Главная-Взыскание ущерба-Обновление прав доступа долгое 1с документооборот. Настройка прав на уровне записей базы данных

Обновление прав доступа долгое 1с документооборот. Настройка прав на уровне записей базы данных

Если вам приходилось работать с 1С: Документооборот 2.0, то вы наверняка заметили, что в ПО-2.1 произошли кардинальные изменения в системном механизме прав доступа. Достоинство доработки заметно с первого взгляда - производить настройку прав стало гораздо легче. Однако обновлённый механизм в отдельных случаях может вызвать противоречия при работе с политиками доступа. Ниже мы подробно разберём обновлённую версию системных прав доступа и узнаем, как правильно осуществлять настройку.

1C: Документооборот 2.1 - настраиваем права доступа

Чтобы разграничить доступ к системным ресурсам для отдельных групп профилей, понадобится зайти в раздел настроек и поместить флажок в окошко, напротив которого поясняется «Использовать ограничение прав доступа».

Когда флажок будет установлен в нужном месте, система отобразит на экране окно, где предлагается осуществить обновление прав. Чтобы продолжить процедуру настройки, необходимо дать положительный ответ, нажав кнопку «Да».

После подтверждения запуска обновления прав пользователь сможет продолжить работать с программой, тогда как системный модуль параллельно займётся очисткой старых прав доступа. Обновление в отложенном режиме позволяет создавать отдельную очередь, в которую попадают крупные задачи, требующие достаточно много ресурсов для их выполнения. Благодаря этому процесс совершается в фоновом режиме и не мешает осуществлять дальнейшую деятельность пользователя.

Перед началом внесения изменений программой в политику доступа пользователь предупреждается, что фоновый режим обновления считается нежелательным вариантом.

Если необходимо повысить уровень безопасности, разрешите вход в рабочий кабинет только по паролю. Для этого понадобится поместить флаг в окошке, запрещающем вход без пароля. Помимо установленной защиты, рекомендуется позволить программному модулю проверять пароли на сложность и выставить ограничения доступа через веб-сервер.

Осуществите самостоятельную проверку настройки группового расчёта элементов очереди (укажите максимальное значение параметра: объём порций дескрипторов). После изменения числового значения программа сможет осуществлять поиск дескрипторов, имеющих такой же вид, в очереди и производить несколько обновлений прав в течение одного вызова.

1C: Документооборот 2.1 - разбор раздела «Полномочия»

Возможно, вы уже заметили, что в версии документооборота 2.1 отсутствует папка профилей группы доступа. Вместо неё в обновлённом документообороте действует справочник «Полномочия». С его помощью вы можете создавать готовые подборки ролей (действий), которые будут разрешены. В них находятся права доступа к группам метаданных.

Вам необязательно формировать новые полномочия, при необходимости просто воспользуйтесь уже имеющимися среди стандартного списка.

  1. Администратор - без ограничений.
  2. Делопроизводитель - формирование документов входящего типа (маркирование документов с помощью уникального регномера).
  3. Контроль отчётов - возможность просмотра (редактирования) отчётных документов в ежедневнике.
  4. Контроль задач/процессов - работа с задачами/процессами без каких-либо ограничений.
  5. Ответственный за НСИ - полное ведение НСИ без ограничений (делопроизводство/учёт времени/процессы).
  6. Ответственный за ЭДО - минимальный уровень прав доступа к электронной документации.
  7. Пользователи - стандартные полномочия, работа с клиентскими приложениями (внутренней документацией/файлами/задачами/процессами), учёт рабочего времени.
  8. Работа с входящей и исходящей документацией - создание/отправка документа и чтение входящей документации.
  9. Руководство подразделения - формирование новых задач (редактирование) для подотчётного подразделения, ознакомление с отчётами штатных специалистов в ежедневнике.
  10. Руководство проектов - работа над текущими проектами (редакция) и создание новых.

При необходимости существующие полномочия могут подвергаться полным или частичным изменениям. Однако лучше не допускать редактирования стандартных полномочий. В противном случае политика разграничения прав может начать функционировать некорректно.

