Администрирование прав доступа пользователей

[конспект админа] Меньше администраторов всем

Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования.

Сотрудникам, ответственным за определенные серверы и рабочие станции совсем не обязательно выдавать права «администратор домена». Хоть не по злому умыслу, по ошибке, но это может подпортить всем жизнь, а то и стоить чьих-то выходных. Под катом детально разберем принцип предоставления минимальных прав как одну из технологий предоставления минимальных прав.

Ограниченные группы

В качестве примера из практики могу привести грустную историю со счастливым концом. В организации исторически сложилось, что сервер печати находился на контроллере домена. В один прекрасный момент сотруднику отдела IT понадобилось перепрошить принтер, что он и проделал, запустив китайскую утилиту на сервере. Принтер заработал, но вот утилита в процессе перепрошивки перевела время на несколько лет назад. Active directory не очень любит путешественников во времени, и контроллер домена благополучно отправился в «захоронение» (tombstone).

Инцидент добавил седых волос, но второй контроллер домена спас ситуацию: роли FSMO перевели на него, а путешественника во времени повторно сделали контроллером домена. С тех пор в компании права «администратора домена» нужно заслужить.

Для профилактики подобных ситуаций неплохо будет выдавать желающим ровно столько прав, сколько нужно: если нужно администрировать только рабочие станции, достаточно выдать права только на компьютеры пользователей.

Когда компьютеров немного, включить доменную группу безопасности «helpdesk» в локальную группу «администраторы» можно и руками. А вот на большом объеме приходят на помощь групповые политики. Удобных способов два.

Первый способ: через Группы с ограниченным доступом (Restricted groups), расположенные в групповых политиках по адресу Конфигурация компьютера – Политики – Параметры безопасности.

Расположение политик Restricted groups.

Далее нужно создать группу «Администраторы» и добавить в нее нужную группу. Есть только один нюанс – если сделать именно так, то из локальной группы «Администраторы» исчезнут все, кроме встроенного администратора и самой группы. Даже Domain Admins:

Добавляем группу «Администраторы», в которую добавляем группу helpdesk.

И получаем локальную группу «Администраторы» без Domain admins.

Конечно, эту возможность можно использовать и во благо – зачистить локальные группы от лишних участников. Если же хочется избежать такой зачистки, то можно создать в «Группах ограниченного доступа» доменную группу и ее же назначить входящей в группу «Администраторы»:

При такой настройке локальная группа «Администраторы» не будет зачищена.

Вторым способом является настройка Предпочтения Групповых Политик (Group Policy Preference, далее – GPP). Искать следует в Конфигурации компьютера – Настройка – Локальные пользователи и группы.

Настройка группы безопасности через GPP.

Как и все настройки в GPP, эта проще в понимании и с более дружелюбным интерфейсом. Но если у вас в инфраструктуре присутствуют не обновленные Windows XP или даже Windows 2000, то остается только первый вариант.

Таким же способом можно дать права и на определенные серверы нужным сотрудникам. Например, дать права группе разработчиков на тестовый стенд.

Использование встроенных групп безопасности

Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.

Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.

Группа	Описание
Администраторы	Полные права на систему.
Пользователи	Возможность пользоваться без изменения системных параметров и без записи в системные разделы. Фактически пользователь – полноценный хозяин только в папке своего профиля.
Операторы архива	Группа, предназначенная для выполнения резервного копирования и восстановления. Участники группы могут завершать работу системы на серверах и переопределять права доступа в целях резервного копирования.
Опытные пользователи	Участники этой группы могут администрировать локальные учетные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки).
Пользователи удаленного рабочего стола	Членство дает возможность подключаться к компьютеру по RDP
Операторы печати	Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати.
Операторы настройки сети	Могут менять настройки сетевых интерфейсов. Это полезная группа на случай если нужно переназначать получение адреса сетевой картой с автоматического на статическое. Мобильные пользователи скажут спасибо, если добавить их в эту группу.
Операторы учета	Пользователи в этой группе могут создавать/удалять/редактировать/перемещать учетные записи в Active Directory. Удобно дать эти права для сервиса, автоматически заводящего учетки сотрудников после приема на работу.

