных попыток, разблокируйте учётную запись на вкладке "Прочие".

    Можно ли дать доступ к 1С без установки программы на компьютер?

    Да, есть несколько способов:

    1. Веб-клиент: доступ через браузер (подходит для 1С:Бухгалтерии, 1С:УТ, 1С:ERP).
    2. Терминальный доступ: подключение через RDP к серверу с установленной .
    3. Мобильное приложение: для iOS/Android (требуется настройка обмена данными).
    4. Облачная версия: 1С:Fresh или аренда через партнёров .

    Для веб-доступа потребуется опубликовать базу на веб-сервере и настроить права пользователя на доступ через веб-клиент.

    Как ограничить доступ к зарплатным данным в 1С:ЗУП?

    В 1С:Зарплата и Управление Персоналом 3.1 для ограничения доступа к зарплатным данным:

    1. Создайте новую роль на основе "Расчётчик зарплаты", но с ограничением по подразделениям.
    2. Настройте RLS для документов "Начисление зарплаты" и "Ведомость в банк": 
      Подразделение = ТекущийПользователь.Подразделение
    3. Убедитесь, что у пользователя нет ролей "Просмотр зарплатных отчётов" или "Администрирование".

    Для дополнительной безопасности настройте шифрование зарплатных данных в параметрах программы.

    Что делать, если сотрудник уволился, а его доступ не отключили?

    Если учётная запись уволенного сотрудника осталась активной:

    1. Немедленно заблокируйте пользователя в Конфигураторе (снимите галочку "Активен").
    2. Проверьте журнал регистрации на предмет подозрительных действий за последние 30 дней.
    3. Если сотрудник имел доступ к критическим данным (например, реквизиты банковских счетов), смените пароли от связанных систем.
    4. Создайте архивную копию базы на момент увольнения (на случай аудита).

    Рекомендуем настроить автоматическое отключение пользователей через 1С:Документооборот или кадровика.

    Как дать доступ внешнему аудитору без риска для безопасности?

    Для предоставления доступа аудитору:

    1. Создайте временного пользователя с ограниченным сроком действия (например, на 1 месяц).
    2. Назначьте роль "Просмотр отчётности" или "Аудитор" (если есть в конфигурации).
    3. Ограничьте доступ только нужными периодами (например, данные за 2023 год).
    4. Настройте логирование всех действий аудитора в журнале регистрации.
    5. После завершения аудита удалите пользователя и смените пароли администраторов.

    Если аудитор работает удалённо, предоставьте доступ через защищённый VPN или терминальный сервер с двухфакторной аутентификацией.