Контроль доступа в 1С:Предприятие — основа безопасности бизнес-процессов компании. Неправильно настроенные права могут привести к утечке данных, ошибкам в учёте или даже блокировке работы системы. Эта статья поможет разобраться, как грамотно распределить права между сотрудниками, избегая типичных ошибок.

Мы рассмотрим не только базовые настройки через роли и профили, но и нюансы работы с ограничениями по организациям, документооборотом и администрированием прав в распределённых базах. Особое внимание уделим скрытым настройкам, которые часто упускают администраторы — например, наследование прав при копировании пользователей или автоматическое назначение ролей по должностям.

Инструкции актуальны для 1С:Предприятие 8.3 (все редакции), включая облачные и файловые варианты работы. Если вы используете специализированные конфигурации (1С:Бухгалтерия, 1С:ЗУП, 1С:ERP), учтите: некоторые роли и настройки могут отличаться — их мы тоже затронем.

1. Базовые понятия: роли, профили и уровни доступа

Прежде чем приступать к настройке, важно понять терминологию . Роль — это набор прав на выполнение определённых действий (например, «Просмотр справочников» или «Проводка документов»). Профиль доступа — готовый шаблон ролей для типичных должностей (бухгалтер, менеджер, директор). Уровень доступа определяет, какие данные видит пользователь: все организации, только свою или конкретные подразделения.

В действует принцип минимальных привилегий: пользователю дают только те права, которые необходимы для работы. Например, кладовщику не нужны права на редактирование зарплатных ведомостей, а бухгалтеру — доступ к складским остаткам конкурентов.

  • 🔑 Роли — атомарные права (например, «Чтение справочника Номенклатура»). Их комбинируют в профили.
  • 👤 Профили — готовые наборы ролей для должностей («Кассир», «Руководитель отдела»).
  • 🏢 Уровни доступа — ограничения по организациям, подразделениям или видам документов.
  • 🔒 Исключения — индивидуальные права, которые перекрывают профиль (например, запрет на редактирование цен для конкретного менеджера).

Важно: в 1С:ERP и 1С:КА 2.5 добавлены роли по бизнес-процессам (например, «Утверждение заказов»). Их настройка требует отдельного внимания, так как они привязаны к этапам документооборота.

📊 Какую конфигурацию 1С вы используете?
1С:Бухгалтерия
1С:ЗУП
1С:ERP
1С:УТ
1С:КА
Другая

2. Пошаговая инструкция: как назначить права пользователю

Рассмотрим процесс на примере 1С:Бухгалтерия 3.0. Алгоритм аналогичен для других конфигураций, но пути в меню могут отличаться.

  1. Откройте Администрирование → Пользователи (в некоторых версиях путь: Сервис → Пользователи).

  2. Выберите существующего пользователя или создайте нового кнопкой Создать.

  3. На вкладке Права доступа нажмите Назначить роли.

  4. В списке профилей отметьте нужные (например, «Бухгалтер» или «Менеджер по продажам»). Для тонкой настройки перейдите на вкладку Роли и выберите отдельные права.

  5. На вкладке Ограничения доступа укажите, какие организации и подразделения видит пользователь.

  6. Сохраните изменения и проверьте права, войдя под учётной записью пользователя (используйте Файл → Открыть как...).

Убедитесь, что пользователь видит только свои организации|Проверьте доступ к критичным документам (например, платежкам)|Протестируйте создание и редактирование документов|Проверьте отчёты — нет ли лишних данных

-->

Если нужного профиля нет, его можно создать самостоятельно:

  1. Перейдите в Администрирование → Настройки пользователей и прав → Профили групп доступа.

  2. Нажмите Создать и укажите название (например, «Менеджер по закупкам»).

  3. На вкладке Роли отметьте необходимые права (например, «Редактирование заказов поставщикам» + «Просмотр справочника Номенклатура»).

  4. На вкладке Ограничения укажите, какие документы и справочники доступны.

💡

Если в списке ролей нет нужной, проверьте, не скрыта ли она в разделе «Дополнительные роли» (в некоторых конфигурациях они группируются по модулям).

3. Ограничение доступа по организациям и подразделениям

В многопрофильных компаниях или холдингах критично разграничить доступ по юридическим лицам. Например, бухгалтер дочерней фирмы не должен видеть данные головного офиса. Для этого:

  1. В карточке пользователя перейдите на вкладку Ограничения доступа.

  2. В разделе Организации снимите флажок Все организации и отметьте только те, которые нужны пользователю.

