В системах автоматизации бизнеса на базе платформы 1С:Предприятие администрирование прав доступа является критически важной задачей для обеспечения информационной безопасности. Неправильно настроенные роли могут привести к утечке конфиденциальных данных, случайному удалению документов или искажению отчетных показателей. Администратору часто требуется не просто выдать права, а, наоборот, жестко ограничить возможности пользователей в определенных разделах или полностью заблокировать работу с базой.

Существует множество сценариев, когда необходимо ограничить доступ: от временной блокировки уволившегося сотрудника до постоянного запрета на изменение справочников номенклатуры или контрагентов. Платформа предоставляет гибкий инструментарий для решения этих задач, включая ролевую модель, блокировку сеансов на уровне сервера и манипуляции с файлами конфигурации. Понимание механизмов работы этих инструментов позволит вам эффективно управлять безопасностью вашей информационной системы.

В данной статье мы подробно разберем, как ограничить доступ к функционалу, запретить запуск программы конкретным лицам и как экстренно остановить работу всех пользователей при проведении регламентных работ. Мы рассмотрим как штатные средства администрирования, так и технические приемы, используемые опытными специалистами.

Настройка ролевой модели и исключение прав доступа

Основным механизмом разграничения прав в 1С:Предприятие является ролевая модель. Каждому пользователю назначается одна или несколько ролей, которые определяют перечень доступных ему объектов метаданных и действий с ними. Чтобы ограничить доступ к определенному разделу, администратору не обязательно создавать новую роль с нуля; часто достаточно отредактировать существующую или создать роль-ограничение.

При создании новой роли в конфигураторе вы можете явно снять галочки с тех объектов, к которым нужно запретить доступ. Например, если бухгалтеру нельзя видеть документы "Банковские выписки", в правах доступа его роли эти объекты должны быть неактивны.

Для тонкой настройки используйте механизм исключений. Вы можете создать роль "Без права редактирования", в которой для всех объектов установлено право "Только чтение", и назначить её пользователю в дополнение к основной роли. Это гарантирует, что даже при наличии полных прав в основной роли, пользователь не сможет изменять данные в критических справочниках.

⚠️ Внимание: Изменение прав доступа в конфигураторе требует монопольного режима. Убедитесь, что все пользователи завершили работу с базой перед внесением изменений в конфигурацию, иначе вы получите ошибку блокировки.

После обновления конфигурации права необходимо пересчитать. Это делается через меню Администрирование → Пользователи или через консоль администрирования сервера. Игнорирование этого этапа приведет к тому, что старые права останутся активными до следующего входа пользователя в систему или перезагрузки сервера.

💡

Используйте профиль групп доступа для массового изменения прав. Создав один раз шаблон "Менеджер без права удаления", вы сможете применять его к десяткам сотрудников за пару кликов.

Блокировка сеансов и запрет входа для конкретных пользователей

Иногда возникает необходимость оперативно запретить вход в базу конкретному лицу, например, при увольнении или подозрении в неправомерных действиях. В этом случае изменение ролей может занять слишком много времени, и администратору требуется мгновенное решение. Платформа 1С позволяет блокировать сеансы как на уровне списка активных пользователей, так и на уровне списка зарегистрированных пользователей.

Для временной блокировки активного сеанса перейдите в список активных пользователей через меню Администрирование → Активные пользователи. Выделите нужную строку и выберите команду "Завершить сеанс". Однако этот метод лишь выкидывает пользователя из системы прямо сейчас; он сможет зайти снова через мгновение.

Чтобы запретить вход на постоянной основе, необходимо работать со списком пользователей. В окне списка пользователей установите флаг "Запретить подключение" напротив нужной учетной записи. После сохранения изменений этот пользователь при попытке входа получит сообщение о том, что его доступ заблокирован администратором.

  • 🔒 Мгновенное завершение сеанса не запрещает повторный вход.
  • 🚫 Флаг "Запретить подключение" блокирует возможность авторизации.
  • 👤 Блокировку можно снять в любой момент, сняв соответствующий флаг.

