И так, нам нужно добавить в систему права доступа на ТОЛЬКО ПРОСМОТР информации без прав на редактирование, изменение.

Использовать стандартный функционал не представляется возможным, поскольку та же роль "Пользователь" в УПП имеет права на изменение некоторых справочников. К тому же, нужно создать права, не зависящие от дополнительных прав пользователя и достаточно простые в настройки (чтобы достаточно было поставить одну галочку).

Решение

Решение само по себе достаточно простое с несколькими нюансами. Добавим в конфигурацию новую роль "DEV_ТолькоПросмотр". В ней для каждого объекта метаданных конфигурации установим права на чтение и просмотр, получение.

Для удобства дальней разработки и последующей настройки прав для новых объектов, установим опцию "Устанавливать права для новых объектов".

Уже сейчас, добавив эту роль пользователю, мы откроем ему доступ на чтение/просмотр большинства таблиц базы данных. Однако, типовой механизм не позволяет работать в системе, если пользователю не присвоена типовая роль "Пользователь". Исправим это. В модуле обычного приложения в обработчике события "ПередНачаломРаботыСистемы" исправим проверку на доступную роль "Пользователь":

// Перед началом работы системы // Процедура ПередНачаломРаботыСистемы(Отказ) Если НЕ РольДоступна(" Пользователь " ) И (НЕ РольДоступна(" ПолныеПрава " ) ) И НЕ РольДоступна(" DEV_ТолькоПросмотр " ) Тогда Предупреждение(" Вам не назначена роль " " Пользователь " " . Запуск конфигурации невозможен. " ) ; Отказ = Истина ; Возврат ; КонецЕсли ; Отказ = НЕ УправлениеПользователями. ПользовательОпределен() ; // ОбновлениеВерсииИБ Отказ = Отказ ИЛИ НЕ ОбновлениеИнформационнойБазыКлиент. ВозможноВыполнитьОбновлениеИнформационнойБазы() ; // Конец ОбновлениеВерсииИБ КонецПроцедуры

Для правильной работы конфигурации также добавим измененим условие экспортной функции "ПользователюРазрешенЗапускКонфигурации" из общего модуля "УправлениеПользователямиСервер":

Функция ПользователюРазрешенЗапускКонфигурации() Экспорт Если НЕ РольДоступна(" Пользователь " ) И (НЕ РольДоступна(" ПолныеПрава " ) ) // !!! Разрешаем запуск для роли "DEV_ТолькоПросмотр" !!! И (НЕ РольДоступна(" DEV_ТолькоПросмотр " ) ) Тогда Возврат Ложь; КонецЕсли ; Возврат Истина; КонецФункции //

Последний шаг, который нужно сделать - это автоматически очищать доступные роли пользователя информационной базы, если у него установлена роль "DEV_ТолькоПросмотр". После очистки оставлять только эту роль. Напомню, что по умолчанию система всегда добавляет роль "Пользователь" в состав доступных ролей.

Очистку состава ролей будем выполнять перед записью элемента справочника "Пользователи". Вот программный код обработчика перед записью справочника:

Процедура DEV_ПередЗаписьюПользователяПередЗаписью(Источник, Отказ) Экспорт ПользовательИБ = ПользователиИнформационнойБазы. НайтиПоУникальномуИдентификатору(Источник. ИдентификаторПользователяИБ) ; Если ПользовательИБ < > Неопределено Тогда Роли = ПользовательИБ. Роли; Если Роли. Содержит(Метаданные. Роли. DEV_ТолькоПросмотр) Тогда Роли. Очистить() ; Роли. Добавить(Метаданные. Роли. DEV_ТолькоПросмотр) ; КонецЕсли ; ПользовательИБ. Записать() ; КонецЕсли ; КонецПроцедуры

Не забудьте добавить в роли "DEV_ТолькоПросмотр" права на запуск программы в режиме толстоко клиента, тонкого клиента и веб-клиента, иначе пользователь просто не сможет запустить программу. По необходимости установите другие права доступа.

В режиме 1С:Предприятие

После присваивания созданной роли пользователю, он сможет просматривать любую информацию в информационной базе.

