Разграничение прав в 1С:Предприятие — одна из самых критичных задач для администратора системы. От правильной настройки зависит не только безопасность коммерческих данных, но и эффективность работы сотрудников. Некорректно выданные права могут привести к утечкам информации, ошибкам в учёте или, наоборот, блокировке необходимых функций для пользователей. В этой статье разберём все этапы: от базовых принципов до тонких настроек ограничений на уровне записей, документов и реквизитов.

Особенность в том, что система предлагает гибкие инструменты для управления доступом — от стандартных ролей до создания собственных профилей с уникальными разрешениями. Однако эта гибкость часто становится ловушкой: администраторы либо перебарщивают с ограничениями (что тормозит работу), либо, наоборот, оставляют критичные данные без защиты. Мы покажем, как найти баланс, избежать типовых ошибок и автоматизировать рутинные операции по выдаче прав.

1. Основные понятия: роли, профили и уровни доступа

Прежде чем приступать к настройке, важно разобраться в терминологии . Здесь три ключевых понятия:

  • 🔑 Роль — набор прав на выполнение определённых действий (например, "Просмотр справочников" или "Редактирование документов"). Роли присваиваются профилям групп доступа или напрямую пользователям.
  • 👥 Профиль группы доступа — шаблон, который объединяет несколько ролей для типичных должностей (бухгалтер, менеджер по продажам, директор). Упрощает массовую выдачу прав.
  • 📊 Уровень доступа — глубина разрешений: от полного запрета до неограниченного редактирования. В 1С 8.3 уровни настраиваются отдельно для каждого объекта метаданных (документы, справочники, отчёты).

Например, роль "Продажи: Чтение и создание" позволяет менеджеру видеть список заказов и формировать новые, но не редактировать чужие документы. А профиль "Бухгалтер" может включать роли для работы с первичными документами, банковскими выписками и отчётами, но блокировать доступ к кадровым данным.

⚠️ Внимание: В конфигурациях на базе БП 3.0, УТ 11 или КА 2.4 названия стандартных ролей могут отличаться. Всегда сверяйтесь с документацией вашей версии — особенно если используете отраслевые решения (например, 1С:ERP или 1С:Управление холдингом).

Важно понимать, что права в наследоваться не могут. Если пользователь входит в две группы с противоречивыми разрешениями (например, одна роль разрешает редактирование, а другая — запрещает), система применяет наиболее строгое ограничение. Это частая причина проблем, когда "всё настроено правильно, но ничего не работает".

📊 Какую конфигурацию 1С вы администрируете?
Бухгалтерия 3.0
Управление торговлей 11
Зарплата и управление персоналом
ERP
Другая

2. Пошаговая инструкция: как выдать права пользователю

Рассмотрим универсальный алгоритм на примере 1С:Бухгалтерия 8.3 (редакция 3.0). Для других конфигураций шаги аналогичны, но пути в меню могут отличаться.

Шаг 1. Открыть список пользователей

Перейдите в раздел Администрирование → Пользователи. Здесь отображаются все зарегистрированные учётные записи. Если нужного пользователя нет, создайте его через кнопку Создать.

Шаг 2. Назначить профиль группы доступа

В карточке пользователя найдите поле Профиль группы доступа. Здесь можно выбрать один из стандартных профилей (например, "Полные права", "Бухгалтер", "Менеджер по продажам") или создать свой.

Если стандартных профилей недостаточно, перейдите в Администрирование → Настройки пользователей и прав → Профили групп доступа и настройте новый шаблон.

Шаг 3. Добавить индивидуальные роли (при необходимости)

Даже если пользователь привязан к профилю, ему можно назначить дополнительные роли или, наоборот, ограничить стандартные. Для этого в карточке пользователя откройте вкладку Права и:

  • 🔧 Нажмите Добавить роль и выберите из списка (например, "Редактирование справочника Номенклатура").
  • 🚫 Чтобы запретить действие, поставьте галочку в колонке Запретить напротив соответствующей роли.

- Пользователь привязан к правильному профилю группы доступа

- Дополнительные роли не конфликтуют со стандартными

- Запрещающие галочки стоят только там, где действительно нужно ограничить доступ

- Права проверены на тестовом пользователе (если есть возможность)-->

Шаг 4. Настроить права на уровне записей (RLS)

Если нужно ограничить доступ к конкретным документам или справочникам (например, менеджер должен видеть только свои сделки), используйте механизм RLS (Row-Level Security). Для этого:

  1. Перейдите в Администрирование → Настройки пользователей и прав → Настройка прав на уровне записей.
  2. Выберите объект (например, документ "Заказ клиента").
  3. Укажите условие ограничения (например, "Менеджер = ТекущийПользователь()").
⚠️ Внимание: Неправильно настроенный RLS может сделать данные недоступными даже для администраторов. Всегда тестируйте ограничения на копии базы перед применением в рабочей системе.