Существует также возможность блокировки по IP-адресу или имени компьютера, если такая функциональность реализована в вашей конфигурации или через внешние средства защиты (например, файрвол сервера). Это особенно актуально для веб-клиентов, когда нужно ограничить доступ извне офиса.

📊 Как вы чаще всего блокируете пользователей?
Завершаю сеанс
Ставлю флаг запрета
Меняю пароль
Блокирую в Active Directory

Ограничение доступа через файл блокировки (lck)**

В файловом варианте работы с базой данных или при необходимости экстренной остановки всех сеансов на сервере используется механизм файла блокировки. Создание специального файла с расширением .lck в каталоге информационной базы предотвращает запуск новых сеансов для всех пользователей, кроме тех, кто уже авторизован с особыми привилегиями или запускает базу в монопольном режиме.

Этот метод часто применяется перед началом регламентных работ, таких как обновление конфигурации, тестирование и исправление базы данных или резервное копирование. Файл блокировки сигнализирует платформе о том, что база находится в режиме обслуживания. Пользователи, пытающиеся зайти в систему, увидят стандартное сообщение о том, что база заблокирована.

Для создания блокировки достаточно создать пустой текстовый файл с именем 1Cv8.lck в корневой папке базы данных. Удаление этого файла снимает блокировку и позволяет пользователям работать в штатном режиме. Важно не удалять файл, пока не будут завершены все административные процедуры.

echo. > "D:\Bases\Base1\1Cv8.lck"

При использовании серверного варианта 1С данный метод также работает, но более корректно использовать консоль администрирования серверов для снятия нагрузки. Файл блокировки в сетевой папке может сработать не мгновенно из-за кэширования файловой системы, поэтому всегда проверяйте список активных сеансов после создания файла.

⚠️ Внимание: Файл 1Cv8.lck блокирует вход для всех обычных пользователей. Убедитесь, что у вас есть доступ к серверу или сетевой папке для его удаления, иначе вы сами не сможете зайти в базу для снятия блокировки.
Что делать, если файл блокировки не удаляется?

Если файл.lck не удаляется через проводник, проверьте, не открыт ли он каким-либо процессом. Иногда антивирус или процесс резервного копирования может удерживать дескриптор файла. Попробуйте удалить его через командную строку с правами администратора или перезагрузите файловый сервер.

Запрет запуска внешних обработок и расширений**

Одной из распространенных угроз безопасности в 1С является запуск пользователем сторонних обработок, которые могут содержать вредоносный код или выполнять несанкционированные действия с данными. Чтобы ограничить доступ к функционалу запуска внешних файлов, необходимо настроить параметры безопасности в конфигураторе или через параметры запуска.

В современных версиях платформы существует настройка "Безопасный режим". При его включении пользователю запрещается запускать внешние обработки и отчеты, а также выполнять некоторые опасные методы встроенного языка. Это эффективный способ защитить базу от случайных или злонамеренных действий неквалифицированного персонала.

Также можно ограничить возможность расширения функционала через механизм расширений конфигурации. Если в вашей организации не принято использовать расширения, эту возможность лучше отключить на уровне прав доступа или в параметрах сервера. Это предотвратит подключение непроверенных модулей, которые могут изменить логику работы программы.

Тип ограничения Где настраивается Эффект
Запуск внешних обработок Параметры запуска / Роль Кнопка "Внешняя обработка" становится неактивной
Монопольный режим Настройки пользователя Запрет на захват базы одним пользователем
Толстый клиент Настройки пользователя Запрет запуска в режиме толстого клиента
Конфигуратор Права доступа Полный запрет входа в режим конфигуратора

Не забудьте проверить права на использование COM-соединений и вызов внешних компонент. Если бизнес-процессы не требуют взаимодействия с другим ПО (например, Excel или Word через автоматизацию), эти права следует отозвать у большинства пользователей.

💡

Отключение возможности запуска внешних обработок — самый эффективный способ защиты от вирусов-шифровальщиков, распространяемых через файлы 1С.