Изменить какую-либо запись справочника или отменить проведение документа пользователь не сможет.

В любой многопользовательской учетной системе права пользователей должны быть разделены согласно должностных обязанностей сотрудника. Крупные компании уделяют этому особое внимание, т.к. чем больше компания, тем больше данных в информационной системе и тем больше вероятность коллизий и ошибок. Что может обеспечить неправильная настройка прав пользователей :

Некомпетентное внесение данных

- изменение данных в закрытом периоде или задним числом
- несогласованное изменение данных пользователями, работа над одним и тем же документом (объектом) в разных местах

Как видите видов ошибок, которые ненамеренно могут внести пользователи много. Таким образом, накладки с распределением прав могут привести к крайне нежелательным последствиям. Основные из них:

Нисхождение документов в электронном и печатном виде
- расхождения в управленческом и бухгалтерском учете
- неправильные остатки товаров на складах
- неправильные отчеты по план-фактному выполнению закупок, продаж, производства
- неправильное планирование и прогнозирование
- неправильный расчет заработной планы на основании оборотов, недовыплата премий т.д.
- дополнительные трудозатраты на поиск и исправление ошибок или корректировок внесенных задним числом

Это основные негативные последствия неправильно настроенных прав пользователей. Этот список вы можете дополнить своими ошибками, которые произошли в 1С в следствие неправильно настроенных прав пользователей.
Правильно спроектированная информационная система позволит если не полностью избежать перечисленных ошибок, то минимизировать их и сделать более прогнозируемыми. Что мы понимаем под словом прогнозируемым? Например, если права пользователей настроены таким образом, что в прошедшем числе данные могут изменять ограниченное число пользователей, то круг поиска виновного в ошибке сотрудника сужается. К тому же доступ изменять что-либо в заднем числе предоставляется либо администраторам системы либо наиболее ответственным сотрудникам, которые взвешенно будут подходить к процессу, отвечая за все внесенные изменения.
Условно все права пользователей в 1С (8.1 / 8.2) можно разделить на:
- просмотр данных
- внесение данных
- изменение внесенных данных
- удаление

Условно все настройки прав пользователей можно разделить на программные (выполняемые в Конфигураторе) и пользовательские (выполняемые в 1С Предприятие).

НАСТРОЙКА ПРАВ ЧЕРЕЗ КОНФИГУРАТОР

Ниже приведен пример настройки прав пользователя "Менеджер" для документа "Реализация товаров и услуг" с правом создания и проведения документа и запретом редактирования, изменения задним числом в режиме Конфигуратора.

Каждый из этих параметров может быть присвоен либо для всех объектов программы, либо настроен индивидуально для каждого. Например: пользователь может внести и отредактировать элемент справочника "Номенклатура", но имеет право только просматривать документы "Реализация товаров".
При настройке прав очень важно также учесть все должностные функции сотрудника чтобы не получилась ситуация чрезмерного "зажатия" прав пользователя, да так что он не сможет выполнять свои обязанности. Как раз в этом случае поможет подетальная настройка прав отдельно для каждого объекта конфигурации.
Для правильной настройки прав в 1С , работу должен проводить администратор программы совместно с бизнес-аналитиком или начальником департамента. Для более корректной трансляции должностных обязанностей в программу могут помочь должностные инструкции сотрудников, если такие имеются, чтобы администратор программы лучше разобрался какие именно функции выполняет сотрудник. Также для более удобного доступа к информации рекомендуется использовать интерфейсы программы (маски). Интерфейс представляет из себя набор пунктов меню и пиктограмм быстрого доступа ориентированных на принадлежность к той или иной деятельности: закупки, продажи, запасы, денежные средства, полный. Правильно выбранный или настроенный интерфейс обеспечит более удобное использование программы, избавляет от излишней загруженности программы ненужными функциями и т.д. Но, помните, что некоторые функции и пиктограммы интерфейса могут быть видны, но недоступны пользователю, если у него нет прав для просмотра. Т.е. наличие пункта меню в интерфейсе не гарантирует просмотр или внесение данных в данный пункт раздела.

