Отчет по правам, ролям и профилям групп доступа пользователей, с возможностью их изменения, сравнение прав конфигураций
За основу взят код //infostart.ru/public/89046/ и переделан под управляемые формы.
В поле «Имя субъекта доступа» выбирается субъект доступа (роль или пользователь), для которого нужно вывести права. Если отметить чекбокс «Выводить только установленные права» (рекомендуется), то в итоговый отчёт будет выведены только те объекты метаданных, к которым у роли/пользователя есть хоть какой-то доступ.
Выводит права к объектам (ТОЛЬКО!) следующих видов: Константы, Справочники, Документы, ЖурналыДокументов, Отчеты, Обработки, ПланыВидовХарактеристик, ПланыСчетов, ПланыВидовРасчета, РегистрыСведений, РегистрыНакопления, РегистрыБухгалтерии, РегистрыРасчета, БизнесПроцессы, Задачи.
В новой версии добавлена вкладка для поиска ролей, которые предоставляют доступ к объектам конфигурации.
В новой версии добавлена вкладка изменение прав, которая позволяет менять роли выбранным пользователям.
Update 2: Добавил возможность копирования профилей групп доступа с одного на другие, с полной перезаписью ролей или с дополнением существующих в профиле.
Update 3: Добавил возможность сравнения прав на объекты по всем ролям между конфигурациями, при обновлении платформы разработчики «нечаянно«, могут снести права на каком нибудь регистре для какой нибудь роли, теперь это можно отследить.
4) Работает в режиме толстого клиента.
Права доступа в 1С:Документооборот 2.1
Настройка прав доступа в 1С:Документооборот 2.0 и 2.1 в клиент-серверном варианте на живых примерах будет подробно рассмотрена 21 сентября 2016г в 10:00 в 2-х часовом вебинаре «Права доступа в 1С:Документооборот», запись которого позже можно будет посмотреть по ссылке.
Для разграничения прав доступа нужно включить в настройках программы флаг Использовать ограничение прав доступа.
После установки настройки Использовать ограничение прав доступа пользователю сразу будет предложено обновить права. Для запуска процесса обновления прав достаточно ответить Да на вопрос программы.
При полном обновлении прав в отложенном режиме очистка прав выполняется в фоновом режиме, не мешая работе пользователя.
Суть отложенного обновления прав заключается в том, что длительные задания на обновление прав попадают в специальную очередь, которая обрабатывается в фоновом режиме, не мешая работе пользователей. Этот режим работы является рекомендованным для клиент-серверного варианта работы.
При установке отложенного обновления прав в файловой информационной базе выдается предупреждение о том, что данный режим использовать не рекомендуется.
В рабочей базе в клиент-серверном варианте работы флаг Отложенное обновление прав доступа должен быть всегда включен.
Для большей безопасности нужно установить флаг Запрещать вход в программу без пароля.
Также для безопасной работы 1С:Документооборот рекомендуется установить следующие флаги: Проверять сложность пароля, Ограничивать доступ через веб-серверы.
Рекомендуется использовать настройку Групповой расчет элементов очереди и указать максимальный размер порции дескрипторов. По умолчанию установлено значение 100. Данная настройка позволяет при расчете прав по дескриптору программе находить в очереди обновления прав дескрипторы такого же вида и обновлять их права за один вызов.
Полномочия в 2.1
В 1С:Документооборот 2.1 справочник Профили групп доступа переименован в Полномочия.
Полномочия предназначены для создания готовых подборок разрешенных действий (ролей), содержащих права доступа к объектам метаданных.
Конфигурация 1С:Документооборот уже включает в себя несколько готовых полномочий.
Эти полномочия можно использовать как есть или изменить их в зависимости от конкретных потребностей.
Не рекомендуется менять типовые полномочия. В большинстве случаев типовые полномочия позволяют решать задачи ограничения прав доступа.
Полномочие состоит из двух списков:
Политики доступа
В соответствии с разработанными в организации документами по правам доступа мы можем задавать политики безопасности. Действие этих политик распространяются на объекты 1С:Документооборот и могут быть нарушены только рабочими группами объектов (например, если у документа заполнена рабочая группа, то политики перестают действовать).