Познакомиться со всеми группами и более полным описанием можно в официальной документации.

Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.

Настройка прав доступа через групповые политики.

Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.

Вообще лучше всегда все документировать. Представьте ситуацию, что вы уволились из организации и вместо вас пришел человек с улицы. Поставьте себя на место этого человека. Если начал дергаться глаз или зашевелились волосы – посвятите время написанию документации. Пожалуйста!

Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.

Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 102016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.

Достаточно администрирования

Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.

Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.

Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.

Читать еще: Почему при закрытии таблицы программа access

Проверка версии и разрешение удаленных подключений при помощи PS.

Создадим группу безопасности и специального пользователя:

Теперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:

А затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:

Теперь необходимо подготовить файл сессии PowerShell:

Зарегистрируем файл сессии:

Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:

Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.

Доступ к серверу ограничен управлением одной виртуальной машиной.

Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.

Интерфейс JEA Toolkit Helper.

При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.

Журнал выполнения PowerShell.

Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.

Файловый журнал JEA.

С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».

Пользователи и права доступа

В жизни сайта может участвовать неограниченное количество участников (пользователей), а именно: администратор, технический специалист (скорее всего, он же программист), контент-менеджер и т. д. Простой посетитель сайта так же имеет свои права на сайте, как правило, они ограничиваются самыми простыми действиями: просмотр сайта, заполнение каких-либо форм и т. п. Каждый из зарегистрированных пользователей должен:

иметь свои логин и пароль;
принадлежать к одной из групп;
иметь права на осуществление какой-либо деятельности на сайте.

По умолчанию на свежеустановленной системе NetCat добавлены 4 группы пользователей:

Рис.1 — Группы пользователей

Любое из данных наименований является условным и может быть переименовано. Для переименования необходимо нажать на заголовок группы и внести свои изменения:

Рис.2 — Внесение изменений

Вы можете удалить существующие группы и добавить новые, нажав на кнопку «Добавить группу»:

Рис.3 — Добавить группу

Вы также можете удалить существующие группы и добавить свои. Мы оставим для изучения первые 2 группы: «Администраторы» и «Внешние пользователи».

Каждая из этих групп должна содержать свои права. По умолчанию они отсутствуют. Для настройки группы и добавления ей прав необходимо нажать на пиктограмму шестерёнки напротив выбранной группы:

Рис.4 — Редактируем группу

Переходим на вкладку «Права» и видим сообщение, информирующее о том, что «У данной группы нет прав»:

Рис.5 — Сообщение об отсутствии прав

Для присвоения прав необходимо нажать на кнопку «Присвоить права»:

Рис.6 — кнопка «Присвоить права»

В открывшемся окне, необходимо выбрать тип прав для данной группы:

Рис.7 — Выбор типов прав для данной группы

На данном моменте давайте остановимся подробнее и выясним, кто есть кто в данной иерархии.

1. Директор. Является самым главным на сайте. Пользователь с данными правами может управлять структурой сайта, инструментами разработчика, контентом (содержимым сайта), другими пользователями и т. п.

2. Супервизор. Имеет аналогичные права, а именно: может управлять структурой сайта, инструментами разработчика, контентом (содержимым сайта), но не может управлять пользователями, имеющими права «Директор». Иначе говоря, супервизор не может ни зарегистрировать пользователя с правами «Директор», ни удалить его, ни изменить ему права или регистрационные данные.

3. Редактор. Быть может самая распространённая «должность» для зарегистрированного пользователя, поскольку она является собирательной. Определить права этого типа пользователей нужно вам самим. Пользователь с правами «Редактор» имеет права на управление сайтом, разделом или компонентом в разделе.

При присвоении редактору прав администратора сайта необходимо указать, на какие именно операции с сайтом данному пользователю даются права.

Существует 6 типов операций:

Просмотр. Пользователь будет иметь возможность смотреть любые страницы сайта, даже «закрытые» от обычных пользователей.
Добавление. Пользователь сможет добавлять данные в любой раздел сайта.
Изменение. Пользователь сможет изменять добавленные им объекты на сайте.
Подписка. Пользователю будет дано право подписаться на обновления любых данных (если подписка настроена).
Модерирование. Данный тип операций обозначает возможность изменять и удалять любые данные (объекты) на сайте.
Администрирование. Пользователь с этими правами сможет работать со структурой сайта: удалять, добавлять и менять разделы, управлять составом компонентов раздела.

