В процессе администрирования корпоративных информационных систем часто возникает необходимость ограничить доступ конкретного сотрудника к базе данных. Это может быть связано с увольнением специалиста, переводом в другой отдел, нарушением трудовой дисциплины или просто с окончанием срока действия временного контракта. Администратору 1С:Предприятие необходимо быстро и корректно выполнить процедуру отключения, чтобы предотвратить несанкционированный доступ к конфиденциальным данным.
Существует несколько методов блокировки, начиная от простого снятия галочки в карточке пользователя и заканчивая принудительным завершением активных сеансов через консоль администрирования серверов. Выбор конкретного способа зависит от того, используется ли файловый или клиент-серверный вариант работы, а также от того, находится ли пользователь сейчас в системе или нет. Некорректное выполнение действий может привести к зависанию сеансов или потере данных, поэтому важно строго следовать алгоритмам.
В данной статье мы рассмотрим все доступные штатные средства платформы для управления учетными записями. Вы узнаете, как заблокировать вход, как принудительно выгнать человека из программы и как полностью удалить права доступа. Мы также затронем вопросы безопасности и нюансы работы с внешними пользователями в веб-клиенте.
Штатная блокировка через интерфейс программы
Самый простой и распространенный способ ограничения доступа — это изменение настроек непосредственно в интерфейсе конфигуратора или режима предприятия (для администраторов). Этот метод подходит для ситуаций, когда пользователь не находится в активной сессии или когда нужно просто закрыть ему вход на будущее. Для выполнения операции вам потребуются полные права администратора базы данных.
Необходимо зайти в систему под учетной записью с правами на изменение состава пользователей. В большинстве типовых конфигураций этот путь выглядит как Администрирование → Настройки пользователей и прав → Пользователи. Если вы используете режим конфигуратора, то путь будет Администрирование → Пользователи. В открывшемся списке найдите нужную фамилию и откройте карточку для редактирования.
Внутри карточки пользователя locate поле, отвечающее за активность учетной записи. Обычно это флажок с названием «Активный». Снятие этой галочки означает, что при следующей попытке входа система выдаст сообщение о том, что пользователь заблокирован или не найден. Важно понимать, что это действие не разрывает текущие активные соединения мгновенно.
Перед блокировкой убедитесь, что у пользователя не открыты важные документы в режиме редактирования, чтобы избежать конфликта версий данных.
Если сотрудник в данный момент работает в базе, снятие галочки «Активный» не выкинет его из программы сразу. Он сможет продолжать работать до тех пор, пока сам не закроет окно или пока не произойдет переподключение. Для мгновенного эффекта необходимо использовать механизмы завершения сеансов, которые будут описаны ниже. Также стоит проверить, не является ли данный пользователь владельцем каких-либо критических задач в регламентных заданиях.
Принудительное завершение активных сеансов
Ситуации, когда нужно экстренно отключить пользователя, который прямо сейчас вносит изменения в базу, требуют более радикальных мер. Платформа 1С:Предприятие 8 предоставляет инструменты для просмотра списка текущих соединений и их принудительного разрыва. Это особенно актуально при сбоях оборудования или подозрении на вредоносные действия.
Для управления сеансами перейдите в раздел Администрирование → Сеансы (в режиме предприятия) или используйте меню Администрирование → Активные пользователи в конфигураторе. Перед вами откроется таблица, содержащая информацию о всех подключенных в данный момент специалистах, включая имя компьютера, время начала сеанса и используемое приложение.
☑️ Алгоритм экстренного отключения
Выделите строку с нужным пользователем и нажмите кнопку завершения. Система запросит подтверждение, так как это действие может привести к потере несохраненных данных на стороне клиента. После подтверждения соединение будет разорвано на уровне протокола, и пользователь увидит сообщение об ошибке связи с сервером.
⚠️ Внимание: Принудительное завершение сеанса во время проведения сложного документа или обработки данных может привести к нарушению целостности транзакции и потребовать перепроведения документов.