Если в какой то политике доступа права уже выданы на какую-то область данных, то запретить их другой группой доступа не получится. Однако настройки прав по политикам могут быть сужены настройками прав по папкам.
Для управления политиками доступа в разделе «Настройка и администрирование» в панели навигации следует выполнить команду «Политики доступа».
Политики доступа нужны для того чтобы по крупному нарезать информационную базу для разных пользователей. Поэтому политик не бывает много. И не должно быть много иначе система прав может работать не оптимально.
Разрезы задают границы областей данных, с которыми разрешено работать пользователям: виды внутренних документов, виды входящих документов, виды исходящих документов, виды мероприятий, организации, грифы доступа, группы доступа контрагентов.
С помощью политик доступа можно задать как общие настройки прав для рабочих групп и подразделений, так и доступ к определенному виду документа или грифу доступа конкретному пользователю.
На закладке Общие разрешения приведены разрезы доступа, на которые либо назначаются, либо не назначаются права. Каждому пользователю можно указать уровень доступа: Чтение, Редактирование, Регистрация.
Общие разрешения работают следующим образом: доступ к объекту (документу, мероприятию и т д.) дается пользователю, у которого есть доступ ко всем разрезам доступа объекта: организации, грифу, виду и т д.
Разрешения одного разреза доступа можно скопировать другому. Для этого в контекстном меню списка разрезов предусмотрена команда Скопировать другим. В открывшемся окне достаточно выбрать разрез, куда копировать.
Если для пользователя (его рабочей группы, подразделения) есть специальные разрешения, то действуют они. Если специальных разрешений нет, действуют общие разрешения.
На пользователя может действовать сразу несколько специальных разрешений. Настройки нескольких специальных разрешений не расширяют друг друга.
Права на папки
Права по папкам можно настраивать для следующих объектов системы:
Права доступа на папки дополнительно сужают доступ к объектам Системы.
Настройка прав на папки одинакова как для папок внутренних документов, так и на папки файлов, писем и мероприятий и осуществляется в соответствующем журнале в открывшейся карточке папки с помощью команды «Настроить права».
В таблице прав могут фигурировать как конкретные пользователи и роли, так и подразделения и рабочие группы.
Желательно назначать ответственных за папки, чтобы эти сотрудники следили за порядком в этой папке. Ответственному за папку можно дать дополнительные права на изменение папок и даже на управление правами в этой папке.
Право на изменение документов не означает, что пользователь может изменять саму папку. Права пользователя на изменение папки появятся только в том случае, когда у него будет права на Изменение папок.
Права пользователя на объекты в папке будут, если есть хотя бы одно разрешение и нет ни одного запрещения.
Приведем некоторые примеры.
1. В папке файлов «Бухгалтерия» права настроены таким образом, что указано только подразделение Бухгалтерия. Соответственно другие сотрудники, кроме Бухгалтерии (а также непосредственных руководителей), видеть эту папку и ее содержимое не будут. У Бухгалтерии есть хотя бы одно разрешение и нет запрещений. У других пользователей нет ни одного разрешения.
2. В папке файлов «Секретариат» права даны подразделению Секретариат и запрещены Фроловой, хотя Фролова входят в группу пользователей Секретариат. Соответственно на данную папку Фролова прав не получит, так как несмотря на имеющееся разрешение есть хотя бы одно запрещение.
У права есть последняя колонка Для подпапок, которая означает, что данные права будут наследоваться на все подчиненные папки.
Наследуемые права отображаются в списке прав голубым цветом и запрещены для удаления, если в подчиненной папке установлена галочка Наследовать права от вышестоящих папок
Подчиненным папкам можно устанавливать собственные права доступа, не зависящие от родительской папки:
Если у пользователя есть права на подчиненную папку, но на вышестоящую папку прав нет, то, при просмотре по папкам, сама папка будет ему недоступна, ему будет доступно только ее содержимое при просмотре списком.
Если есть папка «Отдел», и мы хотим чтобы в нее ходила вся фирма. Но в ее подпапки ходить нельзя. Тогда мы должны следующим образом настроить права доступа, как показано на картинке (дать права группе «Все пользователи» и для подпапок убрать наследование):
Если мы хотим, чтобы папка на просмотр и на редактирование была доступна для всех сотрудников, а у сотрудников отдела Бухгалтерия был только просмотр, то права должны быть установлены как показано на картинке (группе Все пользователи даем права на просмотр и редактирование, а подразделению Бухгалтерия – запрещаем редактирование):
Рабочая группа объекта
В карточках документов есть закладка «Рабочая группа». На этой закладке указывается список сотрудников, которые будут иметь доступ к этому документу, а остальные сотрудники не будут.
