Работа с правами доступа в 1С:Предприятие — одна из ключевых задач администратора, от которой зависит как безопасность данных, так и эффективность работы сотрудников. Неправильно настроенные права могут привести к утечкам информации, ошибкам в учёте или, наоборот, избыточным ограничениям, тормозящим бизнес-процессы. В этой статье разберём все этапы работы с правами: от базовой настройки для новых пользователей до решения типичных ошибок и оптимизации существующих ролей.

Особенность системы в том, что права здесь строятся на основе ролей — готовых шаблонов, которые присваиваются пользователям или группам. Однако стандартные роли не всегда покрывают специфические потребности компании. Например, бухгалтеру может понадобиться доступ к отчётам по зарплате, но без возможности редактировать персональные данные сотрудников. Или менеджеру по продажам — право просматривать остатки на складе, но не изменять цены. В статье вы найдёте конкретные инструкции для таких случаев, а также узнаете, как избежать распространённых ошибок при настройке.

Перед тем как приступить к изменению прав, убедитесь, что у вас есть полные административные права в конфигураторе . Без них вы не сможете редактировать роли или назначать их пользователям. Также рекомендуем создать резервную копию базы — это защитит вас от случайных ошибок при экспериментах с настройками.

📊 С какой версией 1С вы работаете?
8.3 (обычная)
8.3 (управляемая)
7.7
Не знаю
Другая

1. Базовые понятия: роли, пользователи и группы доступа

В 1С:Предприятие права доступа организованы через три ключевых элемента: роли (шаблоны прав), пользователи (учётные записи) и группы доступа (объединения пользователей с общими правами). Понимание их взаимодействия — основа для любой настройки.

Роль — это набор разрешений на выполнение определённых действий в программе. Например, роль Бухгалтер может включать права на проведение документов, формирование отчётов и доступ к плану счетов, но ограничивать редактирование справочников контрагентов. В стандартных конфигурациях (1С:Бухгалтерия, 1С:ЗУП, 1С:УТ) уже есть предопределённые роли, но их часто требуется дорабатывать под специфику бизнеса.

Пользователь — учётная запись, которой присваиваются одна или несколько ролей. Важно: один пользователь может иметь несколько ролей одновременно, при этом его итоговые права будут суммой разрешений всех назначенных ролей. Например, если пользователю назначить роли Менеджер по продажам и Кассир, он получит права из обеих.

Группы доступа — опциональный инструмент, упрощающий управление правами для большого количества пользователей. Вместо того чтобы назначать роли каждому сотруднику вручную, можно создать группу (например, Отдел продаж) и присвоить права всей группе сразу.

  • 🔑 Роли — шаблоны прав (например, Администратор, Кладовщик).
  • 👤 Пользователи — учётные записи с назначенными ролями.
  • 👥 Группы доступа — объединения пользователей для массового назначения ролей.

В управляемых формах (1С 8.3) настройка прав ведётся через консоль администрирования, в обычных формах — через конфигуратор. Интерфейс может отличаться, но принципы остаются теми же.

💡

Если в вашей базе много пользователей с одинаковыми правами, используйте группы доступа. Это сэкономит время при добавлении новых сотрудников или изменении ролей.

2. Как назначить права пользователю: пошаговая инструкция

Рассмотрим процесс назначения прав на примере 1С:Предприятие 8.3 (управляемый режим). Для начала убедитесь, что вы вошли в систему под учётной записью с правами Администратор.

Шаг 1. Откройте список пользователей

Перейдите в раздел Администрирование → Пользователи. Здесь отображаются все учётные записи, зарегистрированные в базе. Если нужного пользователя нет, создайте его с помощью кнопки Создать.

Шаг 2. Назначьте роли

Выберите пользователя и откройте его карточку. В разделе Роли или Права доступа (название зависит от конфигурации) отметьте галочками необходимые роли. Например, для бухгалтера это могут быть:

  • 📊 Бухгалтер (полный доступ к учёту)
  • 📄 Просмотр отчётов (если нужно ограничить редактирование)
  • 🔒 Запрет изменения справочников (опционально)

Шаг 3. Сохраните изменения

После назначения ролей нажмите Записать и закрыть. Права вступят в силу сразу после перезагрузки сеанса пользователя.

☑️ Назначение прав пользователю

Выполнено: 0 / 4

Если в списке нет подходящей роли, её можно создать или модифицировать существующую. Об этом — в следующем разделе.

⚠️ Внимание: При назначении нескольких ролей одному пользователю его итоговые права будут суммой всех разрешений. Это значит, что если одна роль разрешает редактирование документов, а другая — только просмотр, пользователь сможет редактировать. Чтобы ограничить доступ, используйте роли с явными запретами (например, Запрет изменения цен).

