Контроль доступа в 1С:Предприятие — это основа безопасности бизнес-процессов. Неправильно настроенные права могут привести к утечкам данных, ошибкам в отчётности или даже блокировке работы целых отделов. Эта статья поможет разобраться, как грамотно выставить права пользователям, избегая типичных ошибок.

Мы рассмотрим не только базовые настройки через профили групп доступа и роли, но и нюансы работы с Полными правами, ограничением по подразделениям, а также диагностику проблем. Инструкция актуальна для 1С:Предприятие 8.3 (включая последние релизы) и адаптирована под различные конфигурации: Бухгалтерия, ЗУП, УТ и КА.

Если вы админ, который только начинает работать с 1С, или опытный специалист, ищущий решение для нестандартной задачи — здесь найдёте ответы. А для тех, кто торопится, в конце статьи есть FAQ с быстрыми решениями.

1. Основные понятия: роли, профили и права доступа

Прежде чем приступать к настройке, важно понять терминологию . В системе есть три ключевых уровня управления правами:

  • 🔑 Роли — набор разрешений на выполнение конкретных действий (например, Просмотр справочников или Проводки по кассе). Роли присваиваются пользователям напрямую или через профили.
  • 👥 Профили групп доступа — шаблоны, объединяющие роли для типичных должностей (бухгалтер, менеджер по продажам). Упрощают массовое назначение прав.
  • 🛡️ Права доступа — итоговый результат применения ролей и профилей. Определяют, что именно может делать пользователь в базе.

Например, роль Кассир разрешает работать с кассовыми документами, но не даёт права редактировать справочник контрагентов. А профиль Бухгалтер может включать роли Просмотр отчётности, Ввод банковских выписок и Закрытие месяца.

Важно: в действует принцип минимальных привилегий — пользователю стоит давать только те права, которые необходимы для работы. Это снижает риски случайных или злонамеренных действий.

📊 Как вы обычно настраиваете права в 1С?
Через профили групп доступа
Назначаю роли вручную каждому пользователю
Использую типовую конфигурацию без изменений
Делегатирую это системному администратору

2. Пошаговая инструкция: как назначить права пользователю

Рассмотрим процесс на примере 1С:Бухгалтерия 8.3. Алгоритм аналогичен для других конфигураций с незначительными отличиями.

Шаг 1. Открытие списка пользователей

Перейдите в меню Администрирование → Пользователи. Здесь отображаются все зарегистрированные в базе пользователи. Если нужного нет — создайте нового через кнопку Создать.

Шаг 2. Назначение профиля группы доступа

В карточке пользователя найдите поле Профиль группы доступа. Здесь можно выбрать один из стандартных профилей:

  • 📊 Полные права — полный доступ ко всем объектам (только для администраторов!).
  • 💼 Бухгалтер — работа с первичными документами и отчётностью.
  • 🛒 Менеджер по продажам — доступ к справочникам номенклатуры и документам реализации.
  • 👔 Кадровик — управление данными сотрудников (для 1С:ЗУП).

Если подходящего профиля нет, его можно создать самостоятельно в разделе Администрирование → Профили групп доступа.

Шаг 3. Дополнительные роли (при необходимости)

Если профиля недостаточно, назначьте пользователю индивидуальные роли на вкладке Роли. Например, для временного доступа к отчётам без прав на редактирование документов.

☑️ Проверка перед сохранением настроек

Выполнено: 0 / 4

Шаг 4. Ограничение по подразделениям

В крупных компаниях часто требуется ограничить доступ пользователя данными своего отдела. Для этого:

  1. Перейдите на вкладку Ограничение доступа.
  2. Установите флаг Ограничивать доступ к данным по подразделениям.
  3. Выберите подразделения, данные которых будет видеть пользователь.
⚠️ Внимание: Ограничения по подразделениям работают только для объектов, поддерживающих эту функцию (например, документы Заявка на расходование ДС в 1С:УТ). Для справочников может потребоваться доработка конфигурации.

3. Типичные ошибки и как их избежать

Даже опытные админы иногда сталкиваются с проблемами при настройке прав. Вот наиболее распространённые ошибки и способы их решения:

Ошибка Причина Решение
Пользователь не видит документы Не хватает роли на просмотр или отсутствует право на подразделение Проверьте roles ПросмотрДокументов и настройки ограничений
Ошибка "Недостаточно прав" при проведении Отсутствует роль на изменение движения документов Добавьте роль ИзменениеПроведённыхДокументов
Пользователь видит чужие зарплатные данные Не настроены ограничения по физическим лицам в 1С:ЗУП Используйте роль КадровикСОграничениемПоПодразделениям
Не работает печать отчётов Отсутствует право на вывод данных в внешние файлы Назначьте роль ПечатьОтчётов или ПолныеПрава

Критическая ошибка: назначение роли "Полные права" рядовому пользователю. Это равносильно выдаче пароля от сервера — такой пользователь сможет изменить конфигурацию, удалить данные или получить доступ к зарплатной информации всех сотрудников.

💡

Перед массовым изменением прав сделайте резервную копию базы через Администрирование → Выгрузить информационную базу. Это позволит быстро откатиться при ошибке.

4. Продвинутые настройки: права на уровне записей (RLS)

Для тонкой настройки доступа в используется механизм Row-Level Security (RLS) — ограничение прав на уровне отдельных записей. Например, менеджер должен видеть только своих клиентов, а не весь справочник контрагентов.

RLS настраивается через:

  1. Создание ограничений доступа в конфигураторе (раздел Администрирование → Настройка прав доступа → Ограничения доступа).
  2. Привязку ограничений к ролям (например, роль МенеджерПоПродажам получает ограничение ТолькоСвоиКлиенты).
  3. Настройку условий отбора (например, Ответственный = ТекущийПользователь()).