В настройках видов документов есть две полезные настройки «Автоматически вести состав участников рабочей группы» и «Заполнение рабочей группы является обязательным».
Если рабочая группа документа заполнена, то права рассчитываются только по ней без учета других настроек прав (политик доступа, настроек прав папок).
По умолчанию у участника рабочей группы есть доступ только на чтение документа. Чтобы назначить права на изменение, в карточке документа на закладке Рабочая группа необходимо установить флажок Изменение.
Добавить участника рабочей группы может любой сотрудник, у которого есть права на изменение данного документа.
Оригинал и полный текст статьи опубликован в блоге Владимира Лушникова на странице http://www.doc-lvv.ru/2016/09/prava-dostupa-v-1sdokumentooborot-21.html.
Настройка прав доступа в 1С:Документооборот 2.0 и 2.1 в клиент-серверном варианте на живых примерах будет подробно рассмотрена 21 сентября 2016г в 10:00 в 2-х часовом вебинаре «Права доступа в 1С:Документооборот», запись которого позже можно будет посмотреть по ссылке.
Настройка прав доступа в «1С: Документооборот»: описание и инструкция
Программа «1С: Документооборот» располагает неограниченными возможностями по изменению и доработкам прав доступа к любым данным. Права можно назначать пользователям, рабочим группам, ролям исполнителей, сотрудникам подразделения. Это реализовано через ряд следующих настроек:
Полномочия — самое крупное деление прав, базовые настройки. Это готовый набор ролей, определяющий типы данных, которые будут доступны пользователям. Остальные настройки только ограничивают эти права.
Политики предоставляют допуск к информации по разрезам доступа.
Права на содержание папок дают доступ к документам в определенных папках.
Рабочая группа позволяет быстро сформировать права для сотрудника, который в неё добавлен и отменяет предыдущие настройки политик и прав на папки у пользователя.
Права на любой объект в «1С: Документооборот» — это совокупность вышеописанных настроек. Таким образом, можно делать их специфичными для каждого сотрудника или группы людей в компании. Права настраивает администратор базы. Для назначения прав доступа в меню раздела «Настройка и администрирование» предусмотрена группа команд «Права доступа».
Полномочия в «1С: Документооборот»
Полномочия — это готовая подборка ролей с правами на доступ к данным. При наличии большого количества сотрудников с однотипным доступом они позволяют удобно структурировать роли согласно должностным инструкциям.
Для того, чтобы не перенастраивать права на каждого отдельного пользователя, рекомендуется настраивать доступ для подразделения, рабочих групп, ролей. Это избавит от необходимости заново изменять права при увольнении или переводу сотрудника.
В «1С:Документооборот» настроены четырнадцать предопределенных полномочий:
Если необходимо, можно изменить эти полномочия или создать произвольные.
Чтобы назначить роли полномочиям, достаточно установить или снять флажки в списке разрешенных действий.
Полномочия выдаются прямо в карточках пользователей, рабочих групп и подразделений.
Полный список полномочий пользователя и ролей, которые им соответствуют, выводится в отчете Настройки доступа пользователей.
Рассмотрим пример использования ролей для неограниченного чтения данных. Чтобы выдать сотруднику доступ на чтение всех документов, файлов, процессов и задач, необходимо:
Политики доступа
Политики доступа содержат сведения о том, кому и на какие разрезы доступа назначены права. Разрезы задают границы областей данных, с которыми разрешено работать пользователям: виды внутренних документов, виды входящих документов и т.д.
С помощью политик доступа можно задать как общие настройки прав для рабочих групп и подразделений, так и доступ к определенному виду документа или вопросу деятельности конкретному пользователю.
Существуют следующие политики доступа:
Рекомендуется назначать права не отдельным пользователям, а подразделениям, рабочим группам, ролям исполнителей. Пользователю может быть выдано одно или несколько разрешений, которые в совокупности образуют его персональные настройки прав.