В клиент-серверном варианте работы (SQL) администратор может также использовать консоль администрирования серверов 1С Предприятия. Там можно не только завершать сеансы, но и блокировать возможность нового подключения для конкретного пользователя на уровне кластера серверов. Это более надежный метод, исключающий возможность повторного входа до снятия блокировки.
Работа с правами доступа и ролями
Иногда полное отключение пользователя не требуется, достаточно лишь ограничить его функциональные возможности. Гибкая система ролевой модели 1С позволяет тонко настраивать права доступа, убирая лишние привилегии без удаления самой учетной записи. Это полезно при временном отстранении сотрудника от работы или изменении его должностных обязанностей.
В карточке пользователя есть вкладка «Прочее» или раздел «Роли», где перечислены все назначенные профили групп доступа. Вы можете снять галочки с ролей, дающих право на запись данных, проведение документов или доступ к закрытым разделам. Оставив только роль «Пользователь» или «Только чтение», вы фактически парализуете возможность вредоносной активности.
Если конфигурация поддерживает профили групп доступа, то эффективнее создать специальный профиль «Заблокированный» или «Архивный», в котором не выбрано ни одной роли, и назначить его пользователю. Это быстрее, чем вручную отключать десятки прав в сложной конфигурации типа 1С:ERP или 1С:Комплексная автоматизация.
| Тип ограничения | Метод реализации | Возможность восстановления |
|---|---|---|
| Полная блокировка | Снятие флага «Активный» | Мгновенная (поставить галочку) |
| Ограничение прав | Удаление ролей доступа | Требует настройки прав заново |
| Завершение сеанса | Кнопка «Завершить» | Пользователь может зайти снова |
| Блокировка на уровне SQL | Консоль администрирования | Требует прав админа сервера |
Помните, что изменение прав доступа вступает в силу только после переподключения пользователя или обновления сеанса. Если человек уже работает в системе с полными правами, простое снятие галочек в его карточке не отберет эти права до следующего входа. Для оперативного реагирования всегда комбинируйте смену прав с завершением текущих сеансов.
Удаление пользователя из базы данных
Кардинальным решением проблемы доступа является полное удаление учетной записи из информационной базы. Этот метод применяется, как правило, после увольнения сотрудника, когда сохранение истории его действий в журнале регистрации уже не требует привязки к конкретному имени пользователя. Однако к этому шагу следует подходить с осторожностью.
Перед удалением убедитесь, что на данного пользователя не назначены ответственные лица в документах, не висят задачи в бизнес-процессах и он не является владельцем каких-либо объектов метаданных. В типовых конфигурациях при попытке удаления система автоматически проверит эти связи и выдаст предупреждение, если они существуют.
Что происходит с историей после удаления?
При удалении пользователя ссылки на него в журналах документов и истории изменений могут стать некорректными или отображаться как «Удаленный пользователь». Рекомендуется сначала переassignить документы на другого сотрудника.
Процедура удаления выполняется через тот же список пользователей. Выделите запись и нажмите кнопку удаления (обычно крестик или кнопка «Удалить» в нижней панели). Система запросит подтверждение. После этого восстановить пользователя с тем же именем и историей будет невозможно без ручной работы с базой данных или восстановления из резервной копии.
Если конфигурация использует внешнюю авторизацию (например, через домен Windows или веб-сервисы), то удаление пользователя из списка 1С может не заблокировать ему доступ, если на уровне аутентификации он все еще валиден. В таких случаях необходимо синхронизировать действия с системным администратором домена.
Блокировка в файловом и клиент-серверном варианте
Механизмы отключения пользователей имеют свои особенности в зависимости от архитектуры работы базы данных. В файловом варианте все данные хранятся в одном файле (или папке файлов), и управление доступом происходит более прямолинейно, но с меньшими возможностями разграничения прав на уровне сетевых протоколов.