Ограничение видимости данных с помощью RLS**

Для сложных сценариев, когда разные пользователи должны видеть одни и те же документы, но только относящиеся к их подразделению или региону, используется механизм RLS (Record Level Security) или ограничение доступа на уровне записей. Это более глубокий уровень ограничения, чем просто скрытие меню.

RLS настраивается в конфигураторе через объект "Профиль групп доступа". В нем прописываются ограничения для конкретных таблиц базы данных. Например, можно настроить правило: "Пользователь видит только те документы, где организация равна значению из его профиля".

Данные ограничения работают прозрачно для пользователя. Он видит привычный интерфейс, но в списках документов и отчетах просто отсутствуют строки, на которые у него нет прав. Это позволяет гибко сегментировать доступ без создания десятков разных ролей.

  • 📊 Ограничения применяются ко всем запросам, включая отчеты.
  • ⚙️ Настройка требует прав администратора конфигурации.
  • 👥 Позволяет разграничить данные внутри одной роли.

При внедрении RLS важно тщательно протестировать производительность базы, так как сложные ограничения могут замедлить выполнение запросов. Также следует учитывать, что ограничения не действуют в режиме предприятия для пользователей с полными правами, если не настроены специальные исключения.

Технические методы ограничения через сервер 1С**

Администрирование кластера серверов 1С:Предприятие предоставляет еще один уровень контроля. Через консоль администрирования (mmc) можно управлять рабочими процессами (rphost) и сессиями. Это позволяет ограничивать ресурсы или принудительно завершать соединения на уровне сервиса.

Вы можете настроить расписание, по которому в ночное время рабочие процессы будут автоматически перезагружаться или ограничиваться в количестве. Это полезно для предотвращения работы пользователей в нерабочее время, если это запрещено регламентом компании.

Также существует возможность отключить конкретную информационную базу в списке баз кластера. При этом база остается на диске, но сервер 1С не будет пускать к ней соединения. Это аналог файла блокировки, но реализуемый средствами сервиса.

⚠️ Внимание: Конфигурация кластера серверов может измениться после обновления платформы. Всегда сверяйте настройки в официальном руководстве администратора после установки новых версий 1С.

Для продвинутых пользователей доступно управление через утилиту rac (Remote Administration Console). С её помощью можно писать скрипты для автоматического ограничения доступа в зависимости от внешних событий, например, при срабатывании сигнализации или превышении лимита лицензий.

☑️ Чек-лист безопасного ограничения доступа

Выполнено: 0 / 5
Можно ли ограничить доступ к 1С по времени суток?

Штатными средствами платформы 1С гибкое расписание по времени суток не настраивается. Однако это можно реализовать через внешние скрипты, которые в определенное время создают файл блокировки .lck или завершают сеансы через консоль администрирования. В некоторых конфигурациях (например, КА или ERP) есть обработки регламентного закрытия периода, которые косвенно ограничивают ввод документов.

Что делать, если я заблокировал сам себя в 1С?

Если вы потеряли права на вход в базу, вам потребуется доступ к серверу или файловой системе. Для файловой базы удалите файл 1Cv8.lck и зайдите в режим Конфигуратора под пользователем с полными правами (обычно это администратор), чтобы переназначить права. Для клиент-серверного варианта используйте консоль администрирования серверов 1С для сброса блокировок или изменения свойств пользователя.

Как ограничить доступ к печатным формам?

Ограничение доступа к печатным формам реализуется через права доступа к объектам метаданных. В конфигураторе найдите соответствующие отчеты или обработки печатных форм и снимите галочку "Право использования" для нужных ролей. Также можно скрыть кнопки вывода на печать через расширение конфигурации или изменение программного кода, если права на объекты недостаточно.

Влияет ли ограничение доступа на скорость работы базы?

Само по себе ограничение прав доступа (ролевая модель) практически не влияет на производительность. Однако использование сложного механизма RLS (ограничение на уровне записей) может существенно замедлить выполнение запросов, так как серверу приходится добавлять дополнительные условия в каждый SQL-запрос. Оптимизация условий RLS критически важна для больших баз.