3. Типовые ошибки при настройке прав и как их избежать

Даже опытные администраторы сталкиваются с проблемами при разграничении доступа. Вот самые распространённые ошибки и способы их решения:

Ошибка Причина Решение
Пользователь не видит документы, хотя права выданы Конфликт ролей (одна разрешает, другая запрещает) или неверный RLS Проверьте вкладку Права на наличие запрещающих галочек. Отключите RLS для теста.
После обновления конфигурации права сбросились Стандартные роли были изменены в новой версии Сравните права до и после обновления с помощью отчёта "Сравнение прав пользователей".
Администратор не может редактировать настройки прав У учётной записи недостаточно прав на метаданные Войдите под пользователем с ролью "Администрирование" или "Полные права".
Пользователь видит чужие зарплатные данные Отсутствует RLS для справочника "Сотрудники" или документа "Начисление зарплаты" Настройте ограничение по подразделению или менеджеру в RLS.

Частая проблема — избыточные права. Например, менеджеру по продажам выдают роль "Полные права на документы", хотя ему нужны только заказы и счета. Это не только нарушает безопасность, но и усложняет поддержку: при аудите сложно понять, кто и зачем получил доступ к критичным данным.

💡

Перед массовой выдачей прав экспортируйте текущие настройки через отчёт "Права пользователей" (раздел Администрирование → Отчёты по администрированию). Это поможет откатиться в случае ошибки.

4. Расширенные настройки: права на реквизиты и отчёты

В некоторых случаях недостаточно ограничить доступ к документу в целом — нужно контролировать отдельные поля (реквизиты) или отчёты. Например:

  • 📄 Скрыть поле "Себестоимость" в справочнике "Номенклатура" для менеджеров.
  • 📊 Запретить просмотр отчёта "Валовая прибыль" для рядовых сотрудников.

Для этого:

  1. Откройте конфигуратор (Файл → Конфигуратор).
  2. Найдите нужный объект (например, справочник "Номенклатура") и откройте его свойства.
  3. Перейдите на вкладку Права и настройте доступ для ролей по каждому реквизиту отдельно.

Для отчётов путь другой: Администрирование → Печатные формы, отчёты и обработки → Настройка прав доступа к отчётам. Здесь можно гибко управлять видимостью отчётов в зависимости от ролей.

Как проверить, какие права есть у пользователя на конкретный реквизит?

Откройте отчёт "Права на объекты метаданных" (раздел Администрирование → Отчёты по администрированию). Укажите пользователя и объект — система покажет детализированные разрешения, включая реквизиты.

5. Автоматизация выдачи прав: группы пользователей и шаблоны

Если в компании десятки сотрудников, настраивать права для каждого вручную — неэффективно. предлагает инструменты для автоматизации:

  • 👥 Группы пользователей: объединяйте сотрудников по отделам (например, "Бухгалтерия", "Отдел продаж") и назначайте права всей группе разом. Путь: Администрирование → Пользователи → Группы пользователей.
  • 📑 Шаблоны профилей: создайте универсальные профили для типовых должностей (например, "Кассир", "Логист") и применяйте их при добавлении новых пользователей.
  • 🤖 Скрипты: для сложных правил (например, права зависят от должности в справочнике "Сотрудники") напишите обработку, которая будет автоматически обновлять доступ при изменении данных.

Пример скрипта для автоматической выдачи прав менеджерам по продажам:

Процедура ПриИзмененииДолжности(Сотрудник, СтараяДолжность, НоваяДолжность)

Если НоваяДолжность.Наименование = "Менеджер по продажам" Тогда


Пользователь = ПользователиИнформационнойБазы.НайтиПоНаименованию(Сотрудник.Пользователь);


Если Не Пользователь = Неопределено Тогда


Профиль = ПрофилиГруппДоступа.МенеджерПоПродажам;


Пользователь.ПрофильГруппыДоступа = Профиль;


Пользователь.Записать();


КонецЕсли;


КонецЕсли;


КонецПроцедуры

⚠️ Внимание: Автоматические скрипты выдачи прав могут конфликтовать с ручными настройками. Всегда документируйте логику работы таких обработок и тестируйте их на копии базы.