Включив галочку «Модерирование», все вышеуказанные действия будут включены автоматически, и все галочки будут проставлены также автоматом.

Рассмотрим управление правами доступа для пользователей на примере функционала новостей (Добавление новостей). Для настройки параметров доступа необходимо зайти в редактирование компонента «Новости»

Рис.8 — Управление правами доступа в новостях

В открывающемся меню «Доступ» нужно указать все необходимые параметры.

4. Управление пользователями. Имеет возможность управлять (добавлять, изменять, удалять) пользователями, не имеющими прав в системе.

5. Администратор списка. Имеет права на управление списками (город, пол, регион и т.д.).

6. Подписчик. Имеет право подписаться на выбранную рассылку.

7. Ограничение в правах. Для данной группы права настраиваются весьма гибко.

Рис.9 — Настройка прав

8. Гость. Данный пользователь может просматривать систему администрирования (при установленных настройках), но любые другие действия ему запрещены. Такие возможности хороши для показа клиенту административной части сайта перед сдачей, к примеру.

Каждой из вышеперечисленных групп можно задать ограничение действия по времени.

Рис.10 — Ограничение действия по времени

После того, как вы настроите все группы и их права для работы с сайтом (сайтами), вы можете каждого из пользователей подключить к той или иной группе. Для этого необходимо зайти в меню «Пользователи»:

Рис.11 — меню «Пользователи»

Перед вами появится список зарегистрированных пользователей:

Рис.12 — Список зарегистрированных пользователей

Для редактирования прав конкретного пользователя необходимо нажать на пиктограмму шестерёнки напротив выбранного пользователя.

Рис.13 — Пиктограмма шестерёнки

В открывшемся окне переходим на вкладку «Пользователь».

Рис.14 — Таблица прав пользователя

и выполняем необходимые настройки, а именно:

указываем, включён ли пользователь;
имеет ли он доступ в административный раздел;
выбираем группу пользователя. Есть возможность выбора всех групп;
выбираем сайт, на котором будет авторизован пользователь.

Читать еще: Администраторы профиля организации

Во второй вкладке страницы пользователя «Права» есть возможность установки прав на конкретный раздел сайта путём выбора разрешённых действий:

Рис.15 — Таблица прав пользователя

Для добавления нового раздела необходимо нажать на кнопку «Присвоить новые права»:

Рис.16 — Присвоить новые права

В открывшемся окне необходимо выбрать «Тип прав» и далее, в соответствии с выбранным типом, все остальные настройки: сущность, сайт и типы доступа.

Подобные разграничения необходимы, их очень удобно использовать в том случае, если в вашей организации располагается большое количество отделов, и каждый из них размещает на сайте свою специфичную информацию. В этом случае мы создаём необходимые группы пользователей, этим группам прописываем необходимые права и добавляем самих пользователей.

Администраторам: код, с помощью которого можно ограничить вывод необходимой информации в шаблоне:

По такому же принципу можно задать ограничения для других групп.

Администрирование прав пользователей

Комплекс обеспечивает многопользовательский доступ к элементам структуры сметных документов и к базам нормативов.

Управление таким доступом реализовано путем администрирования прав пользователей с графическим отображением перечня действий в отношении перечисленных объектов обработки и указанием состава действий, разрешенных конкретному пользователю. Набор допустимых действий (просмотр, изменение, создание, удаление, печать, экспорт) обеспечивает полнофункциональную работу с каждым элементом структуры.

Рекомендуется создавать учетную запись для каждого пользователя, так как большинство настроек Комплекса зависит от введенных при его запуске имени и пароля. Кроме этого, при работе в сетевом режиме невозможен одновременный вход в систему нескольких пользователей под одним именем.

