Работа с 1С:Предприятие часто требует разделения обязанностей между бухгалтерами, администраторами и техническими специалистами. Последние отвечают за настройку системы, обновления, резервное копирование и устранение сбоев — задачи, требующие расширенных прав доступа. Однако стандартные роли в редко покрывают все нужды техподдержки, что вынуждает администраторов вручную настраивать права или создавать новые роли.

Эта статья поможет разобраться, как грамотно добавить функции технического специалиста в 1С, избежав типичных ошибок. Мы рассмотрим два основных подхода: настройку существующих ролей через конфигуратор и создание новой роли с нуля. Особое внимание уделим нюансам для разных версий платформы (8.3.20+), а также разберём, как ограничить доступ к чувствительным данным (например, зарплатным ведомостям) при сохранении технических возможностей.

Важно: процедура требует прав администратора и доступа к конфигуратору. Если вы работаете с облачной версией (например, 1С:Fresh), часть функций может быть ограничена — уточняйте возможности у вашего провайдера.

1. Подготовка: какие права нужны техническому специалисту?

Прежде чем настраивать роль, определитесь, какие именно функции должен выполнять специалист. Типичный набор прав включает:

  • 🔧 Администрирование пользователей: создание, блокировка и редактирование учётных записей (без доступа к личным данным сотрудников).
  • 🔄 Обновление конфигураций: установка патчей, обновление платформы и прикладных решений.
  • 🗄️ Резервное копирование: создание и восстановление бэкапов базы данных.
  • 🛠️ Диагностика и ремонт: доступ к журналам регистрации, тестированию и исправлению базы.
  • 🔒 Настройка прав доступа: редактирование ролей других пользователей (кроме администраторов).

При этом не рекомендуется предоставлять техническому специалисту:

  • 💰 Доступ к финансовым документам (платежки, счета, кассовые ордера).
  • 📊 Просмотр отчётности (баланс, оборотно-сальдовая ведомость).
  • 👥 Редактирование кадровых данных (личные дела, зарплаты).
📊 Какой версии 1С вы используете?
8.3 (обычная)
8.3 (управляемое приложение)
8.2 или старше
Облачная версия (1С:Fresh)
Не знаю

Если специалист должен работать с распределённой информационной базой (РИБ), дополнительно потребуются права на синхронизацию узлов. В случае использования 1С:EDT (Eclipse Development Tools) может понадобиться доступ к репозиториям конфигураций.

⚠️ Внимание: В версиях 1С:Предприятие 8.3.20+ изменилась модель разграничения доступа к метаданным. Теперь права на объекты конфигурации (справочники, документы) настраиваются отдельно от прав на данные. Убедитесь, что вы учитываете это при настройке роли.

2. Способ 1: Настройка существующей роли «Администратор»

Самый быстрый способ — модифицировать стандартную роль Администратор (или Полные права), убрав из неё лишние разрешения. Этот метод подходит, если в вашей базе мало пользователей и не требуется жёсткое разделение обязанностей.

Инструкция:

  1. Откройте конфигуратор в режиме Администратор.
  2. Перейдите в меню Администрирование → Пользователи.
  3. Выберите роль Администратор и нажмите Изменить.
  4. Вкладка Права → снимите галочки с раздела Данные для объектов, связанных с финансами и кадровой информацией.
  5. Сохраните изменения и обновите права пользователей (Администрирование → Обновить права).

Пример ограничений для технического специалиста:

Объект конфигурации Права на чтение Права на изменение
Журналы регистрации
Справочники (номенклатура, контрагенты)
Документы (платежные поручения)
Администрирование пользователей ✅ (кроме администраторов)
⚠️ Внимание: Если в вашей базе используются подсистемы (например, Бухгалтерия, Зарплата), проверьте права на уровне подсистем — они могут перекрывать настройки отдельных объектов.

Убраны права на финансовые документы|

Оставлены права на журналы регистрации|

Запрещено редактирование кадровых данных|

Разрешено администрирование пользователей (кроме админов)|

Обновлены права для всех пользователей-->

3. Способ 2: Создание новой роли с нуля

Если модификация стандартной роли не подходит (например, в базе много пользователей с разными правами), лучше создать новую роль специально для технических специалистов. Это более гибкий и безопасный вариант.

Пошаговая инструкция:

  1. В конфигураторе перейдите в Администрирование → Роли и нажмите Добавить.
  2. Задайте имя роли, например, Технический специалист.
  3. На вкладке Права вручную отметьте необходимые разрешения:
    • 🔧 АдминистрированиеПользователи (чтение и редактирование, кроме администраторов).
    • 🔄 КонфигураторОбновление конфигурации.
    • 🗄️ АдминистрированиеРезервное копирование.
    • 🛠️ Журналы регистрации (полный доступ).
  • На вкладке Права на данные запретите доступ к финансовым и кадровым объектам.
  • Сохраните роль и назначьте её пользователю через Администрирование → Пользователи.

    • Для удобства можно скопировать права из стандартной роли Администратор, а затем убрать лишнее. Используйте кнопку Копировать из... в окне редактирования роли.