В разделе «Полномочия» имеются несколько списков.

  • Список доступных ролей. Флажком помечаются группы действий, актуальных (имеется разрешение на использование) для конкретного профиля.
  • Кому присваивается. В наименование заносится имя полномочия, которому доступна эта группа действий.

Конфигурация программы 1С дает ее пользователям практически неограниченные возможности изменения и дополнения такого функционала, как «права доступа» (далее по тексту – ПД) ко всем данным, хранящимся в электронной базе. Это реализовано через ряд настроек:

  • Полномочия;
  • Политики;
  • Рабочие группы;
  • Права доступа на папки.

Права настраивает администратор базы или пользователь программы с соответствующей ролью. Права каждого объекта формируются как совокупность этих настроек. В зависимости от их состава результат настройки будет различен для каждого сотрудника компании (или группы сотрудников).

Какие настройки ПД существуют

Полномочия – это самое крупное деление ПД в 1С Документооборот, представляющее собой готовый набор ролей. С их помощью определяются, какие типы данных будут видны пользователю программы. Все остальные настройки ограничивают эти права.

В политиках мы даем доступ к информации по разрезам доступа.

Права на содержание папок представляют собой допуск к документам, содержащимся в конкретных папках.

Мгновенно настроить права доступа в 1С возможно путем добавления сотрудника в рабочую группу. Это влечет отмену настроек политик и прав на папки.

Настройка полномочий для рабочей группы

  • Подразделений;
  • Рабочих групп;
  • Ролей исполнителей.

Данная настройка избавляет от необходимости перенастраивать права доступа при увольнении того или иного сотрудника или его переводе в другое подразделение компании.

Создадим рабочую группу и назначим ей полномочия на примере релиза 1С Документооборот ПРОФ 2.1.11.5.

Для этого переходим в меню «Нормативно-справочная информация/Рабочие группы».

В окне справочника «Рабочие группы» добавляем новый элемент под наименованием «Сотрудники головного офиса».


Для вновь созданной рабочей группы следует назначить полномочия. Укажем для примера полномочия «Работа с входящими и исходящими документами» - это набор ролей в 1С, разрешающих чтение входящей и исходящей корреспонденции, добавление корреспондентов, доступе к досье корреспондентов, справочнику физических лиц и других полномочий. Добавляем полномочие. После этого закрываем созданный элемент.



Установление политик доступа

Политики определяют круг пользователей и состав данных в 1С, к которым пользователям предоставлен доступ в определенных разрезах. Изменение политик производим в меню «Настройка и администрирование/Политики доступа».

Закладки «Общие разрешения» позволяют настроить ПД по разрезам доступа. Этот режим настройки является самым простым. При этом конкретному пользователю можно установить как одно, так и несколько разрешений. Кроме того, можно установить специальные разрешения, исключающие действие общих.



Алгоритм настройки

1. Первый шаг заключается в выборе разрезов доступа, который задаст границы доступной пользователю информации. А именно:

  • Виды документов;
  • Организации;
  • Грифы доступа;
  • Виды мероприятий;
  • Группы доступа корреспондентов;
  • Группы доступа физических лиц;
  • Подразделения и другие.

Обратите внимание! Если в документе 1С не был заполнен разрез, например, не выбрана организация/вид доступа, то ограничение ПД по разрезу не подействует.

Количество разрезов, которые используются в политиках, в случае необходимости можно изменить. Для этого перейдем в меню 1С «Поддержка и обслуживание/Управление расчетом прав».


Затем следует выбрать пункт «Настройка прав доступа/Используемые разделы доступа».

Обратите внимание! Выбор небольшого количества разрезов доступа ускоряет пересчет прав. При изменении настроек в 1С программа заново пересчитывает объекты, круг ПД которых был расширен либо сужен. Этот процесс в 1С Документооборот может занять довольно продолжительное время. Поэтому мы рекомендуем менять эту настройку на начальном этапе пользования программой.

2. Второй шаг заключается в выборе пользователя и его уровня доступа. Для этого в окне выбора «Кому» уточняем:

  • Подразделение;
  • Роль;
  • Пользователя;
  • Рабочую группу.