  3. Аналогично настройте Подразделения, если требуется ограничить доступ по отделам.

Для сложных структур (например, в 1С:ERP) используйте группы доступа:

  • 📌 Создайте группу в Администрирование → Настройки пользователей и прав → Группы доступа.
  • 📌 Укажите организации, подразделения и виды документов, доступные группе.
  • 📌 Назначьте пользователей в группу на вкладке Состав.
Тип ограничения Пример использования Где настраивается
По организациям Бухгалтер филиала видит только данные своего ООО Карточка пользователя → Ограничения доступа → Организации
По подразделениям Менеджер отдела продаж не видит заказы коллег из другого отдела Карточка пользователя → Ограничения доступа → Подразделения
По видам документов Кладовщик видит только приходные накладные, но не расходные Профиль группы доступа → Ограничения по видам документов
По реквизитам Менеджер видит цены в справочнике, но не может их редактировать Роли → Права на реквизиты (требует доработки конфигурации)
⚠️ Внимание: В 1С:ЗУП 3.1 ограничения по организациям работают иначе — они привязаны к кадровым данным сотрудника. Если пользователь привязан к организации «А», он автоматически видит только её данные, даже если вручную назначить другие организации. Это часто становится причиной ошибок!

4. Распространённые ошибки и как их избежать

Даже опытные администраторы допускают ошибки при настройке прав. Вот самые критичные:

  • 🚫 Копирование пользователей без проверки прав. При копировании карточки пользователя копируются и все его права, включая индивидуальные исключения. Всегда проверяйте настройки после копирования!
  • 🚫 Игнорирование ролей «Полные права». Роль Администрирование или Полные права даёт неограниченный доступ. Назначайте её только техническим специалистам.
  • 🚫 Забытые «тестовые» пользователи. После тестирования удаляйте временных пользователей — они могут стать лазейкой для несанкционированного доступа.
  • 🚫 Несогласованные права в распределённой базе. В 1С:Предприятие с несколькими информационными базами права надо настраивать отдельно для каждой!

Ещё одна типичная проблема — конфликт ролей. Например, если пользователю назначены две роли: одна разрешает редактирование документов, а другая — только просмотр. В таком случае действует наиболее разрешающее правило (т.е. редактирование будет доступно). Чтобы избежать конфликтов:

  1. Используйте минимальное количество ролей.

  2. Проверяйте права с помощью отчёта Анализ прав пользователей (доступен в Администрирование → Отчёты по администрированию).

  3. Для сложных случаев создавайте индивидуальные роли с чётким описанием прав.

Как проверить, какие права есть у пользователя?

В меню Администрирование → Отчёты по администрированию выберите отчёт «Права пользователей». Он покажет все роли, профили и ограничения для выбранного пользователя, включая унаследованные права из групп доступа. В некоторых конфигурациях (например, 1С:ERP) этот отчёт называется «Анализ прав доступа».

5. Особенности настройки прав в облачной 1С

В 1С:Fresh и других облачных решениях настройка прав имеет нюансы:

  • 🌐 Нет прямого доступа к файловой системе. Все настройки делаются через веб-интерфейс.
  • 🔐 Ограниченные роли для внешних пользователей. Например, в 1С:Fresh нельзя назначить роль «Администрирование» пользователю без прав доступа к платформе.
  • 📡 Автоматическое обновление ролей. После апдейта конфигурации некоторые роли могут измениться — проверяйте права после обновлений!

Для настройки прав в облаке:

  1. Войдите в личный кабинет 1С:Fresh (или другой облачный сервис).

  2. Перейдите в раздел Пользователи и права.

  3. Выберите пользователя и нажмите Изменить права.

  4. Назначьте профили или роли (список может отличаться от файловой версии!).

  5. Сохраните изменения и проверьте доступ через тестовый вход.

⚠️ Внимание: В облачных версиях 1С:ЗУП и 1С:Бухгалтерия некоторые роли (например, «Настройка обмена данными») могут быть заблокированы по умолчанию. Для их активации требуется запрос в поддержку .

6. Автоматизация назначения прав: группы доступа и бизнес-процессы

В крупных компаниях назначать права каждому пользователю вручную неэффективно. Для автоматизации используйте:

  • 🤖 Группы доступа — шаблоны прав для должностей (например, «Все менеджеры по продажам»).
  • 📝 Бизнес-процессы — в 1С:ERP и 1С:КА 2.5 права можно привязать к этапам процесса (например, «Утверждение сделки»).
  • 🔄 Обмен данными — при синхронизации с 1С:ЗУП права можно назначать автоматически по должностям из кадровых данных.

Пример настройки группы доступа:

  1. Создайте группу в Администрирование → Настройки пользователей и прав → Группы доступа.

  2. Укажите название (например, «Менеджеры по продажам — Московский филиал»).

  3. На вкладке Права выберите профиль (например, «Менеджер по продажам»).

  4. На вкладке Ограничения укажите организации и подразделения (только «Московский филиал»).

  5. На вкладке Состав добавьте пользователей.

Для автоматизации по должностям:

  1. В 1С:ЗУП настройте соответствие должностей и ролей в Настройки → Кадровый учёт → Соответствие должностей и ролей.

  2. Включите автоматическое назначение ролей при приёме сотрудника на работу (флажок Назначать роли автоматически).

💡

Группы доступа экономят время администрирования, но требуют регулярного аудита. Например, при увольнении сотрудника его надо исключить из всех групп, иначе права останутся.

7. Аудит и мониторинг прав пользователей

Настройка прав — это только половина дела. Важно регулярно проверять, кто и какие права имеет. Для этого:

  • 🔍 Используйте отчёт Анализ прав пользователей (путь: Администрирование → Отчёты по администрированию).
  • 📊 Проверяйте журнал регистрации на подозрительные действия (например, массовое удаление документов).
  • 🔄 Настройте уведомления о изменениях прав (в некоторых конфигурациях это делается через Настройки → Уведомления).

Пример проверки через журнал регистрации:

  1. Откройте Администрирование → Журналы регистрации.

  2. Установите фильтр по событиям Изменение прав доступа или Вход в систему.

  3. Проверьте, не было ли несанкционированных изменений (например, назначение роли «Администрирование» не тому пользователю).

Для сложных проверок используйте внешние отчёты (например, Полный анализ прав доступа из библиотеки 1С:ИТС). Они показывают:

  • 📋 Все назначенные роли и профили.
  • 🔓 Конфликты прав (например, когда одна роль разрешает действие, а другая — запрещает).
  • 🚪 «Дыры» в безопасности (например, пользователи с правами на редактирование зарплатных ведомостей).

Часто задаваемые вопросы

Как дать пользователю доступ только к одному справочнику?

Создайте новую роль с правом на просмотр/редактирование нужного справочника (например, «Редактирование справочника Контрагенты»). Затем назначьте её пользователю через карточку прав. Убедитесь, что у пользователя нет других ролей, дающих доступ к другим справочникам.

Почему пользователь не видит документы, хотя права назначены?

Проверьте:

  1. Ограничения по организациям и подразделениям (возможно, документ относится к другой организации).
  2. Дата документа — некоторые роли ограничивают доступ по периодам.
  3. Статус документа (например, пользователь может видеть только проведённые документы).
  4. Настройки видимости в самом документе (в некоторых конфигурациях есть флажок «Скрыть от пользователей»).
Можно ли ограничить доступ к определённым реквизитам документа?

Да, но это требует доработки конфигурации. Стандартными средствами можно ограничить доступ только ко всему документу или справочнику. Для ограничения по реквизитам (например, скрыть поле «Себестоимость» в справочнике номенклатуры) нужно:

  1. Открыть конфигуратор (Файл → Конфигуратор).
  2. Найти объект (документ или справочник) и добавить программную проверку прав на уровне формы или модуля.
  3. Создать новую роль с правом на доступ к конкретному реквизиту.

Без навыков программирования на лучше обратиться к специалисту.

Как отменить все права у пользователя, кроме просмотра?

Назначьте пользователю только роль Просмотр данных (или аналогичную, в зависимости от конфигурации). Убедитесь, что у него нет других ролей или профилей, дающих дополнительные права. В некоторых конфигурациях (например, 1С:ERP) есть специальный профиль «Чтение данных» — его можно использовать как шаблон.

Что делать, если после обновления 1С пропали права?

Это типичная проблема при апдейтах конфигурации. Порядок действий:

  1. Проверьте журнал обновлений — возможно, некоторые роли были переименованы или удалены.
  2. Сравните текущие права пользователей с резервной копией (если она есть).
  3. Восстановите права вручную или через групповую обработку (например, отчёт «Сравнение и перенос прав»).
  4. Если проблема массовая, обратитесь в поддержку с логами обновления.

В будущем перед обновлением делайте резервную копию прав (например, через отчёт «Выгрузка прав пользователей»).