    Как проверить корректность настроек роли?

    После назначения роли пользователю войдите под его учётной записью и попробуйте выполнить критичные действия:

    1. Создать резервную копию (должно работать).

    2. Открыть платежное поручение (должен быть отказано в доступе).

    3. Просмотреть журнал регистрации (должно работать).

    4. Изменить данные сотрудника в справочнике (должен быть отказано в доступе).

    Если хотя бы один пункт не выполняется, вернитесь в настройки роли и скорректируйте права.

    В управляемых приложениях (8.3+) настройка ролей осуществляется через Администрирование → Настройки пользователей и прав. Здесь можно использовать группы доступа, что упрощает управление правами для больших команд.

    4. Настройка прав на уровне конфигурации (для опытных)

    Если техническому специалисту требуется доступ к редактированию конфигурации (например, для доработки отчётов или исправления ошибок), необходимо настроить права на уровне метаданных. Это делается в режиме конфигуратора:

    1. Откройте конфигурацию в режиме редактирования (Конфигуратор → Открыть конфигурацию).
    2. Выберите объект (например, справочник Номенклатура) и в палитре свойств найдите раздел Права.
    3. Добавьте новую запись для роли Технический специалист и установите нужные разрешения (например, только чтение).
    4. Повторите для всех критичных объектов.

    Для ограничения доступа к модулям (например, чтобы специалист не мог изменять программный код) используйте настройку прав на Глобальные модули и Общие модули.

    ⚠️ Внимание: Изменение прав на уровне конфигурации может привести к ошибкам при обновлении базы. Всегда тестируйте изменения на копии рабочей базы перед применением на производстве.
    💡

    Если технический специалист должен работать с внешними обработками или отчётами, не забывайте настраивать права на объекты в ветке Общие → Внешние обработки в дереве конфигурации.

    5. Особенности для облачных версий (1С:Fresh, 1С:Линк)

    В облачных решениях (1С:Fresh, 1С:Линк) возможности настройки ролей ограничены провайдером. Например, в 1С:Fresh нельзя создавать новые роли — только назначать существующие (Администратор, Бухгалтер и т.д.).

    Что можно сделать:

    • 🔐 Использовать роль Администратор с минимальными правами (убрать доступ к данным через настройки провайдера).
    • 🔄 Настроить делегирование прав — временно предоставлять техническому специалисту права администратора для выполнения конкретных задач.
    • 📤 Экспортировать данные для резервного копирования через Администрирование → Выгрузка данных (если разрешено провайдером).

      • Для работы с 1С:Линк может потребоваться отдельная учётная запись с правами на управление инфраструктурой (настраивается в личном кабинете провайдера).

      💡

      В облачных версиях 1С большинство административных функций (обновление платформы, резервное копирование на уровне СУБД) выполняются автоматически провайдером. Уточняйте список доступных действий в документации вашего тарифа.

      6. Типичные ошибки и как их избежать

      При настройке прав для технических специалистов администраторы часто допускают следующие ошибки:

      1. Избыточные права на данные: например, разрешение на редактирование Документов.ПлатежноеПоручение. Это позволяет специалисту изменять финансовые операции, что недопустимо.
        Решение: всегда проверяйте права на уровне конкретных объектов, а не подсистем.
      2. Отсутствие ограничений на экспорт данных: роль может разрешать выгрузку всей базы через Администрирование → Выгрузка данных.
        Решение: запретите экспорт в форматах DT и XML для роли технического специалиста.
      3. Игнорирование прав на регламентные задания: специалист может отключить критичные задания (например, обмен с банком).
        Решение: ограничьте доступ к Администрирование → Регламентные задания.

      Ещё одна распространённая проблема — конфликт ролей. Если пользователю назначено несколько ролей, итоговые права определяются как объединение всех разрешений. Например, роль Технический специалист запрещает доступ к зарплатным документам, но роль Кадровик его разрешает. В результате специалист получит доступ к зарплатам.

      Чтобы избежать этого, используйте исключающие права:

      1. Создайте отдельную роль Запрет на зарплату с запретом на все кадровые объекты.
      2. Назначьте её пользователю вместе с ролью Технический специалист.

      7. Автоматизация: скрипты для назначения прав

      Если в вашей организации много технических специалистов, ручное назначение прав может занять много времени. В этом случае поможет автоматизация через встроенный язык .

      Пример скрипта для массового назначения роли Технический специалист пользователям из группы IT_Специалисты:

      Процедура НазначитьРольТехСпециалиста()

      ГруппаПользователей = ПользователиИнформационнойБазы.НайтиПоИмени("IT_Специалисты");
      

      Роль = Роли.НайтиПоИмени("Технический специалист");
      


      Для Каждого Пользователь Из ГруппаПользователей.Пользователи Цикл
      

      Пользователь.Роли.Добавить(Роль);
      

      Пользователь.Записать();
      

      КонецЦикла;
      


      ОбновитьПраваПользователей();
      

      КонецПроцедуры

      Для выполнения скрипта:

      1. Откройте конфигуратор в режиме 1С:Предприятие.
      2. Перейдите в Файл → Новый → Внешняя обработка.
      3. Вставьте код в модуль обработки и выполните её.

