Грамотная организация прав доступа в конфигурации 1С:Управление нашей фирмой (УНФ) является фундаментом информационной безопасности компании. Неправильно настроенные права могут привести к утечке коммерческой тайны, ошибкам в учете из-за случайных действий сотрудников или, наоборот, к блокировке работы персонала, который не может выполнить свои обязанности. Система ролевой модели в УНФ достаточно гибкая, но требует внимательного подхода при первичной настройке.

В отличие от простых справочников, механизм прав здесь построен на связке «Пользователь — Группа доступа — Профиль групп доступа». Понимание этой иерархии критически важно для администратора системы. Вы не назначаете права конкретному человеку напрямую, вы даете ему роль, которая уже содержит набор разрешений. Это позволяет масштабировать настройки при росте штата и быстро адаптировать систему под новые бизнес-процессы без переделки всей структуры безопасности.

В данной статье мы подробно разберем архитектуру безопасности УНФ, рассмотрим создание пользовательских профилей и покажем, как эффективно использовать механизм исключений для точечной настройки доступа. Особое внимание уделим настройке прав наVISIBLEмость данных и работе с конфиденциальной информацией, такой как зарплата или себестоимость товаров.

Архитектура системы безопасности в УНФ

Система разграничения прав в 1С УНФ базируется на трехуровневой модели. На верхнем уровне находятся сами пользователи информационной базы. Они являются учетными записями, под которыми сотрудники входят в систему. Однако сами по себе пользователи не несут в себе никаких прав, кроме базовой возможности авторизации.

Второй уровень — это группы доступа. Один пользователь может входить сразу в несколько групп. Например, менеджер по продажам может состоять в группе «Менеджеры», группе «Пользователи CRM» и группе «Доступ к складу №2». Это позволяет комбинировать различные сценарии работы для одного специалиста без создания дублирующих профилей. Суммирование прав происходит автоматически при входе в систему.

Третий и самый важный уровень — профили групп доступа. Именно здесь хранится конкретный набор разрешений: какие документы можно создавать, какие отчеты видеть, какие справочники редактировать. Профиль — это шаблон прав, который можно применять к неограниченному количеству групп. Изменение в профиле мгновенно применяется ко всем пользователям, входящим в группы, использующие этот профиль.

⚠️ Внимание: Изменение прав в профиле группы доступа применяется ко всем пользователям немедленно после их переподключения к базе. Не вносите изменения в боевой профиль «Полные права» или стандартные профили без предварительного тестирования на копии базы.

Для доступа к настройкам необходимо обладать ролью Администратор системы. Обычные пользователи не видят раздела администрирования. Перейти к управлению правами можно через меню НСИ и Администрирование → Настройки пользователей и прав → Настройка пользователей и прав. Здесь открывается интерфейс, где визуально отображаются все три уровня иерархии.

Создание и настройка пользовательских профилей

Начинать настройку всегда следует с анализа бизнес-процессов. Вам нужно четко понимать, какие функции выполняет каждая должность в компании. В УНФ уже предустановлен ряд стандартных профилей, таких как «Менеджер по продажам», «Бухгалтер», «Кладовщик». Однако в 90% случаев их необходимо дорабатывать или создавать новые с нуля под специфику вашего бизнеса.

Создание нового профиля начинается с нажатия кнопки Создать в списке профилей групп доступа. Вам потребуется задать уникальное имя, например, «Старший менеджер с правом скидки». Внутри профиля права сгруппированы по объектам метаданных: справочники, документы, отчеты, обработки. Для каждого объекта можно установить один из четырех уровней доступа:

  • 🚫 Нет доступа — объект полностью скрыт от пользователя, он даже не узнает о его существовании.
  • 👁️ Только просмотр — пользователь может открывать документы и справочники, но не может их создавать или изменять.
  • ✏️ Изменение — разрешено создание новых записей и редактирование существующих, но удаление запрещено.
  • 🗑️ Удаление — полный контроль над объектом, включая возможность его удаления из базы данных.

Особую сложность представляет настройка прав на проведение документов. В УНФ важно разграничивать право на создание документа в черновике и право на его проведение, которое влияет на учетные данные. Часто бывает полезно дать менеджеру право создавать Заказы клиентов, но запретить их проведение, оставив это право за руководителем отдела.

💡

Используйте префиксы в названиях профилей, например, "Z_Менеджер", чтобы ваши пользовательские профили отображались в конце общего списка, не мешая работе со стандартными.