3. Создание и редактирование ролей в 1С

Стандартные роли не всегда покрывают потребности бизнеса. Например, может понадобиться роль для менеджера, который должен видеть остатки на складе, но не иметь права изменять цены или проводить документы. В таких случаях приходится создавать кастомные роли или модифицировать существующие.

Как создать новую роль:

  1. Откройте конфигуратор (Файл → Конфигуратор в режиме предприятия или запустите с ключом /Config).
  2. Перейдите в дерево объектов: Общие → Роли.
  3. Нажмите Добавить и введите название новой роли (например, Менеджер по продажам (ограниченный)).
  4. В открывшемся окне настройте права для каждого объекта метаданных (документы, справочники, отчёты).

Пример настройки роли для менеджера:

Допустим, нам нужна роль, которая позволяет:

  • 📋 Просматривать справочник Номенклатура и остатки на складах.
  • 📝 Создавать и проводить документы Заказ клиента и Реализация товаров.
  • 🚫 Запрещает изменять цены в справочнике Номенклатура.

Для этого в настройках роли:

  1. Для справочника Номенклатура установите права Чтение и Просмотр, но снимите галочку с Изменение.
  2. Для документа Заказ клиента разрешите Добавление, Изменение и Проведение.
  3. Для реквизита Цена в справочнике Номенклатура явно установите Запрет.

Как модифицировать существующую роль:

Если стандартная роль почти подходит, но требует доработки, скопируйте её (Копировать в контекстном меню) и внесите изменения в копию. Это безопаснее, чем редактировать оригинальную роль, так как обновления конфигурации могут сбросить ваши правки.

Действие Где настроить Пример
Создать новую роль Конфигуратор → Общие → Роли → Добавить Роль Аналитик с правами только на просмотр отчётов
Редактировать права роли Двойной клик по роли → закладка Права Запретить изменение цен в справочнике Номенклатура
Копировать роль ПКМ по роли → Копировать Скопировать Бухгалтер в Бухгалтер (без кадров)
Назначить роль пользователю Администрирование → Пользователи → Роли Назначить роль Кладовщик пользователю Иванов И.И.
⚠️ Внимание: Изменения в конфигураторе требуют перезапуска пользовательских сеансов, чтобы права обновились. Если после настройки роль не работает, попробуйте выйти и заново войти в систему.

4. Тонкая настройка: права на уровне записей и реквизитов

Иногда недостаточно назначить права на весь документ или справочник — требуется ограничить доступ к отдельным записям или реквизитам. Например:

  • 🏢 Менеджер должен видеть только документы своего филиала.
  • 💰 Бухгалтер не должен изменять реквизит Сумма НДС в счетах.
  • 🔍 Руководитель должен видеть зарплаты всех сотрудников, но не их паспортные данные.

Для этого в используются ограничения доступа на уровне записей (RLS — Row-Level Security) и права на реквизиты.

Настройка RLS (ограничение по записям):

RLS позволяет показывать пользователю только те данные, которые относятся к его подразделению, региону или другой группе. Например, чтобы менеджер видел только заказы своего отдела:

  1. Откройте роль в конфигураторе.
  2. Перейдите на закладку Ограничения доступа.
  3. Добавьте новое ограничение для документа Заказ клиента.
  4. В поле Условие укажите: Подразделение = &ТекущееПодразделение.
  5. Создайте параметр сеанса ТекущееПодразделение и свяжите его с пользователем.

Права на реквизиты:

Если нужно запретить изменение конкретного поля (например, цены в номенклатуре), откройте настройки роли и:

  1. Найдите справочник или документ, содержащий реквизит.
  2. Разверните дерево реквизитов и снимите галочку с Изменение для нужного поля.
  3. При необходимости установите явный Запрет.

Важно: ограничения RLS и права на реквизиты не работают, если пользователю назначена роль с полными правами (например, Администратор). Всегда проверяйте итоговый набор ролей!

Что делать, если RLS не работает?

1. Убедитесь, что параметр сеанса (например, ТекущееПодразделение) корректно заполняется при входе пользователя.

2. Проверьте, что в роли нет противоречивых разрешений (например, одна роль разрешает доступ ко всем записям, а другая ограничивает).

3. Обновите кэш метаданных (Конфигуратор → Администрирование → Обновить кэш метаданных).

4. Перезапустите сеанс пользователя.

5. Типичные ошибки при настройке прав и как их избежать

Ошибки в настройке прав доступа могут привести к серьёзным проблемам: от невозможности выполнить критические операции до утечек конфиденциальных данных. Рассмотрим самые распространённые промахи и способы их предотвращения.

Ошибка 1: Избыточные права

Назначение пользователю роли Администратор или Полные права "на всякий случай" — частая практика, которая сводит на нет всю систему безопасности. Например, если кладовщику дать полные права, он сможет изменять бухгалтерские документы или зарплатные ведомости.