    Аналогичным образом можно написать скрипт для аудита прав — проверки, какие пользователи имеют доступ к критичным объектам. Пример:

    Процедура ПроверитьПраваНаЗарплату()

    ЗапрещенныеПользователи = Новый СписокЗначений;
    

    РольЗарплата = Роли.НайтиПоИмени("Зарплата");
    


    Для Каждого Пользователь Из ПользователиИнформационнойБазы Цикл
    

    Если Пользователь.Роли.Найти(РольЗарплата) <> Неопределено Тогда
    

    ЗапрещенныеПользователи.Добавить(Пользователь.Имя);
    

    КонецЕсли;
    

    КонецЦикла;
    


    Сообщить("Пользователи с доступом к зарплате: " + СокрЛП(ЗапрещенныеПользователи.ПредставлениеСписка()));
    

    КонецПроцедуры

    ⚠️ Внимание: Скрипты для управления правами должны выполняться пользователем с ролью Администратор. Не сохраняйте обработки с такими скриптами в общей базе — это угроза безопасности.

    8. Контроль и аудит прав технических специалистов

    Настройка прав — это только половина задачи. Не менее важно регулярно проверять, какие действия выполняют технические специалисты, и корректировать их доступ при изменении обязанностей.

    Инструменты для аудита:

    • 📜 Журнал регистрации: фильтруйте записи по пользователям с ролью Технический специалист, обращая внимание на действия с данными (изменение, удаление).
    • 🔍 Отчёт «Права пользователей»: в стандартных отчётах есть шаблон для анализа прав (Администрирование → Отчёты → Права пользователей).
    • 📊 Внешние утилиты: например, 1С:Аудит или Infostart Event Log для глубокого анализа активности.

      • Рекомендуемая периодичность проверок:

      Тип проверки Периодичность Что проверять
      Аудит журналов регистрации Еженедельно Несанкционированные изменения данных, попытки доступа к запрещённым объектам
      Проверка актуальности ролей Ежемесячно Соответствие прав текущим обязанностям специалистов
      Тестирование резервного копирования Ежеквартально Успешность создания и восстановления бэкапов

      Если в вашей организации действует политика информационной безопасности, включите в неё пункт о регулярном пересмотре прав технических специалистов. Например, можно ввести правило: «При уходе сотрудника IT-отдела его учётная запись блокируется, а права пересматриваются для всех пользователей с ролью Технический специалист».

      💡

      Регулярный аудит прав — не бюрократия, а способ предотвратить утечки данных и ошибки в работе системы. Даже опытные администраторы иногда забывают отозвать права после временных задач.

      FAQ: Частые вопросы по настройке прав технических специалистов

      Можно ли дать техническому специалисту права на редактирование конфигурации, но запретить изменять программный код?

      Да, для этого в настройках роли на вкладке Права разрешите изменение объектов конфигурации (справочников, документов), но запретите доступ к Модулям и Общим модулям. В управляемых формах также ограничьте права на Клиентские процедуры и Серверные функции.

      Как запретить техническому специалисту просматривать зарплатные ведомости, но разрешить администрирование пользователей?

      Создайте новую роль, в которой:

      1. На вкладке Права разрешите Администрирование → Пользователи.
      2. На вкладке Права на данные запретите доступ к объектам ЗарплатнаяВедомость, НачислениеЗарплаты и связанным справочникам.
      3. Используйте исключающие права: создайте отдельную роль с запретом на кадровые данные и назначьте её вместе с основной ролью.
      Что делать, если после обновления 1С пропали права у технического специалиста?

      Это типичная проблема при обновлении конфигурации, особенно если роль была создана вручную. Порядок действий:

      1. Проверьте, не сбросились ли настройки роли в Администрирование → Роли.
      2. Обновите права пользователей (Администрирование → Обновить права).
      3. Если роль пропала, восстановите её из резервной копии конфигурации (файл .cf).
      4. Для будущих обновлений используйте расширения конфигурации — они сохраняют настройки ролей.
      Как ограничить технического специалиста по времени (например, только в рабочие часы)?

      В стандартной нет встроенного механизма ограничения по времени, но можно использовать обходные пути:

      • 🕒 Через ОС: настройте расписание доступа к серверу на уровне Windows (например, через Локальную политику безопасности).
      • 🔑 Через прокси-сервер: если работает через веб-клиент, ограничьте доступ по IP или времени на прокси.
      • 📅 Через скрипт: напишите обработку, которая блокирует пользователя вне рабочего времени (требует доработки конфигурации).

      Наиболее надёжный способ — комбинация ограничений на уровне ОС и .

      Можно ли дать техническому специалисту права на резервное копирование, но запретить восстановление?

      В стандартной права на резервное копирование и восстановление настраиваются отдельно:

      • 🗄️ Для создания бэкапов достаточно права на Администрирование → Резервное копирование.
      • 🔙 Для восстановления требуется право на Администрирование → Восстановление данных.

      Запретите вторую опцию в настройках роли, и специалист сможет только создавать резервные копии.