На закладке «Общие разрешения» приведены разрезы доступа, на которые назначаются права.
Каждому пользователю можно указать уровень доступа: Чтение, Редактирование, Регистрация. Разрешения одного разреза доступа можно скопировать другому.
Для более тонкой настройки предназначены Специальные разрешения. За их включение/отключение отвечает настройка «Использовать специальные разрешения в политиках доступа». Открыть её можно выбрав «Настройка и администрирование – Настройка программы – Права доступа».
Как работают политики доступа
При расчете прав политики доступа применяются следующим образом. Если для пользователя или его рабочей группы есть специальные разрешения, то действуют они. Если специальных разрешений нет, действуют общие разрешения.
Общие разрешения работают так: доступ к объекту (документу, мероприятию и т. д.) дается пользователю или его рабочей группе, у которого есть доступ ко всем разрезам доступа объекта: организации, грифу, вопросу деятельности.
Специальные разрешения действуют следующим образом:
Рекомендуется использовать Специальные разрешения только в том случае, если нужную Вам комбинацию нельзя настроить с помощью Общих разрешений.
Локальные администраторы
Назначить локальных администраторов значит назначить пользователям доступ, который не зависит от рабочих групп и настроек прав папок. Например, начальнику договорного отдела можно назначить неограниченный доступ на чтение всех договоров организации. Начальник получит доступ к договору, даже если не входит в его рабочую группу.
Возможность включается одноименной настройкой: «Настройка программы – Права доступа – Локальные администраторы».
Локальные администраторы назначаются в политиках доступа. Принцип настройки повторяет специальные разрешения:
Обратите внимание: разрешения локальных администраторов не отменяют общие и специальные разрешения, а дополняют их.
Настройка политик в разрезе подразделений
Политики доступа удобно настраивать в разрезе подразделений.
По умолчанию использование разреза «Подразделения» отключено. Для включения достаточно установить флажок: «Настройка программы – Права доступа – Используемые разрезы доступа – Подразделения». В общих разрешениях в контекстном меню разреза «Подразделения» доступна команда «Заполнить по умолчанию».
При выполнении этой команды для каждого подразделения, не содержащего подчиненных, добавляются разрешения для всех его сотрудников.
Права папок в «1С: Документооборот»
Дополнительно ограничить то, что разрешено политиками доступа можно с помощью папок. Для них предусмотрена гибкая настройка прав доступа на уровне каждой папки. Настройка выполняется по команде «Настройка прав».
Управлять правами папки может не только Администратор, но и другие пользователи с соответствующими правами. Права доступа к папке могут быть разрешающими, запрещающими или не назначены. Значения прав меняются двойным щелчком мыши или клавшей Enter.
При назначении прав на папку один сотрудник может входить сразу в несколько групп пользователей (поле списка Пользователь) с разными настройками. Эти настройки суммируются по следующим правилам:
Приведем все возможные комбинации для расчета прав папок:
Рабочие группы объектов «1С: Документооборот»
Для точечной настройки прав на объекты используются рабочие группы. Это ограничение доступа к конкретному документу или шаблону. Рабочую группу нужно заполнять только если права на объект должны определяться не общими настройками, а индивидуально. Если у объекта заполнена рабочая группа, то настройки политик при этом не действуют.
Рабочие группы могут заполняться:
По умолчанию у участника рабочей группы есть доступ только на чтение документа. Чтобы назначить права на изменение, в карточке документа на закладке «Рабочая группа» нужно установить флажок «Изменение».
В «1С: Документооборот» при движении документа по процессу его рабочая группа заполняется автоматически. При этом право «Изменение» выдается пользователям, у которых уже есть разрешения на изменение документа в соответствии с политиками доступа и настройками прав папок.
Можно ограничить добавление пользователей в рабочие группы объектов. За это отвечает настройка «Проверять соответствие рабочих групп общим настройкам доступа», которая расположена по пути «Настройка и администрирование – Настройка программы – Права доступа». Если настройка включена, то нельзя будет добавить в рабочую группу пользователя, у которого нет соответствующих разрешений в политиках доступа или в настройках папки объектов.
Для включения автоматического заполнения рабочей группы в настройках вида документа предусмотрены два флажка:
Проверка настроенных прав доступа
В «1С:Документооборот» можно посмотреть права доступа ко всем данным информационной базы.