Решение: Всегда назначайте минимально необходимые права. Если пользователю нужны дополнительные разрешения, создайте для него отдельную роль с точными настройками.

Ошибка 2: Конфликт ролей

Если пользователю назначены две роли, одна из которых разрешает действие, а другая запрещает, итоговое право будет разрешающим. Например, роль Бухгалтер разрешает редактировать документы, а роль Ограниченный доступ запрещает — пользователь сможет редактировать.

Решение: Используйте явные запреты (Запрет в настройках роли) для критичных действий. Проверяйте итоговые права с помощью отчёта Анализ прав доступа (доступен в некоторых конфигурациях).

Ошибка 3: Неучтённые обновления

После обновления конфигурации стандартные роли могут сброситься до дефолтных настроек, а кастомные — перестать работать. Это особенно актуально для типовых решений (1С:Бухгалтерия, 1С:ЗУП), которые регулярно обновляются.

Решение: Перед обновлением экспортируйте кастомные роли в файл (Конфигуратор → Файл → Сохранить данные конфигурации). После обновления сравните роли и при необходимости восстановите изменения.

  • 🔓 Избыточные права → Назначайте только необходимые роли.
  • 🤝 Конфликт ролей → Используйте явные запреты.
  • 🔄 Сброс после обновления → Экспортируйте роли перед апдейтом.
💡

Всегда тестируйте новые роли на тестовой базе перед применением в рабочей системе. Это поможет избежать блокировки критичных операций.

6. Как проверить действующие права пользователя

Если пользователь жалуется, что не может выполнить какое-то действие (например, провести документ или открыть отчёт), первым делом нужно проверить его текущие права. В есть несколько способов это сделать.

Способ 1: Отчёт "Анализ прав доступа"

В некоторых конфигурациях (например, 1С:Управление торговлей) есть стандартный отчёт Анализ прав доступа. Он показывает, какие роли назначены пользователю и какие разрешения они дают. Чтобы его открыть:

  1. Перейдите в Администрирование → Отчёты.
  2. Найдите отчёт Анализ прав доступа.
  3. Укажите пользователя и запустите формирование.

Способ 2: Просмотр ролей в карточке пользователя

Откройте карточку пользователя (Администрирование → Пользователи) и посмотрите, какие роли ему назначены. Если ролей несколько, итоговые права будут суммой всех разрешений.

Способ 3: Тестирование в режиме предприятия

Самый надёжный способ — войти в систему под учётной записью пользователя и попробовать выполнить проблемное действие. Для этого:

  1. Запустите 1С:Предприятие под своим администраторским логином.
  2. Откройте Файл → Открыть и выберите ту же базу, но с указанием имени пользователя и пароля проблемного аккаунта.
  3. Попробуйте воспроизвести ошибку.

Если действие заблокировано, система обычно показывает сообщение вроде: "Недостаточно прав для выполнения операции". Это поможет точнее определить, какое именно разрешение отсутствует.

⚠️ Внимание: При тестировании под чужим логином не создавайте и не изменяйте реальные документы — используйте тестовые данные, чтобы не исказить учёт.

7. Оптимизация прав доступа для крупных компаний

В компаниях с большим штатом и сложной структурой (много филиалов, подразделений, ролей) управление правами может стать головной болью. Чтобы упростить процесс, используйте следующие подходы:

1. Группы доступа вместо индивидуальных назначений

Объединяйте пользователей в группы по должностям или отделам (например, Бухгалтерия, Склад, Продажи) и назначайте права группам, а не каждому сотруднику отдельно. Это сокращает время на администрирование и уменьшает риск ошибок.

2. Шаблоны ролей для типовых должностей

Создайте стандартные роли для каждой должности (например, Менеджер по продажам, Кладовщик, Кассир) и используйте их как основу. При найме нового сотрудника достаточно будет назначить ему готовую роль.

3. Автоматическое назначение прав по правилам

В некоторых конфигурациях (например, 1С:ERP) можно настроить автоматическое назначение ролей на основе атрибутов пользователя (должность, подразделение). Например, всем пользователям с должностью Менеджер автоматически назначается роль Менеджер по продажам.

4. Регулярный аудит прав

Периодически (например, раз в квартал) проводите ревизию назначенных ролей:

  • 🧹 Удаляйте права у увольняющихся сотрудников.
  • 🔍 Проверяйте, не накопились ли избыточные разрешения у действующих пользователей.
  • 📊 Формируйте отчёт по неиспользуемым ролям (если такая возможность есть в конфигурации).

5. Документирование схемы прав

Ведите актуальную документацию (например, в Excel или Confluence), где описано:

  • 📝 Какие роли существуют и за что отвечают.
  • 👥 Каким группам или пользователям они назначены.
  • 🔄 Правила обновления ролей при изменениях в бизнес-процессах.

