Работа с правами доступа в 1С:Предприятие — одна из ключевых задач администратора системы. Неправильно настроенные разрешения могут привести к утечкам данных, ошибкам в работе или, наоборот, избыточным ограничениям для сотрудников. Эта статья поможет разобраться, как грамотно добавить и настроить права в разных версиях платформы, избегая типичных ошибок.

Мы рассмотрим не только базовые операции через конфигуратор, но и нюансы работы с ролями, профилями групп доступа, а также тонкую настройку прав на уровне отдельных документов и справочников. Особое внимание уделим распространённым проблемам — например, когда пользователь не видит нужные разделы меню или не может сохранить документ.

Важно понимать, что система прав в гибкая, но требует внимательного подхода. Ошибка в настройках может заблокировать доступ к критическим функциям даже для администратора. Поэтому перед внесением изменений всегда создавайте резервную копию базы данных.

📊 Какую версию 1С вы используете?
8.3 (обычная)
8.3 (управляемое приложение)
7.7
Другая

1. Основные понятия: роли, пользователи и права

Прежде чем приступать к настройке, разберёмся с терминологией. В 1С:Предприятие права организованы через систему ролей — наборов разрешений, которые присваиваются пользователям. Одна роль может включать доступ к нескольким объектам конфигурации (справочникам, документам, отчётам), а один пользователь может иметь несколько ролей одновременно.

Ключевые элементы системы прав:

  • 🔑 Роль — шаблон разрешений (например, "Бухгалтер", "Кладовщик"). Создаётся в конфигураторе и может редактироваться.
  • 👤 Пользователь — учётная запись с логином и паролем, которой назначаются роли.
  • 📁 Объект конфигурации — справочник, документ, отчёт или обработка, к которым настраивается доступ.
  • 🔒 Права доступа — конкретные действия (чтение, добавление, изменение, удаление).

В управляемых формах (начиная с версии 8.2) появились профили групп доступа — более гибкий инструмент, позволяющий настраивать права не только на уровне ролей, но и на уровне отдельных записей. Например, можно разрешить менеджеру видеть только "своих" клиентов.

⚠️ Внимание: В 1С:Предприятие 7.7 система прав устроена иначе — там нет ролей в современном понимании. Если вы работаете с этой версией, используйте настройку прав через Конфигуратор → Администрирование → Пользователи и назначайте права напрямую.

2. Как добавить нового пользователя и назначить ему роль

Процесс добавления пользователя зависит от режима работы : файловый или клиент-серверный. В файловом варианте пользователи создаются локально, в клиент-серверном — на уровне сервера 1С:Предприятие. Рассмотрим оба случая.

Для файлового режима:

  1. Откройте конфигуратор базы данных.
  2. Перейдите в Администрирование → Пользователи.
  3. Нажмите "Добавить" и заполните поля:
    • 🆔 Имя — уникальный идентификатор (например, Ivanov_P).
    • 🔐 Полное имя — ФИО сотрудника.
    • 🔑 Аутентификация — выберите "1С:Предприятие" (если пароль хранится в базе) или "Windows" (если используется доменная авторизация).
  • На вкладке "Роли" отметьте нужные (например, "Полные права" для администратора или "Бухгалтер" для сотрудника бухгалтерии).

    • Для клиент-серверного режима:

    • 🖥️ Пользователи создаются в Консоли администрирования сервера 1С (1Cv8.exe ENTERPRISE /UC).
    • 🔄 После создания пользователя на сервере его нужно связать с базой данных через конфигуратор (аналогично файловому режиму).

    Если вы используете 1С:Предприятие 8.3 с управляемым приложением, интерфейс может отличаться. Например, в некоторых конфигурациях (например, 1С:ERP или 1С:Управление торговлей) пользователи добавляются через раздел "Администрирование" в самом приложении, а не в конфигураторе.

    ☑️ Проверка перед сохранением пользователя

    Выполнено: 0 / 4

    3. Создание и редактирование ролей

    Если стандартных ролей (например, "Полные права" или "Только просмотр") недостаточно, можно создать собственную. Это актуально, когда нужно ограничить доступ к конкретным справочникам или документам.