По команде «Права доступа» в меню «Еще» карточек объектов можно перейти в окно со сведениями о том, кому и какие права на объект назначены. Команда доступна для всех пользователей.
Что нового для вашей 1С?
Рассылка осуществляется в день выхода обновления. Никакой рекламы, только полезная информация. Посмотрите пример →
Настройка прав в 1С Документооборот. Инструкция по применению.
Обновим 1С с гарантией сохранности базы
Поможем с 1С 24/7, без выходных
Установим сервисы 1С бесплатно
Оперативно решим любые задачи по 1С
Редко, когда в организации все пользователи должны иметь одинаковый доступ к документам. В первую очередь, это, конечно, вопрос информационной безопасности, но и не последнюю роль играет этический момент. Программа 1С Документооборот позволяет гибко настроить права доступа к документам, чтобы избежать утечки информации и уберечь информацию от любопытных сотрудников. Сегодня мы подробно пошагово расскажем про настройку прав и все имеющиеся нюансы, которые стоит учесть.
Инструкция по настройке прав в 1С Документооборот
Перейдя в раздел «Настройка и администрирование» можно увидеть группу команд «Права доступа», в которой представлен доступ к основным настройкам прав пользователей.
Перед тем как начать рассматривать каждый из представленных в этом разделе пунктов, перейдем в «Настройки программы» и выберем «Права доступа».
Именно в этом меню включается настройка прав пользователей. Если убрать галочку «Ограничивать права доступа», то у всех пользователей будет доступ ко всем документам базы. Программой пользуются только доверенные лица с одинаковыми правами? Тогда на этом шаге вы можете и остановиться. Для более распространенных ситуаций мы предлагаем двигаться дальше.
В окне настройки прав доступа следует особое внимание уделить пунктам «Специальные разрешения» и «Используемые разрезы доступа». В данном примере разрезов доступа 9, но если не будет включен учет по организациям, то и в разрезах доступа «Организации» не будут присутствовать, аналогично и с другими разрезами доступа. Пункты, выбранные в этом меню, будут доступны для настройки в политиках доступа.
Переходим в «Политики доступа» (Настройка и администрирование – Политики доступа).
В данном окне мы видим выбранные разрезы доступа. Открыв нужный разрез, можно установить права пользователей на чтение, редактирование или регистрацию документов.
Обратите внимание! Если в политике доступа проставить пользователю уровень доступа «Чтение» для определенного документа, то даже указав в настройках папки разрешение на редактирование документа, возможности редактировать документ у пользователя не будет. Аналогично и для роли: если проставить пользователю роль «Регистрация внутренних документов», но в политике доступа для данного документа не установить уровень доступа «Регистрация», то пользователь не сможет регистрировать документ.
Поскольку в настройках прав доступа мы указали «Специальные разрешения» и «Локальные администраторы», то эти вкладки появились в политике доступа.
Специальные разрешения удобно использовать в тех случаях, когда пользователь относится к некоторой рабочей группе, для которой уже установлены уровни доступа, но конкретно ему надо либо добавить прав, либо наоборот доступ закрыть (или разделить один и тот же доступ по организациям и тд). Например, речь может идти об отделе и его руководителе или специалистом, которому необходим более полный доступ к документам. При добавлении специального разрешения, общие разрешения по выбранному предмету для пользователя не будут действовать.
Вторым глобальным инструментом для настройки прав являются «Полномочия» (Настройка и администрирование – Полномочия). Полномочия удобно настраивать в соответствии с должностями или выполняемыми функциями. Например, можно назвать полномочия «Сотрудник отдела закупок», дать права на внесение документов по закупкам, и проставлять данные полномочия пользователям, находящимся в отделе закупок.
В случае если все сотрудники отдела закупок добавляют только внутренние документы, а один еще и исходящие, то удобно будет создать полномочия «Работа с исходящими документами» и проставить их пользователю.
Каждое из полномочий состоит из набора ролей, чьи названия отражают их назначение. Поскольку ролей очень много и описывать, что именно делает каждая из них, большого смысла не имеет, то советуем опираться на название, а если по названию не очевидно, что делает конкретная роль, то заходить в конфигуратор и смотреть интересующие моменты.