НАСТРОЙКА ПРАВ ЧЕРЕЗ 1С ПРЕДПРИЯТИЕ

Кроме программных ограничений на проведение и редактирование документов, справочников других объектов в 1С также можно настраивать дополнительные права для удобства автоподстановки в документы: организации, ставки НДС, основного поставщика, подразделения, места составления документов и т.д. Зачастую единожды настроенные значения для автоподстановки могут значительно упростить ввод первичных документов, избавят от операции постоянного выбора повторяющихся реквизитов в документы.

После выбора пользователя, которому необходимо сделать настройку начинается непосредственно сама настройка с помощью выбора параметров и установки нужных галочек:

Чтобы завершить полную настройку необходимо настроить и дополнительные права пользователей

И также как при настройке основных настроек пользователя выполнить дополнительные настройки:

Мы привели некоторые выдержки из основных правил настройки прав доступа пользователей в программе 1С. Для правильной настройки рекомендуем обратиться к администраторам 1С, или компаниям осуществляющим сервис обслуживания программ 1С.
Если у Вас есть потребность настроить, разделить права пользователей в 1С, или вам необходима консультация - обращайтесь к нам за помощью. Работаем напрямую или удаленно с одинаковой эффективностью.

Профиль полномочий в программе 1С:УПП сочетает в себя:

• · Разграничение доступа к объектам, определяется списком ролей
• · Доступ к функциональным возможностям, задается настройкой дополнительных прав.

Примеры профилей:

• · оператор – возможность создания документов отгрузки
• · менеджер по продажам – кроме создания документов возможно изменение цены
• · старший менеджер по продажам – возможность отключения контроля взаиморасчетов

Таким образом, профиль полномочий в 1С:УПП полноценно описывает функциональные возможности пользователя.

Для профиля можно установить основной интерфейс, который будет открываться по умолчанию в сеансе пользователя, для которого проставлен текущий профиль. Впрочем, для каждого пользователя также можно установить собственный интерфейс.

Обмен профилями в 1С:УПП

В подменю "Администрирование" находятся средства для обмена профилями между базами:

• · Выгрузить профили - разрешает выгрузить профили в файл обмена.
• · Загрузить профили - разрешает загрузить профили пользователей из файла обмена, который был создан с помощью сервиса "Выгрузить".

Сервисные функции

В профиле пользователя существует полезная функция копирования настроенных дополнительных прав в другие профили. Ее удобно применять, когда создается несколько профилей. Вызвать функцию можно с помощью кнопки "Копировать" командной панели дополнительных прав. В открывшемся окне необходимо выбрать один или несколько профилей, в которые необходимо установить такие же дополнительные права, как и в текущем профиле.

Для того чтобы посмотреть каким пользователем установлен данный профиль, необходимо нажать на кнопку "Показать пользователей с текущим профилем".

Также существует возможность установить текущий профиль сразу нескольким пользователям. Для этого в 1С:УПП необходимо воспользоваться обработкой из меню "Администрирование" -> "Групповая обработка пользователей". В открывшемся окне можно добавить пользователей вручную, либо с помощью подбора.

Роли в 1С:УПП

Каждому профилю может быть присвоено несколько ролей.

При этом доступ к объектам определяется по правилу: действие разрешено, если оно разрешено, хотя бы для одной роли этого профиля.

Выделяют три вида ролей:

• 1. Обязательные. Без этих ролей невозможно работать в конфигурации. Единственная обязательная роль - "Пользователь". Она по умолчанию присваивается пользователям любого профиля.
• 2. Специальные. Эти роли наделяют пользователей функциональными возможностями, определяют права доступа к справочникам и документам.
• 3. Дополнительные. Данные роли определяют доступ пользователя к различным сервисным или регламентным механизмам конфигурации.

Специальные роли в 1С:УПП

Мастер смены

Роль определяет возможность ввода документов оперативного учета производства:"Отчет мастера смены","Отчет о составе смены» и «Завершение смены".

Администратор пользователей

Предоставляет доступ к объектам подсистемы "Администрирование пользователей": справочники "Пользователи", "Профили", настройка доступа на уровне записей и другие.