Например, можно дать разрешительные права доступа к папке с договорами всем сотрудникам, а к входящим документам только делопроизводителю.


Для пользователей программы 1С существуют три уровня доступа: чтение, редактирование и регистрация. Последний уровень (регистрация) наделяет пользователя самым обширным кругом полномочий, которые включают первые 2 уровня. Редактирование разрешает читать, изменять, удалять и добавлять контент в документ.

Обратите внимание! Если пользователь получил два разрешения с одинаковыми уровнями, к примеру, одно – через группу, а другое – индивидуально, то действует максимальное разрешение.

1С Документооборот позволяет настроить политики двумя способами: через общую форму или в карточках подразделений, пользователей, рабочих групп пользователей. Отметим, что в карточках будут указаны только разрез и уровень доступа.

Проиллюстрируем: для входящих документов папки «Рекламация» мы хотим добавить сотрудников головного офиса. Мы выбираем рабочую группу «Сотрудники головного офиса» и наделяем их правом редактировать входящую корреспонденцию.


Добавленная рабочая группа отобразится в перечне рабочих групп, получивших доступ к документам из папки «Рекламация» ранее (имеющиеся разрешения заметны, так как отображены в голубом цвете). «Унаследованные» (то есть установленные ранее разрешения) не могут быть изменены в текущую сессию настроек.


Индивидуальная настройка ПД определенного пользователя программы содержит список разрешений. Они могут быть, как общие, так и специальные.

Общие разрешения в 1С позволяют быстро сделать настройку по разрезам доступа к документам в базе. Специальные разрешения дают персонифицированные права доступа к документам и более соответствуют должностным обязанностям конкретного сотрудника компании.

Вним ание! В случае получения пользователем специального разрешения в отношении него прекращают действовать общие разрешения.

Изменение прав доступа локальных администраторов

Получение пользователем статуса локального администратора в 1С позволяет ему иметь доступ к документам, содержащимся в папках, независимо от рабочей группы. К примеру, начальнику юридического отдела можно назначить неограниченный доступ на чтение любых договоров компании. При этом назначенный локальным администратором сотрудник получит права на любой документ папки, даже не являясь членом рабочей группы. Данная функция включается путем отметки галочки в соответствующем флажке (в «квадратике» Локальные администраторы).


Назначение локальных администраторов производится через функции политик доступа. Изменения осуществляются аналогично установке специальных разрешений.



Как устанавливать права доступа на уровне папок

Дополнительные ограничения прав доступа могут быть установлены на уровне папок. При этом соответствующую настройку вправе выполнить, как пользователь с правами администратора, так и любой сотрудник, перейдя по команде «Права доступа» в контекстное меню папки. В открытом в результате перехода окне меняем права доступа на одно или несколько действий.


При изменении настроек, права доступа к определенной папке устанавливаются как разрешающие, а также запрещающие, либо доступ к выбранной папке остается не назначенным. При этом конкретный пользователь получает разрешение только в том случае, если установлено минимум одно разрешение и не имеется каких-либо запретов.

Результаты настройки прав доступа

Информация о том, как настроены права доступа в программе 1С Документооборот, отображается в отчете «Настройки доступа пользователей», который можно сформировать, войдя в раздел меню «Настройка и администрирование/Отчеты».



Отчет содержит таблицы:

  • Доступ по полномочиям;
  • Общие разрешения политик доступа;
  • Специальные разрешения политик доступа;
  • Разрешения на локальное администрирование;
  • Вспомогательные данные о результатах применения резерва доступа и отображает список ролей и полномочий.

В настоящей статье нами были рассмотрены функциональные возможности настройки прав доступа в 1С Документооборот на уровне рабочих групп, полномочий, политик и папок документов, а также способы формирования итоговых отчетов.

Странный и недокументированный механизм наконец-то прояснился.
Текст ниже не сделает его нормальным, но я хотя бы как-то постараюсь описать это чудо, в надежде, что мой рассказ поможет сэкономить время на изучение.
Под катом много букв из разряда "танчики", с использованием арго 1С, не специалистам - неинтересно.