    Как создать новую роль:

    1. В конфигураторе откройте Объекты → Роли.
    2. Нажмите "Добавить" и укажите имя (например, МенеджерПоПродажам_Ограниченный).
    3. На вкладке "Права" выберите объекты конфигурации (справочники, документы) и установите галочки для нужных действий:
      • 📖 Чтение — просмотр данных.
      • Добавление — создание новых записей.
      • ✏️ Изменение — редактирование существующих.
      • 🗑️ Удаление — удаление записей.
      • 🔍 Просмотр — доступ к формам и отчётам.
  • Сохраните роль и назначьте её пользователям.

    • Пример тонкой настройки: если менеджеру нужно разрешить только просмотр цен в справочнике "Номенклатура", но не их изменение, снимите галочку с "Изменение" для этого объекта.

    Тип объекта Чтение Добавление Изменение Удаление
    Справочник "Контрагенты"
    Документ "Реализация товаров"
    Отчёт "Ведомость по товарам"

    Важно: В некоторых конфигурациях (например, 1С:Бухгалтерия 3.0) есть предопределённые роли с жёстко заданными правами. Их нельзя редактировать — только копировать и модифицировать.

    4. Настройка прав на уровне записей (RLS)

    Row-Level Security (RLS) — механизм, позволяющий ограничивать доступ не ко всему объекту (например, справочнику "Контрагенты"), а к отдельным записям. Это полезно, когда менеджер должен видеть только "своих" клиентов или документы своего отдела.

    Как настроить RLS:

    1. В конфигураторе откройте объект (например, справочник "Контрагенты").
    2. Перейдите на вкладку "Права" и нажмите "Добавить ограничение".
    3. Укажите условие (например, Ответственный = ТекущийПользователь()).
    4. Сохраните изменения и обновите базу.

      5. Пример: если в справочнике "Контрагенты" есть реквизит "Ответственный" (тип "СправочникСсылка.Пользователи"), можно настроить RLS так, чтобы каждый менеджер видел только тех контрагентов, где в поле "Ответственный" указан он сам.

      В управляемых формах (8.3) для RLS часто используют профили групп доступа. Они позволяют гибко настраивать видимость данных без изменения конфигурации. Например, в 1С:Управление торговлей 11 можно создать профиль "Менеджеры по регионам" и привязать его к ролям.

      ⚠️ Внимание: Неправильно настроенный RLS может полностью скрыть данные от пользователей, даже если у них есть роль с правами на объект. Всегда тестируйте изменения под учётной записью с ограниченными правами.
      Что делать, если RLS не работает?

      Проверьте, что условие ограничения написано корректно (например, Ответственный = ТекущийПользователь() возвращает не пустое значение). Также убедитесь, что роль пользователя включает право на чтение объекта — без него RLS не сработает, даже если условие верное.

      5. Типичные ошибки и их решение

      Даже опытные администраторы сталкиваются с проблемами при настройке прав. Вот наиболее частые ситуации и способы их исправления:

      • 🚫 Пользователь не видит раздел меню:

        Проверьте, что роль включает право "Просмотр" для соответствующей команды интерфейса. В управляемых формах права на меню настраиваются отдельно от прав на объекты.

      • 🔒 Нельзя сохранить документ:

        Убедитесь, что у пользователя есть права на изменение документа и всех связанных справочников (например, если в документе "Реализация" есть ссылка на "Контрагента", нужны права на изменение справочника "Контрагенты").

      • 👥 Роль не применяется:

        После изменения ролей или прав обязательно обновите информационную базу (в конфигураторе: Администрирование → Обновить информационную базу). Без этого изменения не вступят в силу.

      • 🔍 Не видно отчётов:

        Проверьте права на объект "Отчёт" и на конкретный отчёт (например, "Оборотно-сальдовая ведомость"). Иногда требуется дать права на исполнение обработки.

      Если проблема остаётся, используйте журнал регистрации (Администрирование → Журнал регистрации). Отфильтруйте записи по пользователю и ищите ошибки доступа (код события "256" — отказ в доступе).

      💡

      Чтобы быстро проверить права пользователя, войдите в систему под его учётной записью. Для этого в конфигураторе используйте команду Файл → Открыть → 1С:Предприятие и выберите нужного пользователя в окне авторизации.

      6. Оптимизация прав: советы администраторам

      Слишком большое количество ролей или избыточные права усложняют поддержку системы. Следуйте этим рекомендациям, чтобы избежать хаоса:

      • 📌 Группируйте роли по отделам:

        Вместо создания отдельной роли для каждого сотрудника используйте общие роли для должностей (например, "Бухгалтер", "Логист", "Администратор").

      • 🔄 Регулярно аудируйте права:

        Раз в квартал проверяйте, какие роли назначены пользователям. Удаляйте ненужные (например, если сотрудник уволился или поменял должность).

      • 🛡️ Ограничивайте "Полные права":

        Роль "Полные права" должна быть только у администраторов. Для остальных создавайте специализированные роли.

      • 📊 Используйте отчёты по правам:

        В некоторых конфигурациях (например, 1С:ERP) есть стандартные отчёты "Анализ прав пользователей". Они помогают увидеть, кто чем владеет.

      Если в вашей организации более 50 пользователей, рассмотрите возможность автоматизации управления правами через внешние обработки или скрипты. Например, можно написать обработку, которая будет массово назначать роли новым сотрудникам на основе их должности.

      💡

      Всегда тестируйте новые роли на тестовой базе перед применением на рабочей. Это позволит избежать блокировки доступа для критически важных пользователей.

      7. Права в облачных решениях (1С:Fresh, 1С:Линк)

      Если вы используете облачные версии (например, 1С:Fresh или 1С:Линк), настройка прав имеет особенности:

      • ☁️ Управление пользователями:

        Пользователи создаются в личном кабинете 1С:Линк (https://link.1c.ru), а права назначаются в самой базе (аналогично файловому режиму).

      • 🔐 Ограничения облачной версии:

        В 1С:Fresh нет доступа к конфигуратору, поэтому редактировать роли можно только через интерфейс приложения (раздел "Администрирование").

      • 📱 Двухфакторная аутентификация:

        В облаке часто требуется настройка 2FA (например, через SMS или приложение 1С:ОТП). Это добавляет безопасности, но может усложнить вход для пользователей.

    Для облачных решений актуальны те же принципы настройки прав, но интерфейс может отличаться. Например, в 1С:Управление торговлей для Kazakhstan (облачная версия) раздел "Пользователи" находится в меню "Настройки и администрирование".

    ⚠️ Внимание: В облачных версиях некоторые настройки (например, RLS на уровне записей) могут быть ограничены. Уточняйте возможности вашей конкретной конфигурации в документации или у партнёра 1С.

    FAQ: Частые вопросы по правам в 1С

    Как дать пользователю доступ только к одному документу?

    Используйте механизм RLS (ограничение на уровне записей). Создайте роль с правами на документ, а затем добавьте ограничение по реквизиту (например, "Номер документа = '000123'"). Альтернатива — назначить пользователю право "Чтение" на весь тип документа, но скрыть ненужные записи через профиль группы доступа (в управляемых формах).

    Почему пользователь видит меню, но не может открыть документ?

    Это типичная ситуация, когда есть право на "Просмотр" команды меню, но нет прав на чтение самого документа. Проверьте права роли на объект (например, документ "Поступление товаров") и убедитесь, что установлена галочка "Чтение". Также проверьте, нет ли RLS-ограничений, которые могут скрывать конкретные записи.

    Как запретить пользователю изменять проведенные документы?

    В большинстве конфигураций (например, 1С:Бухгалтерия 3.0) есть стандартный механизм — право "Редактирование проведенных документов". Снимите эту галочку в настройках роли. Если такого права нет, используйте RLS с условием Проведен = Ложь.

    Можно ли скопировать права одного пользователя другому?

    Да, но не напрямую. Вам нужно:

    1. Посмотреть, какие роли назначены первому пользователю.
    2. Назначить те же роли второму пользователю.

    В некоторых конфигурациях (например, 1С:ERP) есть обработки для массового копирования прав.

    Как убрать доступ к зарплатным данным для небухгалтеров?

    Создайте отдельную роль (например, "БухгалтерЗарплата") и назначьте её только сотрудникам бухгалтерии. Для остальных пользователей снимите галочки "Чтение" и "Просмотр" в ролях, связанных со справочниками "Сотрудники" (реквизит "Зарплатный проект") и документами "Начисление зарплаты". В 1С:Зарплата и Управление Персоналом есть предопределённая роль "Расчёт зарплаты" — используйте её.