Полные права

Предоставляет права на полный доступ ко всем объектам системы (за исключением непосредственного удаления из базы данных). Данная роль может назначаться только администраторам базы данных, и ни в коем случае не должна быть присвоена пользователям.

Поскольку для этой роли система не выполняет никаких проверок:

• · Контроль достаточности ТМЦ
• · Контроль уровня дебиторской задолженности
• · Контроль даты запрета редактирования
• · И другие.

Дополнительные роли в 1С:УПП

Право администрирования

Предоставляет доступ к административным функциям системы: удаление объектов из базы данных, конфигурирование, управление итогами и другим.

Администрирование дополнительных форм и обработок

Роль позволяет добавлять записи в справочник "Внешние обработки", в котором хранятся:

· Внешние обработки заполнения табличных частей

· Внешние отчеты и обработки

· Внешние обработки, подключаемые к отчетам

Администрирование сохраненных настроек

Назначается пользователям, которым необходимо работать с сохраненными настройками отчетов на базе универсально отчета. То есть определяет доступ на удаление и создание записей в регистре сведений "Сохраненные настройки". Также эта роль необходима, чтобы иметь возможность добавлять произвольные поля в отчетах, построенных на СКД.

Право внешнего подключения

Если пользователь будет подключаться к базе через внешнее соединение (web-расширение, подключение по технологии OLE), ему необходимо установить данную роль.

Право запуска внешних отчетов и обработок

Позволяет пользователям запускать отчеты и обработки, расположенные во внешних файлах. Эту возможность нужно предоставлять только ответственным пользователям.

Дополнительные права пользователей

Разрешить проведение документа без контроля взаиморасчетов

Эта опция влияет на видимость флага "Отключить контроль взаиморасчетов" в документе "Реализация товаров и услуг". Обычно рядовым сотрудникам запрещено отгружать ТМЦ при несоблюдении условий взаиморасчетов, а для руководящих пользователей такая возможность должна быть.

Справочник «Пользователи» в 1С:УПП

В справочнике хранятся пользователи, работающие с системой. Элементы этого справочника указываются во всех документах в поле «Ответственный».

Существует классификация пользователей по группам. Причем группы бывают двух типов.

1. Первые влияют на иерархию в справочнике "Пользователи" и используются, преимущественно, для удобства навигации по справочнику. В этом случае каждая запись справочника принадлежит одной группе-родителю.

2. Также существует справочник "Группы пользователей", который предназначен для разграничения доступа на уровне записей. При этом один пользователь может входить в несколько групп пользователей. Вхождение пользователя в группы обеспечивается через пункт меню «Пользователи» - > "Группы пользователей".

Рисунок 1 - Справочник "Группы пользователей"

Ограничение доступа на уровне записей

Механизм построчного разграничения доступа данных применяется, когда необходимо организовать доступ только к некоторым элементам. Часто этот механизм называют RLS . Например, каждый менеджер по продажам работает со своей группой клиентов. Просматривать документы по клиентам не своей группы пользователю запрещено. Подобная задача решается с помощью ограничения доступа на уровне записей.

Ограничение доступа на уровне записей настраивается для справочника "Группы пользователей". Если пользователь входит в несколько групп, то области данных, которые ему будут доступны, объединяются. Например, для группы "МСК" доступны данные по организации "МебельСтройКомплект", а для группы "ЮФО МСК" - организации "ЮФО МебельСтройКомплект". Тогда если пользователю будут назначены обе группы, то он будет вводить документы от имени обеих организаций.

Включение ограничений на уровне записей можно выполнить из интерфейса "Заведующий учетом" главное меню "Доступ на уровне записей" -> "Параметры". Здесь же настраивается, по каким справочникам необходимо настраивать ограничение.

Непосредственно настройка RLS выполняется с помощью формы настройки прав доступа. Открыть форму можно главное меню "Доступ на уровне записей" -> "Настройка доступа". Также форму разграничения доступа можно вызвать из справочников, для которых возможна настройка RLS.