В клиент-серверном варианте (SQL) управление доступом двухуровневое. Первый уровень — это права внутри платформы 1С, которые мы описывали выше. Второй уровень — это права доступа к серверу баз данных (MS SQL, PostgreSQL). Администратор СУБД может заблокировать логин на уровне базы данных, что сделает невозможным подключение даже при наличии валидного пользователя в самой 1С.
Для надежной изоляции пользователя в SQL-версии используйте комбинацию: блокировка в 1С + запрет подключения (DENY CONNECT) на уровне сервера баз данных.
При работе в файловом режиме над сетевой папкой «выгнать» пользователя можно также путем монопольного захвата базы. Зайдите в конфигуратор в монопольном режиме. Это потребует, чтобы все остальные пользователи вышли из системы. Если кто-то не выходит, вы не сможете войти в монопольном режиме, что само по себе является индикатором активности.
Существует также возможность создания файла-блокировщика 1Cv8.1CD.lock (для старых версий) или использование механизмов блокировки папки правами доступа Windows, но эти методы считаются «варварскими» и могут повредить файл данных. Используйте только штатные средства платформы для отключения.
⚠️ Внимание: В файловом варианте базы данных принудительное завершение сеанса другого пользователя возможно только если вы зашли в базу в монопольном режиме. В обычном режиме вы видите сеансы, но не можете ими управлять.
Частые ошибки и проблемы при отключении
Администраторы часто сталкиваются с ситуацией, когда, казалось бы, пользователь отключен, но он все равно имеет доступ к системе. Одна из самых распространенных причин — наличие нескольких учетных записей для одного физического лица. Сотрудник может заходить под своим именем, а также под общей учеткой «Оператор» или «Менеджер», права которой вы не заблокировали.
Другая проблема связана с кэшированием прав на стороне толстого клиента или веб-браузера. После изменения настроек прав доступа пользователю может потребоваться очистить кэш 1С или перелогиниться в браузере с полным сбросом сессии, чтобы новые ограничения вступили в силу. Иногда помогает просто перезапуск приложения на клиентской машине.
Также стоит учитывать работу регламентных заданий. Если отключаемый пользователь был назначен ответственным за выполнение фоновых обработок, то после его блокировки эти процессы перестанут запускаться. Необходимо заранее переназначить ответственных за регламентные операции в разделе НСИ и Администрирование → Регламентные операции.
Используйте Журнал регистрации для анализа действий пользователя перед его отключением. Это поможет выявить скрытые активности или несанкционированные попытки доступа.
В сложных распределенных информационных базах (РИБ) отключение пользователя в узле не гарантирует его отключение в центральном узле и наоборот. Синхронизация прав доступа может занимать время. Убедитесь, что блокировка произведена во всех узлах распределенной системы, где у сотрудника были права.
Можно ли отключить пользователя, если я не администратор?
Нет, для управления списком пользователей и завершения сеансов необходимы полные права администратора системы. Обычный пользователь может завершить только свой собственный сеанс.
Что делать, если кнопка «Завершить сеанс» неактивна?
Это возможно в файловом режиме без монопольного доступа или если у вас недостаточно прав. Попробуйте войти в конфигуратор в монопольном режиме или обратитесь к администратору серверов.
Сохранится ли история действий заблокированного пользователя?
Да, все действия, совершенные пользователем до момента блокировки, остаются в Журнале регистрации и в истории изменений документов. Блокировка запрещает только новые действия.
Как отключить доступ через веб-клиент?
Механизм тот же — снятие флага «Активный» в карточке пользователя. Дополнительно можно настроить правила доступа в веб-сервере (IIS/Apache), закрыв доступ к виртуальному каталогу для конкретных IP или учетных записей Windows.
Влияет ли блокировка в 1С на доступ к файлам на диске?
Нет, блокировка в 1С касается только доступа к функционалу программы через протокол 1С:Предприятие. Если у пользователя есть сетевой доступ к папке с базой данных, он теоретически может скопировать файл, но не сможет открыть его корректно без прав внутри системы (если база защищена паролем).