Список пользователей задается администратором (учетная запись Администратор) Комплекса с указанием паролей индивидуального доступа (текстовое значение произвольной длины). Разрешено создание функциональных групп пользователей с распределением пользователей по таким группам с наследованием прав по группе для прав пользователей, включенных в данную группу. Кроме того, администратор имеет возможность индивидуально изменять наследованные права доступа применительно к конкретному пользователю.

Функция администрирования прав доступна через главное меню Комплекса Настройки —> Администрирование —> Пользователи и права (см. рис. 1).

Рис. 1. Настройка прав доступа

Окно прав доступа визуально делится на две части. Левая часть содержит список групп и пользователей, зарегистрированных в системе; правая часть – непосредственно права на выполнение различных действий для пользователя (группы), выбранных в левой части окна.

Комплекс позволяет осуществить настройку прав доступа как на категории прав, так и на конкретные папки и объекты. В последнем случае Комплекс позволит в случае необходимости обеспечить защиту сметной документации для той или иной группы пользователей или конкретных пользователей в группе.

В Комплексе по умолчанию созданы три группы пользователей, в каждой из которых есть один пользователь. Данное разделение условно и представлено в качестве примера.

Права доступа (правая часть окна) делится логически на две части:

·Общие права доступа (вкладка Права доступа). Это глобальная категория прав, не относящихся к конкретным объектам, а также права по объектам для всех элементов структуры, присутствующих в дереве объектов (см. рис. 1);

·Права доступа для элементов структуры (вкладка Объекты). Позволяет назначить права пользователю с детализацией до конкретного объекта (папки) (см. рис. 2).

Рис. 2. Настройка прав доступа для элементов структуры

Назначение любых прав на папку ведет к назначению этих прав на все дочерние элементы — папки и объекты. Назначение прав на дочерние элементы идет только в том случае, если на этот элемент не были ранее назначены свои права. Если же они были назначены, то такой элемент становится сам родителем с точки зрения распространения прав и не подчиняется изменению прав своих родителей.

Работа с узлом Объекты аналогична работе с любым узлом-папкой. Существует возможность запретить пользователям работу в корневой папке Объекты, но разрешить в своей личной папке.

Для сброса собственных прав у всех дочерних элементов папки нужно щелкнуть по иконке права доступа правой клавишей мыши и в выпадающем меню выбрать соответствующее действие (см. рис. 3).

Рис. 3. Настройка прав доступа для дочерних элементов узла-папки

Программа запросит подтверждение о действии над всеми дочерними элементами (см. рис. 4) и, после положительного ответа, сбросит у них собственные права.

Рис. 4. Подтверждение действия над элементами

Если на объект (папку) назначены конкретные права, то при проверке прав доступа используются они, в противном случае используются права, назначенные на элемент-родитель (папку, в которую входит проверяемый элемент). Если права не назначены ни на один из родителей проверяемого объекта, то проверка происходит по глобальному праву (заданному на закладке Права доступа).

Права доступа на группу пользователей используются для быстрого назначения прав всем пользователям, входящим в группу. При изменении прав доступа на группе запрашивается подтверждение на распространение прав на всех пользователей группы (см. рис. 5).

Рис. 5. Изменение прав доступа для группы пользователей

При положительном ответе на пользователей группы распространяются все права, заданные на группу. Так же для всех пользователей, добавляемых в конкретную группу, изначально автоматически копируются права доступа с группы пользователей. Кроме того можно скопировать права группы на конкретного пользователя просто потянув мышкой группу к пользователю, при этом будет запрошено подтверждение на назначение прав с группы (см. рис. 6).

Рис. 6. Изменение прав доступа для пользователя

Также можно распространить выделенную в данный момент группу прав с текущего пользователя на всех отмеченных администратором пользователей. Этот режим вызывается нажатием правой кнопки мыши на любом элементе структуры с последующим выбором пункта меню Групповое назначение (см. рис. 7).

Рис. 7. Контекстное меню

В окне Групповое назначение прав (см. рис. 8) сверху показывается элемент структуры, с которого идет распространение прав, и пользователь, с которого возьмется набор прав. Слева перечислены права, справа дерево групп/пользователей. Для распространения прав на группы или на отдельных пользователей следует выставить необходимые галочки в дереве групп/пользователей, после чего нажать на кнопку ОК и подтвердить назначение прав (см. рис. 9).