В рамках одной группы пользователей ограничения объединяются по логическому условию "И". Например, для группы "МСК" настроено доступ по организации "МебельСтройКомплект", и по группе доступа контрагентов контрагентов "Покупатель". Тогда пользователи данной группы смогут вводить документы только от имени "МебельСтройКомплект", и только для контрагентов, входящих в группу доступа "Покупатель".

Если пользователь входит в несколько групп, то его права на уровне записей объединяются по всем группам. То есть права разных групп суммируются по логическому условию "ИЛИ". Например, для группы "МСК" открыт доступ к документам только организации "МебельСтройКомплект", а для группы "Торговый дом "Комплексный". Если пользователю назначены обе группы, то он будет иметь доступ к документам обеих организаций.

Ограничение доступа на уровне записей применяется только для указанных справочников. Например, на рисунке для группы пользователей «МСК» определен доступ к организациям и внешним обработкам. Для всех остальных справочников группа пользователей "МСК" имеет полный доступ на уровне "RLS". Для того, чтобы обратиться к настройке группы, необходимо открыть форму с помощью контекстного меню, либо клавиши F2.

В форме элемента справочника "Группы пользователей" указывается по каим видам объектов будет применяться RLS, а также количество настроенных правил. Также возможно менять состав группы: включать или исключать из нее пользователей.

Если для какого-либо вида объекта не задано ни одного правила, это означает, что доступа к элементам этого справочника не будет вообще. Например, на рисунке для группы "МСК" нет ни одной строки у объекта "Внешние обработки". Это означает, что для пользователя группы "МСК" не будут доступны внешние обработки. Однако, если пользователь будет входить в две группы: "МСК" и "Торговый дом", то ему будут доступны все внешние обработки, как на чтение, так и на запись. Поскольку для группы пользователей "Торговый дом" не назначено ограничение доступа к внешним обработкам.

Рисунок 2 - Обработка для ограничения доступа на уровне записей

Производительность

Следует иметь в виду, что при включении механизма ограничения доступа на уровне записей, возможно замедление системы. Это связано с реализацией механизма RLS: в каждый посылаемый запрос к БД вставляется условие, где выполняется проверка соответствующих прав. Таким образом, каждое обращение к базе данных выполняется немного медленнее, а нагрузка на сервер возрастает.

Также важно то, в чем большее количество групп входит пользователь, тем медленнее будет работать система в его сеансе. Поэтому для увеличения скорости, прежде всего, рекомендуется уменьшить количество групп, в которые пользователь входит.

Роли, для которых не настроен RLS

При настройке ограничения доступа на уровне записей следует иметь ввиду, что для некоторых ролей не настроен RLS.

• · Для роли "Полные права" есть полный доступ ко всем объектам без ограничений на уровне записей.
• · Для роли "Планирование" возможно чтение (просмотр) всех объектов без ограничений RLS.
• · Роль "Финансист" допускает открытие многих объектов без проверки доступа на уровне записей.

Таким образом, при настройке профиля полномочий пользователя следует иметь в виду, что добавление одной из этих трех ролей может снять ограничения RLS. Например, для менеджера по продажам настроено ограничение доступа по организациям: пользователю доступны данные только по организации "МебельСтройКомплект". Если в профиль полномочий пользователя добавить кроме роли "Менеджер по продажам" роль «Финансист», то сотруднику в журнале "Документы контрагентов" будут видны документы по всем организациям.

Разграничение доступа по уровням в 1С:УПП - организации, подразделения, физические лица

Настройка доступа для справочников "Организации", "Подразделения", "Подразделение организаций"

Особенность справочника "Организации" заключается в том, что он не является иерархическим. Однако определение подчинения в нем возможно с помощью реквизита "Головная организация".

Справочники "Подразделения" и "Подразделения организаций" отличает то, что в нем организована иерархия элементов. Это означает, что любой элемент справочника может иметь подчиненные подразделения. При этом все записи равноправны, то есть, нет разделения на группы и элементы.

Перечисленные выше особенности означают, что значение реквизита "Вид наследования" можно заполнять либо значение "Распространить на подчиненных", либо "Только для текущего элемента".