Это поможет новым администраторам быстро разобраться в системе и избежать хаоса при смене персонала.

💡

Для аудита прав можно использовать внешние обработки, например, "Анализ прав доступа" от фирмы "1С" или сторонних разработчиков. Они позволяют экспортировать права в удобный формат и выявлять аномалии.

8. Решение проблем: что делать, если права не применяются

Иногда после настройки прав изменения не вступают в силу. Рассмотрим типичные причины и способы их устранения.

Проблема 1: Права не обновляются после изменений

Если вы отредактировали роль, но пользователь по-прежнему не видит новых разрешений, причиной может быть:

  • 🔄 Кэш метаданных — старые настройки сохранены в кэше.
  • 🖥️ Активный сеанс — пользователь не вышел из системы после изменений.
  • 📂 Конфликт конфигураций — изменения сделаны не в той базе.

Решение:

  1. Обновите кэш метаданных: Конфигуратор → Администрирование → Обновить кэш метаданных.
  2. Перезапустите сеанс пользователя (выйти и заново войти).
  3. Убедитесь, что изменения сохранены в правильной базе (особенно актуально для файлового варианта ).

Проблема 2: Пользователь видит больше данных, чем должно быть

Если пользователь получает доступ к данным, которые не должны быть ему доступны, проверьте:

  • 🔓 Назначены ли ему дополнительные роли с расширенными правами.
  • 🔍 Нет ли в ролях противоречивых разрешений (например, одна роль запрещает, а другая разрешает).
  • 📌 Корректно ли настроены ограничения RLS (если используются).

Решение: Сформируйте отчёт по правам пользователя и проанализируйте итоговые разрешения. При необходимости скорректируйте роли или добавьте явные запреты.

Проблема 3: Ошибка "Недостаточно прав" при проведении документа

Если пользователь не может провести документ, хотя роль это разрешает, проверьте:

  • 📄 Права на конкретный вид документа (например, Реализация товаров).
  • 🔧 Права на операцию проведения (иногда это отдельное разрешение).
  • 📅 Права на период документа (если в конфигурации есть ограничения по датам).

Решение: Откройте роль в конфигураторе и проверьте права на документ и операцию проведения. При необходимости добавьте недостающие разрешения.

⚠️ Внимание: Если проблема сохраняется после всех проверок, возможно, она связана с блокировками на уровне СУБД (например, в SQL Server или PostgreSQL). В этом случае обратитесь к администратору базы данных.

FAQ: Частые вопросы по правам доступа в 1С

Как дать пользователю доступ только к определённому складу?

Используйте механизм RLS (ограничение доступа на уровне записей):

  1. Создайте параметр сеанса ТекущийСклад и свяжите его с пользователем (например, через обработку входа).
  2. В роли добавьте ограничение для документа Поступление товаров с условием Склад = &ТекущийСклад.
  3. Назначьте роль пользователю.

Теперь он будет видеть только документы, относящиеся к его складу.

Можно ли запретить пользователю изменять цены в номенклатуре, но разрешить просмотр?

Да. Для этого:

  1. Откройте роль пользователя в конфигураторе.
  2. Найдите справочник Номенклатура и разверните его реквизиты.
  3. Для реквизита Цена снимите галочку Изменение, оставив Чтение.
  4. Если нужно полностью запретить изменение цены, установите Запрет.
Как проверить, какие права есть у пользователя, не заходя под его логином?

В большинстве конфигураций есть отчёт Анализ прав доступа (Администрирование → Отчёты). Он показывает все роли пользователя и итоговые разрешения. Если такого отчёта нет, можно использовать внешние обработки, например, "Права доступа пользователей" от фирмы "1С" или сторонних разработчиков.

Почему после обновления конфигурации пропали кастомные роли?

При обновлении типовых конфигураций (1С:Бухгалтерия, 1С:ЗУП) кастомные роли могут сброситься, если они конфликтуют со стандартными. Чтобы избежать потерь:

  1. Перед обновлением экспортируйте роли в файл (Конфигуратор → Файл → Сохранить данные конфигурации).
  2. После обновления сравните роли и восстановите изменения вручную.
  3. Используйте механизм расширений конфигурации, если нужно сохранить кастомные настройки при обновлениях.
Как ограничить доступ к зарплатным данным?

Для защиты персональных данных:

  1. Создайте отдельную роль (например, Зарплата (просмотр)) с правами только на просмотр отчётов по зарплате.
  2. Для реквизитов с персональными данными (паспорт, ИНН) установите Запрет на изменение.
  3. Используйте RLS, чтобы руководители видели зарплаты только своих подчинённых.
  4. Настройте журнал регистрации для отслеживания доступа к зарплатным данным.

В 1С:ЗУП есть встроенные механизмы для защиты персональных данных — используйте их.