Рис. 8. Групповое назначение прав

Рис. 9. Подтверждение назначения

Изменение прав пользователей (доступно только для Администратора) возможно либо проставлением галочки в нижней части окна прав доступа, либо нажатием левой кнопки мыши на изображении конкретного действия в колонке Доступные действия (см. рис. 10).

Рис. 10. Изменение прав доступа

Запрещенные пользователю действия отображаются в колонке доступных действий на затемненном фоне, и, соответственно, у них снят переключатель в нижней части окна.

Некоторые действия взаимозависимы, например, при отключении пользователю права на просмотр объекта автоматически для такого пользователя снимаются все остальные права по работе с этим объектом.

Для упрощения работы с объектами в многопользовательском режиме, в секции Менеджера Объекты создана общая папка Обмен (см. рис. 11). Ее назначение — сброс собственных прав элемента, который туда переносится (в отличие от переноса в другую, обычную папку — в этом случае все права на элемент сохраняются). Папка Обмен видна всем пользователям и может быть использована, например, для обмена объектами вместо экспорта-импорта.

Читать еще: Характерные черты административно правового метода

Настройка права доступа 1С 8

В этой статье речь пойдет о настройке прав доступа пользователей к объектам системы 1С.

В 1С 8для управления доступа пользователей используется отдельный объект метаданных, который называется Роли.

Далее мы рассмотрим, как использовать и настраивать роли в 1С предприятие 8.3.

Обратите внимание! Эта статья написана в помощь программистам. Настройка прав в пользовательском режиме на примере 1С Бухгалтерия рассмотрена в данной статье.

Роль определяет набор прав пользователя, которые он имеет. Механизм ролей очень похож на механизмы прав Windows Active Directory. Для каждого из объектов (справочники, документы) разработчик устанавливает свой набор прав — чтение/запись/добавление/изменение/…

Набор доступных прав — совокупность всех разрешений в ролях пользователя.

Ниже мы рассмотрим подробно каждый атрибут метаданных при настройке роли пользователя 1С 8.3.

Общие настройки роли 1С

Если открыть объект метаданных Роль, мы можем увидеть следующую картину:

У объекта есть две закладки — Права и Шаблоны ограничений. Права — основная закладка, Шаблоны — вкладка для настройки прав на уровне записи в 1С (RLS). Это очень важная тема, её я постараюсь описать в будущих статьях.

Будем рассматривать только вкладку Права.

Объекты — список метаданных, на которые будут устанавливаться права.
Права — список возможных для установки настроек прав.
Ограничение доступа к данным — поля роли для настройки РЛС (настроек прав на уровне записей)

Следует обратить внимание на галочки в нижней части:

Устанавливать права для новых объектов — если флаг установлен у роли, на новые объекты метаданных будут автоматически установлены разрешающие права. Рекомендую установить, если Вы часто забываете установить права на новые объекты.
Устанавливать права для реквизитов и табличных частей по умолчанию — флаг, при установке которого реквизиты и табличные части будут наследовать права владельца(справочника, документа и т.д.)
Независимые права подчиненных объектов — если флаг установлен, то система при определении права на объект конфигурации учтёт права на родительский объект

Настройки прав на всю конфигурацию

Если открыть Роль и кликнуть на корень конфигурации, мы увидим следующие настройки:

Подробнее о каждом из прав на всю конфигурацию:

Получите 267 видеоуроков по 1С бесплатно:

Бесплатный видео самоучитель по 1С Бухгалтерии 8.3;
Самоучитель по новой версии 1С ЗУП 3.1;