По справочникам возможны следующие ограничения:

• · Чтение – определяет возможность просмотра данных в справочнике "Организации", формирования отчетов, а также документов по выбранной фирме
• · Запись – задает возможность создания и редактирования документов по выбранной организации

Отчет по системе прав в 1С:УПП

Для просмотра настроенных прав пользователей удобно использовать "Отчет по системе прав".

Отчет выводит данные:

• · По настройкам ограничения доступа на уровне записей в разрезе групп пользователей
• · Дополнительных прав пользователей в разрезе профилей
• · По группам пользователей
• · По профилям полномочий пользователей

Отчет по системе прав разработан с помощью "Системы компоновки данных", поэтому возможна его гибкая настройка.

Рисунок 3 - Отчет по системе прав

Просмотр прав доступа по ролям

Для того чтобы узнать какие роли имеют доступ к определенным объектам, необходимо воспользоваться конфигуратором. В ветке «Общие» -> «Роли» можно просматривать права, настроенные для каждой роли.

Если есть необходимость получить сводную таблицу, в строках которой будут выводиться объекты, а в колонках роли, то необходимо воспользоваться контекстным меню для корневого объекта "Роли".

В типовых решениях 1С Предприятия для платформы 8.1 предусмотрено разграничение прав доступа пользователей к информации. С одной стороны, это обеспечивает определенную степень информационной безопасности предприятия (пользователю доступна только информация необходимая для выполнения его задач), с другой - облегчает работу пользователям информационной системы (пользователь не видит лишней информации, которая может препятствовать качественному и своевременному выполнению своей работы и оперировать только необходимыми ему данными).

Существует 2 способа разграничения информации. На этапе конфигурирования - более общие права и на этапе ведения учета - более детальные права к определенным записям таблиц. Первый настраивается на этапе конфигурирования системы разработчиками прикладных решений. Например, в типовом решении «1С: Бухгалтерия 8.1 для Украины» предусмотрены следующие роли, которые должны быть использованы при формировании списка пользователей информационной системы в режиме «Конфигуратор»:

• «Бухгалтер» - основная роль.
• «Главный бухгалтер» - роль должна назначаться главным бухгалтерам и сотрудникам аудиторских служб предприятия;
• «Полные права», «Право администрирования», «Право администрирования дополнительных форм и обработок» - эти роли следует использовать осмотрительно, назначая их только тем пользователям, которые обладают полномочиями администрирования и сопровождения информационной системы.
• «Право внешнего подключения» и «Право запуска внешних обработок» - роли предназначены для обеспечения возможности использования внешних по отношению к информационной системе средств и механизмов.

Назначать всем пользователям подряд эти роли не рекомендуется. Необходимо все-таки четко разграничить полномочия пользователей.

Формирование и настройка списка пользователей информационной системы осуществляется в режиме «Конфигуратор» (меню «Администрирование -> Пользователи»).

В настройках указывается полное имя пользователя, пароль доступа к базе, выбирается интерфейс и язык информационной базы, и назначаются его роли. Пользователю можно назначить несколько ролей одновременно.

В некоторых типовых решениях возможность создавать пользователей существует и в режиме 1С Предприятие. Для этого в справочнике «Пользователи» существует отдельная закладка «Пользователи БД» в которой можно формировать список пользователей:

После создания нового пользователя и запуска системы в режиме «Предприятие», информация об этом пользователе автоматически будет внесена в справочник «Пользователи». Эта операция выполняется разово при первом запуске информационной базы и сопровождается сообщением о добавлении пользователя в справочник. Список пользователей можно объединять в группы (подгруппы), поскольку справочник поддерживает иерархию. Например, можно создать следующие группы пользователей: администратор, кассиры, бухгалтеры. Права на такие действия имеют только те пользователи, которые выполняют административные функции. Доступ к справочнику осуществляется через меню «Сервис -> Пользователи». Доступ к настройке параметров текущего пользователя осуществляется через меню «Сервис -> Настройки пользователя».