При настройке прав на отчеты помните, что доступ к отчету не гарантирует доступ к данным, которые в нем отображаются. Если у пользователя нет прав на чтение документа «Реализация товаров», то в отчете «Продажи» эти строки просто не отобразятся, даже если сам отчет ему доступен. Это механизм защиты данных на уровне записей.

Использование исключений для точечной настройки

Механизм исключений — это мощнейший инструмент администратора 1С УНФ, позволяющий сужать права внутри профиля. Логика работы проста: профиль задает общие широкие права, а исключения вырезают из них конкретные запрещенные области. Это особенно удобно, когда 95% сотрудников отдела имеют одинаковые права, но у нескольких из них есть ограничения.

Представим ситуацию: у вас есть профиль «Менеджер», который позволяет работать со всеми контрагентами. Однако вы хотите запретить двум новичкам работать с VIP-клиентами. Вам не нужно создавать новый профиль «Менеджер без VIP». Достаточно в существующем профиле добавить исключение для справочника «Контрагенты» с отбором по группе «VIP».

Настройка исключений производится в нижней части формы профиля. Вы выбираете объект, для которого действует ограничение, и задаете отбор. Отбор может быть по любому реквизиту объекта: по виду номенклатуры, по складу, по ответственному лицу или по собственной группе справочника.

Объект доступа Основное право Исключение (Отбор) Результат для пользователя
Номенклатура Просмотр и изменение Вид номенклатуры = "Услуги" Видит товары, но не видит услуги
Склад Просмотр Склад = "Основной" Видит все склады, кроме Основного
Заказ клиента Проведение Сумма > 100 000 руб. Может проводить только мелкие заказы
Сотрудники Просмотр Подразделение = "Дирекция" Не видит руководителей компании

Вы не можете с помощью исключения расширить права. Если в основном профиле у пользователя стоит галочка «Нет доступа» к документу, то никакое исключение не позволит ему увидеть этот документ. Исключение лишь сужает область действия разрешенного права.

📊 Какая задача по правам для вас самая сложная?
Настройка видимости номенклатуры
Ограничение сумм документов
Скрытие зарплаты
Разделение по складам

Ограничение видимости данных (RLS)

В УНФ реализован механизм RLS (Record Level Security) или ограничение доступа на уровне записей. Это критически важно для защиты персональных данных и коммерческой тайны. Самый частый сценарий — настройка прав так, чтобы менеджеры видели только своих клиентов и свои сделки, не имея доступа к базе клиентов коллег.

Для реализации такого сценария используется специальная настройка в профиле доступа, которая связывает данные с пользователем. В карточке профиля необходимо найти раздел «Ограничение доступа» и установить флаг «Ограничивать доступ к данным». Далее выбирается объект (например, Заказ клиента) и поле, по которому будет происходить фильтрация (обычно это поле «Ответственный» или «Менеджер»).

Система автоматически подставляет текущего пользователя в условие отбора. Таким образом, при открытии списка заказов менеджер Петр увидит только те документы, где в поле «Ответственный» стоит Петр. Документы, где ответственным является Иван, для Петра будут невидимы, словно их не существует в базе.

⚠️ Внимание: При включении ограничения доступа на уровне записей убедитесь, что у всех сотрудников корректно заполнено поле «Ответственный» в документах. Иначе они могут потерять доступ к старым документам, созданным до внедрения этого правила.

Также стоит обратить внимание на настройку видимости данных в справочниках. Часто требуется скрыть закупочные цены от менеджеров по продажам. В УНФ это делается через права на чтение реквизитов. Вы можете разрешить чтение самого справочника «Номенклатура», но запретить чтение реквизита «Цена закупки». В этом случае пользователь увидит товар, но поле цены будет пустым или скрыто звездочками.

Настройка прав на финансовые и кадровые данные

Финансовый блок и раздел «Зарплата и кадры» требуют наиболее строгого контроля. Ошибки здесь могут стоить компании денег или привести к нарушению законодательства о персональных данных. В стандартной конфигурации УНФ права на эти разделы часто открыты слишком широко для роли «Руководитель», что не всегда приемлемо.

Для настройки доступа к зарплате рекомендуется создать отдельный профиль «Кадровик» или «Расчетчик зарплаты». В этом профиле следует открыть доступ к документам «Начисление зарплаты», «Отпуск», «Больничный лист». При этом доступ к банковским выпискам и платежным поручениям лучше разграничить: кадровик видит начисления, а главный бухгалтер видит платежи.