Администрирование — администрирование информационной базы (требуется наличие права «Администрирование данных»)
Администрирование данных — право на административные действия над данными
Обновление конфигурации базы данных — право на обновление конфигурации базы данных
Монопольный режим — использование монопольного режима
Активные пользователи — просмотр списка активных пользователей
Журнал регистрации — журнал регистрации
Тонкий клиент — право запуска тонкого клиента
Веб клиент — право запуска веб-клиента
Толстый клиент — право роли запуска толстого клиента
Внешнее соединение — право запуска внешнего соединения
Automation — право на использование automation
Режим «Все функции» — доступ к пункту меню «Все функции» в режиме управляемого приложения
Сохранение данных пользователя — разрешение или запрет на сохранение данных пользователя (настроек, избранного, истории). Особенно актуально для 1С управляемых форм.
Интерактивное открытие внешних обработок — открытие внешних обработок
Интерактивное открытие внешних отчетов — открытие внешних отчетов
Вывод — вывод на печать, запись и копирование в буфер обмена

Настройка прав 1С 8.2 на другие объекты метаданных

Для остальных основных объектов (справочники, константы, документы, регистры…), набор прав у роли достаточно стандартен:

Чтение — чтение (программное)
Добавление — добавление (программное)
Изменение — изменение (программное)
Удаление — удаление (программное)
Просмотр — просмотр
Интерактивное добавление — интерактивное добавление
Редактирование — редактирование
Интерактивная пометка удаления — интерактивная пометка на удаление
Интерактивное снятие пометки удаления — снятие пометки на удаление
Интерактивное удаление помеченных— удаление помеченных объектов
Ввод по строке — использование режима ввода по строке
Интерактивное удаление — непосредственное удаление (shift +del)

Права только для документов:

Интерактивное проведение — проведение
Отмена проведения — отмена проведения документов
Интерактивное проведение неоперативное — проведение (стандартными командами форм) документа в неоперативном режиме
Интерактивная отмена проведения — интерактивная отмена проведения
Интерактивное изменение проведенных — редактирование проведенного документа. Если право у роли не установлено, то пользователь не может удалить проведенный документ, установить пометку удаления, перепровести или сделать непроведенным. Форма такого документа открывается в режиме просмотра

Только для регистров накопления и бухгалтерии

УправлениеИтогами — управление итогами регистра бухгалтерии и регистра накопления (установка периода, по который рассчитаны итоги, и пересчет итогов)

Только для обработок и отчетов:

Использование — использование

Привилегированный режим 1С

Если Вы не хотите давать роли права на какие-либо действия, но эти метаданные нужно использовать в какой-то момент, можно воспользоваться методом «УстановитьПривилегированныйРежим()» (или использовать привилегированный режим общего модуля).

Все, что внутри, будет выполняться без проверки прав пользователя.

Доступна ли роль 1С пользователю?

Чтобы узнать, нужно выполнить функцию РольДоступна(), передав туда название роли строкой.
Например:

Нарушение прав доступа

Такую ошибку можно увидеть, если недостаточно прав на чтение/редактирование/удаление данных. Система выдаёт вот такую ошибку:

Чтобы исправить «нарушение прав доступа», необходимо понять, на какой объект пользователю не хватает прав, и добавить ему либо новую роль, либо в существующую роль добавить больше прав.

Объект не найден…

Ошибка, когда в полях отображается некое ( … ):

Как правило, специалисты думают, что это просто так называемая «битая ссылка». Но это не всегда так. Такая ошибка бывает и при неправильно настроенном механизме прав RLS. Это связано с тем, что у пользователя не хватает прав, чтобы получить представление ссылки.

Для того чтобы понять, битая ссылка или нет, просто зайдите в базу под пользователем с полными правами.

Для массового поиска таких ошибок подойдет статья как найти битые ссылки в базе 1С.

P.S. Если у Вас все же не получилось разобраться в ролях пользователей, Вы можете заказать услуги 1С программиста.
Видео с примером настройки прав в 1С бухгалтерии 3.0:

Другие статьи по 1С:

Если Вы начинаете изучать 1С программирование, рекомендуем наш бесплатный курс (не забудьте подписаться на YouTube — регулярно выходят новые видео):

К сожалению, мы физически не можем проконсультировать бесплатно всех желающих, но наша команда будет рада оказать услуги по внедрению и обслуживанию 1С. Более подробно о наших услугах можно узнать на странице Услуги 1С или просто позвоните по телефону +7 (499) 350 29 00. Мы работаем в Москве и области.