Удобным инструментом для определения доступа к документу, а также проверки корректности настройки прав доступа, служит функция «Права доступа». Она доступна из меню «Ещё» того объекта, права доступа к которому необходимо проверить.
Для этого открываем документ, нажимаем «Ещё», выбираем «Права доступа».
В результате откроется окно, в котором видно список пользователей, имеющих права доступа к данному документу. Если нажать «Обновить», то появится вкладка «Данные для расчета прав».
На вкладке «Данные для расчета прав» есть строка «Неограниченные права». С её помощью можно увидеть отчет, в котором будет показан список пользователей, имеющих неограниченные права на данный объект, а также будет указана роль, дающая такие права. Хочу напомнить, что неограниченные права, назначенные полномочиями, нельзя ограничить настройками доступа папок, рабочими группами или чем-либо ещё.
После настройки политик доступа и полномочий, переходим на вкладку «Нормативно-справочная информация» и выбираем «Рабочие группы».
Рабочие группы предназначены для объединения пользователей в группы с одинаковыми правами. Каждому из участников рабочей группы будет проставляться та политика доступа и те полномочия, которые выбраны для данной группы (для этого нажимаем «Полномочия и разрешения, и выбираем из ранее настроенных).
Если настроить рабочие группы в соответствии с должностями, имеющимися в организации, то при добавлении нового пользователя будет достаточно поместить его в выбранную рабочую группу, и права будут сразу проставлены соответственно занимаемой должности.
Также просмотреть список доступных конкретному пользователю ролей и полномочий можно прямо из карточки пользователя. Для этого заходим в справочник «Пользователи», расположенный в разделе «Настройка и администрирование» и выбираем из списка нужного пользователя.
В открывшейся карточке пользователя нажимаем «Группы и полномочия», в результате чего появляется данное окно. Открыв выбранные полномочия, можно сразу просмотреть доступные пользователю роли.
Далее идем в раздел «Документы и файлы», выбираем «Документы внутренние». В списке документов выбираем «Ещё» — Просмотр – По папкам. В результате данного действия будут видны папки документов.
Дважды щелкнув на нужную папку, открываем форму изменения папки.
Выбираем «Настройка прав». В данном списке можно выбрать конкретных пользователей или группы, настроить для них права на чтение, изменение и удаление. Если пользователь входит в группу, которой дано право на чтение, но отдельной строкой для этого пользователя проставлен запрет, то доступ пользователю будет запрещен.
Помимо настройки прав доступа в папке, полномочий и ролей, политик доступа, существует справочник «Настройки доступности по состоянию».
Данный справочник настраивает доступность видов документов для пользователей и групп пользователей в зависимости от текущего состояния документа. Если требуется дать права на редактирование на время согласования только определенной группе лиц (запретив доступ остальным), а после согласования – запретить редактирование совсем, то это можно сделать именно с помощью данного справочника.
Во вкладке «Виды документов» можно указать к каким документам будет относиться данное правило, на вкладке «Пользователи» — указать пользователей или группы пользователей, на вкладке «Доступность полей» выбирается возможность редактирования полей документов в зависимости от состояния документа. Данная настройка не распространяется на пользователей с неограниченными правами.
Распределяйте права с умом
Если для небольших компаний настройка прав не занимает много времени, то вот крупным организациям придется туго. Для того, чтобы не запутаться в настройках и не допустить опасных ошибок, лучше всего заранее продумать всю систему прав доступа и просчитать какому специалисту в каких случаях и какой именно доступ необходимо предоставлять. После того, как вы разработаете точные правила с учетом всех должностей и отделов, можно будет без труда настраивать права даже при смене тех или иных сотрудников.
Если вы не можете себе позволить отрываться от остальных бизнес-задач и не хотите брать отдельного специалиста в штат (что, с учетом зарплаты, организации рабочего места и выплаты больничных/отпускных может быть нецелесообразным) имеет смысл обратиться за услугами по удаленному обслуживанию 1С.
С одной стороны, вам не придется переплачивать, оформляя человека в штат, а с другой вы получите не только оперативные консультации по любому вопросу, но и настройку, доработку, а также многие другие услуги, которые позволят сделать документооборот более эффективным и безопасным.