Особое внимание уделите отчетам. Стандартные отчеты по анализу финансов могут показывать маржинальность сделок. Если вы не хотите, чтобы менеджеры видели реальную прибыль по своим сделкам, необходимо либо запретить им доступ к этим отчетам, либо использовать варианты отчетов с ограниченными правами. В УНФ есть механизм «Варианты отчетов», где можно сохранить настройку отчета без колонки «Прибыль» и дать доступ именно к этому варианту.

Как скрыть себестоимость в документах продажи?

Чтобы менеджер не видел себестоимость в документе реализации, недостаточно просто скрыть колонку. Необходимо в профиле групп доступа снять галочку «Чтение» с реквизита «Себестоимость» у объекта «Реализация товаров и услуг». Тогда система физически не подгрузит эти данные в форму документа.

Не забывайте про права на выгрузку данных. Даже если пользователь не может изменить документ, он может выгрузить весь справочник клиентов в Excel и унести базу. Для предотвращения этого в профиле доступа существует группа прав «Администрирование» и «Вывод данных». Снимите галочки с пунктов «Сохранение данных в файл» и «Печать» для тех групп, которым это не требуется по долгу службы.

Типичные ошибки и диагностика проблем

Настройка прав — процесс итеративный. Часто администраторы сталкиваются с ситуацией, когда пользователь жалуется: «Я не могу провести документ», а причина кроется в наложении нескольких ограничений. Самая распространенная ошибка — конфликт между правами на сам объект и правами на его реквизиты.

Еще одна частая проблема возникает при обновлении конфигурации. После обновления стандартные профили могут быть перезаписаны разработчиком, и ваши пользовательские настройки могут слететь или перестать работать корректно с новыми объектами метаданных. Поэтому всегда ведите документацию по внесенным изменениям в правах.

Для диагностики проблем используйте режим «Предприятие» с подменой пользователя. Администратор может войти в базу под любым пользователем, не зная его пароля, чтобы увидеть интерфейс его глазами. Это делается через кнопку Еще → Войти под другим пользователем в списке пользователей.

☑️ Диагностика прав доступа

Выполнено: 0 / 5

Если пользователь видит сообщение «Недостаточно прав», не спешите сразу давать полные права. Используйте журнал регистрации. Включите регистрацию события «Ошибка прав доступа», воспроизведите проблему и посмотрите в журнале, какого именно права не хватает системе. Это позволит точечно открыть только необходимый доступ, не нарушая общую безопасность.

💡

Главный принцип безопасности в 1С: предоставлять минимально необходимый набор прав для выполнения рабочих задач. Избыточные права — главная угроза целостности данных.

Можно ли запретить пользователю видеть цену закупки, но разрешить видеть цену продажи?

Да, это возможно. В профиле групп доступа нужно найти объект «Номенклатура», перейти к правам на реквизиты и снять галочку «Чтение» только с поля «Цена закупки». Поле «Цена продажи» оставить доступным. Пользователь сможет открывать карточку товара, но поле закупочной цены будет пустым.

Что делать, если пользователь потерял доступ к своим старым документам после настройки RLS?

Скорее всего, в старых документах не заполнено поле «Ответственный» или там указан пользователь, который уже удален из системы. Вам нужно найти эти документы (администратору они видны) и массово заполнить поле «Ответственный» актуальным сотрудником, либо временно отключить ограничение RLS в профиле.

Как скопировать права из одного профиля в другой?

Прямого кнопки «Копировать права» нет, но можно скопировать сам профиль. В списке профилей выделите нужный, нажмите «Создать копию» (или просто Создать и перенести настройки, если список небольшой). После создания копии переименуйте её и назначьте новой группе доступа. Это быстрее, чем расставлять галочки вручную.

Влияет ли право на «Просмотр» на возможность печати документа?

Да, влияет. Если у пользователя нет права на чтение объекта, он не сможет сформировать печатную форму, так как система не сможет считать данные для печати. Однако существуют отдельные права на вывод данных, которые также должны быть активны для формирования отчетов и печатных форм.

Может ли один пользователь входить в две группы с противоречащими правами?

Да, может. В этом случае действует принцип суммирования прав (разрешающий приоритет). Если в одной группе доступ запрещен, а в другой разрешен, то пользователю будет предоставлен доступ. Исключения работают иначе: если есть запрещающее исключение в любом из профилей, доступ будет закрыт.