Код элементов справочника «Пользователи» - текстовый. В качестве значения кода записывается «Имя пользователя», которое задано данному пользователю в Конфигураторе в списке пользователей системы, при входе в систему конфигурация определяет пользователя, который работает с системой, по совпадению имени пользователя в Конфигураторе и имени пользователя в справочнике «Пользователи». Следует отметить, что длина кода в справочнике 50 символов, поэтому не следует в конфигураторе задавать имя пользователя больше 50 символов.

Для связи справочника «пользователи» и справочника «физические лица» предусмотрен реквизит «Физическое лицо». Реквизит может быть пустым.

На закладке «Настройка» определяются индивидуальные настройки текущего пользователя. Эти настройки сгруппированы по функциональному назначению. Рекомендуется сразу же определить эти настройки, поскольку именно они во многом определяют поведение системы для каждого пользователя.

Настройки по умолчанию обеспечивают подстановку соответствующих значений в однотипные реквизиты документов, справочников, отчетов и обработок прикладного решения. При грамотном использовании этого механизма существенно сокращается время работы пользователей с объектами информационной системы, исключаются многие виды ошибок ввода;

Настройки панели функций управляют поведением сервисного механизма «Панель функций», с помощью которого можно осуществлять быструю навигацию по разделам информационной системы и получат! контекстную справку. Особенно полезно использование этого механизма при начале работы;

Остальные настройки управляют поведением системы на уровне конкретных ее элементов. Например, при включении контроля корреспонденции счетов во всех документах, справочниках и отчетах при выборе значения счета из бухгалтерского или налогового плана счетов будет осуществляться принудительный отбор счетов доступных к выбору исходя из состояния специализированного регистра сведений

«Корректные корреспонденции счетов бухгалтерского учета», что сильно ограничит возможности конкретного пользователя. В то время как у его соседа информационная система будет себя вести совсем иначе (описываемый флаг выключен).

На закладке «Контактная информация» вводится информация о контактной информации пользователя - адрес, телефон, адрес электронной почты и т.д.

На последней закладке «Доступ к объектам» осуществляется ограничение прав пользователей на уровне записей в таблицах информационной базы. Следует различать две технологии защиты информации, поддерживаемые в конфигурации:

Защита на уровне таблиц базы данных;

Защита на уровне отдельных записей таблиц базы данных (RLS);

При ограничении прав пользователя на уровне таблиц, такой пользователь не сможет производить какие-либо действия с таблицей в целом. Осуществляется такое ограничение на этапе конфигурирования прикладного решения путем настройки соответствующих ролей. Например, если для роли «Менеджер » запретить интерактивную пометку на удаление в справочнике «Контрагенты», конкретный пользователь информационной системы, которому будет назначена такая роль, не сможет пометить на удаление ни один элемент справочника «Контрагенты». При этом ему могут быть доступны другие операции со справочником: просмотр, создание новых элементов, выбор имеющихся и т.д. Но при таком подходе невозможно, например, скрыть от такого пользователя «чужих» контрагентов (с которыми работают другие менеджеры предприятия) и данные по ним.

Для решения подобных задач используется механизм ограничения прав доступа на уровне записей (Record Level Security - RLS). В прикладных решениях предусмотрено ограничение прав при помощи этого механизма для определенных ролей, например, в информационной системе «1С: Бухгалтерия 8.1 для Украины» для двух ролей:

«Бухгалтер»;

«Главный бухгалтер».

При этом нужно учитывать то, что конкретному пользователю некоторые роли могут быть изначально не назначены.

Поэтому при ограничении, например, роли «Главный бухгалтер» для текущего пользователя никакого ограничения может и не произойти в случае, если этому пользователю в режиме «Конфигуратор» назначена только роль «Бухгалтер» и не назначена роль «Главный бухгалтер». Таким образом, перед тем как использовать эту механику нужно точно знать какие роли назначены конкретным пользователям информационной системы. В область ограничиваемых в типовой конфигурации данных попадают:

Организации из справочника «Организации». То есть при ограничении какого-либо пользователя набором организаций, он физически сможет оперировать только с данными, отраженными по этим организациям. Причем такое ограничение будет распространяться только на документы и отчеты. На справочники этот механизм в типовом решении не влияет (кроме самого справочника «Организации»). Таким образом обеспечивается единство нормативной и номенклатурно-справочной информации в рамках информационной базы.