Все настройки делались для версии 1С Документооборот КОРП 1.4.12.1, клиент-серверный вариант, платформа 1С:Предприятие 8.3 (8.3.6.2152).

Итак, группы доступа предназначены для настройки прав и ограничений прав доступа конкретным пользователям и группам пользователей системы. Набор прав и возможности по их ограничению определяются заданным профилем групп доступа. Например, группа доступа "Менеджеры по продажам ПО делового назначения" с пользователями Иванов и Петров может ссылаться на профиль "Менеджер по продажам", в котором предусмотрена возможность ограничения по виду доступа "Виды номенклатуры ". Тогда если по этому виду доступа для всех значений указать вариант "Запрещены", а в список добавить вид номенклатуры "ПО делового назначения", то Иванову и Петрову будут доступны только те данные и операции, которые связаны с ПО делового назначения.

Такое определение дает справка в программе. Интернет, в основном, цитирует два источника: 200 вопросов и ответов и книжку с учебных курсов 1С, которые на самом деле, ничего толком не проясняют. В частности, лично для меня было совершенно непонятно как настроить ограничения сразу по нескольким критериям: организациям, видам документов, вопросам деятельности и грифам доступа. Ничего полезного я не нашел, поэтому пришлось доходить до истины методом проб и ошибок.

Суть всего механизма оказалась простой как топор: если вы хотите, чтобы у пользователя был доступ к определенному объекту, все реквизиты этого объекта из числа регулируемых видами доступа должны быть явно и, что принципиально важно - одновременно разрешены хотя бы в одной группе доступа, назначенной пользователю.

Чуть подробнее. За организацию видов доступа в 1С документообороте отвечает план видов характеристик "Виды доступа ", в нем предопределены девять реквизитов, по которым, в типовом решении, возможно настроить ограничения к объектам на уровне записей (RLS):


  • Виды внутренних документов

  • Виды входящих документов

  • Виды исходящих документов

  • Виды мероприятий

  • Вопросы деятельности

  • Грифы доступа

  • Группы корреспондентов

  • Группы доступа физических лиц

  • Организации

Внимательно прочитали список? А цитату из справки 1С выше? Оценили иронию разработчиков? :)

Возьмем за основу очень простую модель - две организации: Фирма-1 и Фирма-2, два вида документов: Счет и Договор и два вопроса деятельности: АХО и Зарплата. Все пользователи будут использовать один общий профиль групп доступа.

Наша цель разделить всех пользователей на группы с доступом только к определенной организации, причем в каждой из них есть те, кто работает с договорами и те, кто работает со счетами. Усложним себе жизнь еще одним ограничением: часть пользователей должна иметь доступ к вопросам деятельности Зарплата, остальные - нет.

Так вот для решения этой простой задачи нам потребуется настроить ни много ни мало ВОСЕМЬ групп доступа:


  1. Фирма-1, Счета, Вопросы Зарплаты

  2. Фирма-1, Счета, Вопросы АХО

  3. Фирма-1, Договоры, Вопросы зарплаты

  4. Фирма-1, Договоры , Вопросы АХО

  5. Фирма-2, Счета, Вопросы Зарплаты

  6. Фирма-2, Счета, Вопросы АХО

  7. Фирма-2, Договоры, Вопросы зарплаты

  8. Фирма-2, Договоры , Вопросы АХО

Зарплатчики каждой организации должны входить попарно-одновременно в две из четырех групп доступа (1,2; 3,4 либо 5,6; 7,8): Зарплатчики, работающие со счетами Фирмы-1 входят в группы 1 и 2. Зарплатчики, работающие с договорами Фирмы-1 входят в группы 3 и 4. Аналогично для Фирмы-2.