6. Аудит и контроль прав: как отслеживать изменения

В крупных компаниях права пользователей меняются часто: сотрудники уходят, приходят новые, переходят между отделами. Чтобы не потерять контроль, используйте встроенные инструменты аудита:

  • 🔍 Журнал регистрации: включает запись всех изменений прав. Путь: Администрирование → Поддержка и обслуживание → Журнал регистрации. Отфильтруйте события по типу "Изменение прав доступа".
  • 📊 Отчёт "Права пользователей": показывает текущие настройки для всех или выбранных пользователей. Полезен для регулярных проверок.
  • 🔄 Сравнение версий: если права изменялись массово (например, после обновления), сравните текущие настройки с предыдущей версией через Администрирование → Отчёты по администрированию → Сравнение прав пользователей.

Критическая ошибка многих администраторов — отсутствие резервных копий настроек прав. При сбое или некорректном обновлении восстановить предыдущие разрешения без бэкапа практически невозможно. Регулярно экспортируйте настройки через отчёт "Права пользователей" в файл .xlsx или .mxl.

💡

Регулярный аудит прав (хотя бы раз в квартал) помогает выявить избыточные разрешения, устаревшие учётные записи и потенциальные уязвимости в безопасности.

7. Особенности настройки прав в облачной и файловой версии 1С

Механизм разграничения доступа работает одинаково и в файловом, и в клиент-серверном вариантах , но есть нюансы:

Параметр Файловая версия Клиент-серверная (SQL) Облачная (1С:Fresh)
Скорость применения изменений прав Мгновенно Требует перезагрузки сеансов пользователей Применяется после синхронизации (до 5 минут)
RLS (права на уровне записей) Поддерживается, но может тормозить при больших объёмах данных Работает стабильно Ограниченная поддержка (зависит от тарифа)
Аудит изменений прав Только через журнал регистрации Полноценный аудит + возможности SQL-сервера Ограниченный функционал (логи хранятся 30 дней)

В 1С:Fresh (облачной версии) некоторые настройки прав могут быть заблокированы провайдером. Например, невозможно напрямую редактировать RLS для системных справочников. В таких случаях обращайтесь в поддержку с точным описанием задачи — часто требуемые настройки можно реализовать через дополнительные реквизиты или бизнес-процессы.

Частые вопросы по настройке прав в 1С

Как дать пользователю права только на просмотр, без редактирования?

Используйте роль с префиксом "Чтение" (например, "Документы: Чтение") или создайте собственный профиль группы доступа, где для всех объектов установлен уровень "Только просмотр". Убедитесь, что в настройках конкретного документа или справочника не стоят галочки "Редактирование" или "Добавление".

Можно ли ограничить доступ к старым документам (например, старше 1 года)?

Да, для этого настройте RLS с условием по дате. В настройках прав на уровне записей для документа укажите условие:

Дата >= НачалоГода(ТекущаяДата()) - 365

Это скроет документы старше года для пользователей с данной ролью. Аналогично можно ограничивать по другим периодам.

Пользователь видит все документы, хотя должен только свои. В чём проблема?

Скорее всего, неверно настроен RLS или конфликтуют роли. Проверьте:

  1. Есть ли у пользователя роль с полным доступом (например, "Администрирование"), которая перекрывает ограничения.
  2. Правильно ли указано условие в RLS (например, "Автор = ТекущийПользователь()").
  3. Применены ли изменения (в клиент-серверном варианте требуется перезагрузка сеанса).

Если проблема остаётся, временно отключите RLS и проверьте, исчезнет ли доступ к чужим документам. Это поможет локализовать причину.

Как массово переназначить права пользователям после реорганизации?

Используйте обработку "Групповое изменение прав пользователей" (доступна в разделе Администрирование → Поддержка и обслуживание). Алгоритм:

  1. Экспортируйте текущие права в файл (для резерва).
  2. В обработке укажите старый и новый профили групп доступа.
  3. Выберите пользователей (можно по группе или подразделению).
  4. Запустите переназначение и проверьте результат.

Для сложных сценариев (например, права зависят от нового структурного подразделения) напишите кастомную обработку на встроенном языке.

Можно ли дать доступ к 1С через веб-браузер с ограниченными правами?

Да, но с оговорками:

  • В клиент-серверной версии настройте публикацию на веб-сервере и укажите профиль группы доступа для веб-пользователей.
  • В облачной версии (1С:Fresh) права настраиваются так же, как и для десктопных пользователей, но некоторые функции могут быть ограничены тарифом.
  • Для файловой версии веб-доступ возможен только через 1С:Предприятие для Linux или дополнительные модули (например, 1С:Веб-расширение).

Обратите внимание: в веб-клиенте некоторые отчёты и обработки могут работать медленнее, чем в десктопной версии.