Внешние отчеты и обработки, подключенные через специализированные сервисные механизмы;

Технически описываемый механизм является универсальным. Поэтому при необходимости им можно пользоваться при доработке конфигурации для ограничения прав пользователей согласно условий конкретной задачи. Например, предусмотреть какое-либо ограничение доступа к элементам списка номенклатуры.

Физически доступ к механизму ограничения прав на уровне записей таблиц базы данных может быть осуществлен из четырех объектов прикладного решения:

Справочник «Пользователи». Здесь на закладке «Доступ к объектам» для текущего пользователя делается набор «разрешенных» объектов и «разрешенных» действий над ними в разрезе каждой роли

Справочник «Группы пользователей». Для удобства работы предусмотрена возможность объединения пользователей в группы. Для этих целей используется специальный справочник «Группы пользователей». Для каждого элемента справочника можно задавать список пользователей, который хранится в табличной части элемента справочника. В справочнике «Группы пользователей» присутствует один предопределенный элемент «Все пользователи». Список пользователей для этого предопределенного документа не подлежит изменению и физически он пуст. Доступ к справочнику осуществляется через меню «Сервис -> Группы пользователей» полного интерфейса. Дополнительно в каждой группе должен быть определен ее администратор, который будет осуществлять изменение состава группы с течением времени. Закладка «Доступ к объектам» и принципы работы с ней аналогичны рассмотренной выше для справочника «Пользователи»;

Справочник «Организации». Здесь на закладке «Доступ к объектам» для текущей организации определяется набор «допущенных» пользователей (или групп пользователей) и «разрешенных» им действий текущим объектом в разрезе каждой роли;

Независимо от настроек прав доступа и определенных на этапе конфигурирования ролей, информация обовсех действиях всех пользователей при работе с информационной базой может отражаться в журнале регистрации.

Журнал регистрации вызывается из пункта меню «Сервис -> Журнал регистрации». Подробное описание порядка работы с журналом регистрации приведено в книге «Руководство пользователя».

Информационная система обладает набором средств управления, в который входит: главное меню, панели управления, строка состояния. Все вместе это называется интерфейс пользователя.

Для облегчения работы с информационной системой предусмотрено несколько интерфейсов:

Административный,

Бухгалтерский,

обеспечивающих выполнение различных функций. Основными рабочими интерфейсами являются «Бухгалтерский» и «Полный». «Бухгалтерский» интерфейс беднее «Полного», в нем отсутствуют некоторые команды и возможности.

Но принципы построения обоих интерфейсов одинаковы. Все команды в них сосредоточены в меню. Каждое меню предназначено либо для выполнения сервисных или общих функций, либо «обслуживает» конкретный раздел учета. В меню последнего типа могут быть подменю, ориентированные на выполнение конкретных функции в рамках такого раздела учета. При этом команды вызова журналов и списков документов расположены выше, чем команды вызова справочников и других элементов нормативной и номенклатурно-справочной подсистемы. Несмотря на то, что при старте системы в первую очередь придется работать именно с элементами нормативной и номенклатурно-справочной подсистемы каждого раздела типовой конфигурации, далее при обычной оперативной работе журналы и документы будут требоваться чаще, чем справочники. Вся отчетность сосредоточена в отдельном меню.

При создании карточки пользователя информационной системы в режиме «Конфигуратор», назначается основной интерфейс, который будет использоваться по умолчанию при запуске программы. Вместе с тем, есть возможность переключаться в течение сеанса работы с информационной системой между интерфейсами. Осуществляется это через меню «Сервис -> Переключить интерфейс. При этом следует понимать, что возможность изменения средств управления информационной системой не приводит к автоматическому изменению и прав доступа.

То есть возможны ситуации, когда элемент можно просмотреть, но нельзя с ним ничего сделать (будет выдано соответствующее предупреждение), поскольку есть соответствующие ограничение в правах какой-либо роли, назначенной текущему пользователю.