В программе нет никакой иерархии и наследования. Количество групп доступа получается перемножением количества вариантов предполагаемых ограничений. Поэтому, если вы надумаете настроить ограничения по десятку вопросов деятельности, для десятка видов документов, в разрезе хотя бы двух организаций, то будьте готовы администрировать 10 * 10 * 2 групп доступа. Добавьте к этому, а точнее умножьте на два-три профиля - пользователи, ресепшен, делопроизводители и ваши волосы вообще больше никогда не лягут обратно на голову.

Порядок расчета прав доступа В карточке каждого объекта можно посмотреть текущие права на него и понять, почему они именно такие: на закладке «Данные для расчета прав» приводится перечень того, что было учтено при расчете прав на этот конкретный документ. 3


Очередь обновления прав Рекомендуется использовать отложенное обновление прав (через очередь). Права для новых объектов рассчитываются сразу. Для существующих – попадают в очередь: например, поменяли права корневой папки – все дочерние встали в очередь. Очередь обрабатывается специальными регламентными заданиями. 4


Оперативная и долгая очередь Долгая: регистрация нового пользователя, изменение состава группы пользователей, изменение группы доступа, изменение подразделения пользователя, изменение сведений о делегировании прав, изменение сведений об исполнителях ролей, изменение настроек программы: использовать учет по организациям и пр. Во всех остальных случаях формируется оперативная очередь. Обе очереди не мешают друг другу. 5






Группы доступа Задают политику доступа. Разрешают или запрещают доступ к соответствующим объектам для определенных пользователей или групп. Доступ задается в терминах разрешенных или запрещенных значений видов доступа: виды документов, грифы доступа, группы доступа корреспондентов, группы доступа физических лиц, организации, вопросы деятельности, виды мероприятий. 8












Права на папку Чтобы пользователь мог добраться до документа, он должен иметь хотя бы право просмотра всех его родительских папок. Можно использовать разные схемы наследования, например: Секретариат: реклама, приемная. Нужно, чтобы к папке «Реклама» имели доступ на чтение все сотрудники фирмы. А к папке «Приемная» – только отдел секретариата. 15




Права на папки и права на группы доступа Права на папки только сужают права групп доступа. Например, права на внутренние документы складываются из прав по группам доступа и прав от папки: если в группах доступа нет разрешения для Фроловой смотреть документы по организации НПЦ «Меркурий», то никакие настройки прав в папках ей это не разрешат. Права к файлам определяются только владельцем файла: если файл лежит в папке, то правами на папку, если файл присоединен к документу, то правами на документ: которые, в свою очередь, определяются правами от групп доступа и папки, в которой лежит документ. 17


Рабочие группы Список пользователей, которые имеют право работать с документом. Позволяют еще больше сузить права, которые получены от групп доступа и от папок. Рабочие группы могут заполняться: вручную, или автоматически при продвижении процессов по этому документу. Это простой механизм, но его нужно прочувствовать. 18






Настройка рабочих групп в карточке вида документа Флажок «Для документов этого вида заполнение рабочей группы является обязательным». Флажок «Автоматически вести состав участников рабочей группы»: в рабочую группу будут автоматически добавляться авторы процессов и исполнители задач, при старте процесса, при переадресации задачи, но при этом права все равно не расширятся дальше чем ограничено группами доступа и папкой документа. 21


Пример использования рабочих групп Работа со служебными записками. Папка «Служебные записки»: доступ «Все пользователи» чтение, добавление, изменение. Но каждый пользователь будет видеть только свои служебные записки: потому что для документов вида «Служебная записка» заполнение рабочей группы является обязательным, и в рабочей группе автоматически будет указан автор, и все пользователи, которым эта записка попадала в рамках выполнения процессов (согласование, рассмотрение, исполнение). 22


Права на процессы и задачи Права на задачу зависят от процесса. Права на процесс – автор и исполнители: для дочерних процессов еще и автор родительского процесса. При перенаправлении задач права на процессы расширяются, чтобы новый исполнитель мог увидеть этот процесс. Влияние на рабочие группы предметов процессов: как только задача создается, ее исполнитель добавляется в рабочую группу документа, который является предметом задачи, если, конечно, у документа установлена настройка «Автоматически вести состав участников рабочей группы», в том числе и при перенаправлении. 23







Похожие публикации: