Администраторам информационных баз часто приходится сталкиваться с необходимостью экстренно ограничить или полностью прекратить работу пользователей в системе 1С:Предприятие. Это может потребоваться при проведении регламентных работ, обновлении конфигурации, устранении критических ошибок или при подозрении на несанкционированные действия. Понимание того, как корректно закрыть доступ, является фундаментальным навыком для любого системного администратора.
Существует несколько уровней ограничения доступа: от мягкого запрета на вход новым пользователям до жесткого разрыва активных сеансов связи. Важно различать эти методы, так как неправильные действия могут привести к повреждению данных или зависанию транзакций. В этой статье мы разберем все доступные инструменты управления сеансами и безопасностью.
Управление сеансами через консоль администрирования
Самый быстрый и эффективный способ закрыть доступ к работающей базе данных — использование консоли администрирования серверов 1С:Предприятия. Этот инструмент позволяет видеть все активные подключения в реальном времени и управлять ими централизованно. Для начала работы необходимо запустить утилиту ras или воспользоваться графическим интерфейсом, если он настроен в вашей инфраструктуре.
В списке сеансов отображается подробная информация: имя пользователя, компьютер, с которого выполнено подключение, и текущее выполняемое действие. Если вам нужно закрыть доступ конкретному сотруднику, найдите его сеанс в списке. Выделите строку и нажмите кнопку «Завершить сеанс». Система отправит сигнал клиентскому приложению о принудительном разрыве соединения.
☑️ Подготовка к блокировке сеансов
При массовом завершении сеансов важно учитывать фоновые задания. Если в момент разрыва выполнялась сложная проводка или формировался отчет, данные могут остаться в незакоммиченном состоянии. Поэтому перед применением жестких мер рекомендуется проверить статус фоновых заданий в той же консоли.
⚠️ Внимание: принудительное завершение сеанса не отменяет уже записанные в базу изменения, если транзакция была зафиксирована. Однако прерывание в середине сложной операции может потребовать ручной проверки целостности данных.
Регламентные работы и режим исключительного доступа
Для планового обновления конфигурации или выгрузки данных наиболее правильным способом является включение режима исключительного доступа. Это штатная функция платформы, которая позволяет завершить текущие сеансы и запретить вход новым пользователям на время технических работ. Переход в этот режим осуществляется через конфигуратор.
Запустите базу в режиме Конфигуратор. В меню выберите пункт Администрирование, затем Сеансы. В открывшемся окне установите галочку «Запретить регистрацию новых сеансов». После этого нажмите кнопку «Завершить сеансы». Система попытаться корректно закрыть все активные подключения, давая пользователям время сохранить свои данные.
Что делать, если сеанс не завершается?
Иногда сеанс может зависнуть на уровне операционной системы или сетевого оборудования. В таком случае режим исключительного доступа не сработает до тех пор, пока зависший процесс не будет убит администратором ОС или не истечет таймаут соединения.
Пока установлен запрет на регистрацию, новые пользователи при попытке входа получат сообщение о том, что работа в базе временно недоступна. Это наиболее безопасный метод, так как он гарантирует целостность метаданных и данных при внесении изменений в конфигурацию.
Режим исключительного доступа — единственный способ гарантированно безопасного изменения структуры метаданных или проведения глобальных обработок данных.
Ограничение прав через роли и профили групп доступа
Если ваша цель — закрыть доступ не технически, а логически (например, отстранить сотрудника от работы без удаления его учетной записи), наиболее гибким инструментом является редактирование прав доступа. В современных версиях 1С:ЗУП, 1С:ERP и 1С:Бухгалтерия управление правами осуществляется через профили групп доступа.
Зайдите в раздел Настройка пользователей и прав. Найдите нужного пользователя в списке. Вместо того чтобы удалять его, измените назначенный профиль группы доступа. Вы можете создать специальный профиль «Без прав» или «Заблокирован», в котором сняты все галочки разрешений. При сохранении изменений пользователь потеряет возможность открывать документы или справочники.
- 🔒 Полное отсутствие прав делает интерфейс программы практически пустым для пользователя.
- 👤 Учетная запись остается в базе, что сохраняет историю действий сотрудника в журналах регистрации.
- ⏱ Возврат доступа занимает несколько секунд — достаточно вернуть старый профиль группы.
Этот метод предпочтителен в ситуациях, когда требуется временная блокировка, например, на время отпуска или служебного расследования. Он не требует остановки работы всей базы и не влияет на других сотрудников.
⚠️ Внимание: изменение прав доступа вступает в силу только после переподключения пользователя к базе. Если сеанс уже активен, новые ограничения не применятся до следующего входа.
Блокировка на уровне пользователей информационной базы
В классических конфигурациях и при работе в режиме предприятия существует возможность блокировать конкретных пользователей непосредственно в списке пользователей информационной базы. Этот метод работает на уровне аутентификации: система просто не пустит человека внутрь, даже если у него есть верный пароль.
Для реализации этого метода необходимо иметь права администратора базы данных. Перейдите в меню Администрирование -> Пользователи. Найдите необходимую учетную запись. В свойствах пользователя часто встречается флажок «Активный» или аналогичный переключатель статуса. Снятие этого флага делает учетную запись недействительной.
В некоторых старых версиях платформ или специфических конфигурациях может потребоваться использование внешней обработки для массовой блокировки. Однако стандартный механизм предполагает именно деактивацию учетной записи. Это надежный способ закрыть доступ навсегда или на долгий срок, например, при увольнении сотрудника.
| Метод блокировки | Скорость действия | Влияние на других | Обратимость |
|---|---|---|---|
| Завершение сеанса | Мгновенно | Нет | Пользователь может войти снова |
| Исключительный режим | После сохранения | Блокирует всех | Требуется снятие режима |
| Снятие прав (роли) | При новом входе | Нет | Мгновенно |
| Деактивация пользователя | При новом входе | Нет | Требует прав админа |
Защита на уровне операционной системы и сети
Иногда программные методы 1С оказываются недоступны, например, при зависании самого сервера приложений или атаке вируса-шифровальщика. В таких экстренных случаях закрыть доступ можно только на уровне операционной системы или сетевого оборудования. Это «тяжелая артиллерия», которую следует применять с осторожностью.
Вы можете заблокировать порты, используемые сервером ragent (по умолчанию диапазон 1540-1541 и выше), с помощью брандмауэра Windows или Linux. Также возможно временно отключить сетевой интерфейс сервера или заблокировать MAC-адреса рабочих станций нарушителей на коммутаторе.
netsh advfirewall firewall add rule name="Block 1C" dir=in action=block protocol=TCP localport=1540-1560Такой подход гарантированно обрывает соединение, но имеет серьезные побочные эффекты. abruptly разрыв TCP-сессий может привести к тому, что сервер 1С посчитает клиентов «зависшими» и будет долго удерживать блокировки на уровнях данных. После восстановления связи может потребоваться перезапуск службы сервера 1С.
Перед блокировкой портов обязательно сохраните дампы активных транзакций, если есть возможность, чтобы позже проанализировать, какие данные могли пострадать от резкого обрыва связи.
⚠️ Внимание: блокировка на уровне сети не позволяет базе данных корректно завершить транзакции. Используйте этот метод только в случае прямой угрозы безопасности или полной неработоспособности программных средств управления.
Автоматизация контроля доступа и безопасность
Для крупных предприятий ручное управление доступом становится неэффективным. Рекомендуется внедрять автоматизированные системы контроля, которые реагируют на события безопасности. Например, можно настроить скрипты, которые автоматически завершают сеансы пользователей, работающих в нерабочее время или с необычных IP-адресов.
Использование журналов регистрации позволяет отслеживать попытки несанкционированного доступа. Если вы видите множество неудачных попыток входа, это сигнал к тому, чтобы временно закрыть доступ ко всей базе или сменить пароли администраторов. Интеграция 1С с системами SIEM позволяет реагировать на инциденты в реальном времени.
Регулярный аудит прав доступа — лучшая профилактика проблем. Раз в квартал проверяйте, у кого есть полные права администратора, и отзывайте их у тех, кому они не нужны для текущих задач. Принцип наименьших привилегий значительно снижает риски утечки данных или случайного повреждения конфигурации.
Как закрыть доступ в 1С всем пользователям сразу?
Самый быстрый способ — включить режим исключительного доступа через конфигуратор (меню Администрирование -> Сеансы -> Запретить регистрацию новых сеансов). Это остановит работу всех пользователей после завершения их текущих транзакций.
Можно ли закрыть доступ конкретному документу?
Да, это делается через настройку прав доступа (ролей). Создайте роль, в которой сняты права на чтение или запись конкретного вида документа, и назначьте эту роль пользователю.
Что делать, если пользователь не выходит из базы?
Если пользователь игнорирует просьбы выйти, администратор может принудительно завершить его сеанс через консоль администрирования серверов 1С или через меню «Сеансы» в режиме предприятия (при наличии прав).
Влияет ли блокировка пользователя на фоновые задания?
Нет, фоновые задания выполняются от имени системного пользователя или регламентного пользователя. Блокировка физического сотрудника не остановит автоматические процессы, если они не привязаны жестко к его сеансу.
Как проверить, кто сейчас работает в базе?
Список активных пользователей доступен в меню «Администрирование» -> «Сеансы» в режиме Предприятия, либо через консоль администрирования серверов 1С в разделе «Информационные базы» -> «Сеансы».