Пример кода для ограничения по ответственному в справочнике Контрагенты:

Ограничение.Условие = "Ответственный = &ТекущийПользователь";

Ограничение.Режим = РежимОграниченияДоступа.Запрещающий;

⚠️ Внимание: Неправильно настроенные RLS-ограничения могут сделать данные невидимыми даже для администраторов. Всегда тестируйте изменения на копии базы.
Что делать, если после настройки RLS данные пропали?

1. Проверьте, что в ограничении не используется условие с ошибкой (например, сравнение с несуществующим реквизитом).

2. Убедитесь, что у пользователя есть роль, не попадающая под ограничения (например, Администратор).

3. Временное отключите все RLS-правила через конфигуратор, чтобы локализовать проблему.

5. Права для внешних пользователей (веб-доступ, мобильное приложение)

Если ваша база доступна через веб-интерфейс или мобильное приложение, настройка прав имеет особенности:

  • 🌐 Для веб-доступа (например, через 1С:Предприятие в браузере) права настраиваются так же, как и для десктопной версии, но требуется дополнительная роль ВебДоступ.
  • 📱 В мобильном приложении могут быть ограничения по функционалу — проверьте совместимость ролей с мобильной платформой.
  • 🔒 Для внешних пользователей (контрагентов, клиентов) создайте отдельные профили с минимальными правами (например, только просмотр своих документов).

Пример настройки для клиента, который должен видеть только свои счета:

  1. Создайте роль Клиент_ПросмотрСвоихДокументов.
  2. Настройте RLS-ограничение по полю Контрагент (значение = текущий пользователь).
  3. Назначьте роль через профиль ВнешнийКлиент.

Важно: внешние пользователи не должны иметь доступ к административным разделам (Администрирование, Все функции). Отключите эти права явным запретом в ролях.

6. Диагностика проблем с правами

Если пользователь жалуется на отсутствие доступа, используйте эти методы диагностики:

Способ 1. Проверка текущих прав

В режиме 1С:Предприятие перейдите в Справка → О программе → Права пользователя. Здесь отображаются все назначенные роли и активные ограничения.

Способ 2. Журнал регистрации

Включите регистрацию событий по правам доступа:

  1. Откройте Администрирование → Журналы регистрации.
  2. Настройте регистрацию событий типа Ошибка доступа.
  3. Попросите пользователя повторить действие, вызвавшее ошибку, и проанализируйте лог.

Способ 3. Тестирование от имени пользователя

Администратор может временно войти в систему под учётной записью пользователя:

  1. В конфигураторе откройте Администрирование → Пользователи.
  2. Выделите пользователя и нажмите Запустить 1С:Предприятие.
  3. Проверьте, воспроизводится ли проблема.
💡

Если проблема с правами возникает только у одного пользователя, скорее всего, ошибка в его персональных настройках. Если у всей группы — проверьте профиль доступа или общие роли.

7. Автоматизация назначения прав

В крупных компаниях ручная настройка прав для каждого сотрудника неэффективна. Автоматизируйте процесс с помощью:

  • 🤖 Скриптов на встроенном языке — например, автоматическое назначение профиля при создании нового пользователя:
Процедура ПриСозданииНовогоПользователя(Пользователь)

Если Пользователь.Должность = "Бухгалтер" Тогда


Пользователь.ПрофильГруппыДоступа = ПрофилиГруппДоступа.Бухгалтер;


КонецЕсли;


КонецПроцедуры

  • 🔄 Обмена данными с AD/LDAP — синхронизация пользователей и групп из Active Directory с профилями 1С.
  • 📊 Отчётов по правам — регулярный аудит назначенных ролей для выявления избыточных привилегий.

Пример запроса для поиска пользователей с избыточными правами:

ВЫБРАТЬ

Пользователи.Наименование КАК Пользователь,


ГРУППИРОВКА ПО Пользователи.Наименование


ИЗ


Пользователи КАК Пользователи


ЛЕВОЕ СОЕДИНЕНИЕ РегистрСведений.ПраваПользователей КАК Права


ПО Пользователи.Ссылка = Права.Пользователь


ГДЕ


Права.Роль.Наименование = "Полные права"


И НЕ Пользователи.Наименование В ВЫБОРКЕ ("Администратор", "Системный")

FAQ: Быстрые ответы на частые вопросы

Как дать пользователю права только на просмотр, без редактирования?

Создайте роль с правами только на чтение (Просмотр) для нужных объектов (справочников, документов). В типовой конфигурации часто есть готовая роль ПросмотрДанных.

Почему пользователь с полными правами не видит некоторые документы?

Вероятно, включены ограничения по датам или подразделениям на уровне конфигурации. Проверьте настройки в Администрирование → Настройка прав доступа → Ограничения.

Как запретить пользователю печатать отчёты?

Уберите у него роль ПечатьОтчётов или настройте RLS-ограничение на вывод данных в внешние файлы. В некоторых конфигурациях это делается через роль ЭкспортДанных.

Можно ли настроить права так, чтобы менеджер видел только свои сделки?

Да, используйте RLS-ограничения по полю Ответственный в документах Заказ клиента или Реализация товаров. Пример условия: Ответственный = &ТекущийПользователь.

Как перенести права пользователей при переходе на новую версию 1С?

При обновлении конфигурации права сохраняются, но новые объекты (документы, справочники) могут требовать дополнительных ролей. После обновления:

  1. Проверьте журналы ошибок на предмет проблем с доступом.
  2. Обновите профили групп доступа, добавив роли для новых объектов.
  3. Протестируйте работу ключевых пользователей.