В 1С:Документообороте 8 управление правами доступа построено как комплексная система. Она включает назначение полномочий и политик, работу с разрезами и группами пользователей, а также механизмы делегирования и проверки доступа. В статье мы подробно разбираем администрирование прав и показываем, как эти инструменты помогают организовать безопасную и прозрачную работу с данными.
В информационной базе предприятия сосредоточены данные, от сохранности и правильного использования которых зависит работа организации. Утечка или случайное предоставление лишнего доступа может привести к серьезным последствиям, поэтому в «1С:Документооборот 8» реализуется разграничение прав пользователей.
Система одновременно решает две задачи: защищает информацию и делает работу сотрудников более удобной. Каждый пользователь получает доступ только к тем объектам, которые необходимы для выполнения должностных обязанностей, при этом исключается просмотр и изменение информации, не относящейся к его задачам.
В основе настройки лежат полномочия — базовый набор ролей, определяющий доступ к определенным видам данных. Так, полномочия «Администратор», «Руководитель подразделения» или «Ответственный за ЭДО» включают заранее определенные роли и тем самым формируют основные границы работы в системе.
Дополнительно права уточняются с помощью политик доступа, настроек прав папок и рабочих групп. Политики доступа задают глобальные разрезы информационной базы, например по организациям или грифам доступа. Рабочие группы и ограничения прав папок позволяют гибко сузить доступ, исходя из конкретных условий работы и назначенных обязанностей.
Администрирование прав пользователей
Назначение и контроль прав доступа выполняется через меню «Настройка и администрирование – Права доступа». Здесь администратор или пользователь с полными правами открывает окно «Управление расчетом прав», в котором сосредоточены все основные инструменты администрирования.
В этом окне доступен переход по гиперссылке «Настройки» для установки параметров прав, а также возможность вручную выполнить полное или выборочное обновление через ссылку «Обновление прав». Отдельный график отображает динамику очереди обновления за сутки, при необходимости можно открыть список текущих элементов очереди.
Для контроля корректности расчетов формируются отчеты. Отчет «Дескрипторы доступа» показывает количество действующих, неиспользуемых и помеченных на удаление дескрипторов, что помогает поддерживать оптимальную скорость расчетов. Отчет «Динамика очереди» отражает изменение количества элементов в оперативной и долгой очередях на основании метрик системы. В отчете «Сведения об информационной базе» отображается информация о числе записей в справочниках, документах и регистрах. Отчет «Состав очереди» фиксирует текущее количество элементов в очереди в разрезе типов.
Структурирование прав через полномочия
Полномочия представляют собой готовый набор ролей, обеспечивающих доступ к данным в «1С:Документообороте 8». Такой подход особенно удобен, когда в организации работает большое количество сотрудников с однотипными функциями, поскольку полномочия позволяют структурировать права в соответствии с должностными обязанностями.
В стандартной поставке системы предусмотрено четырнадцать полномочий. Среди них — «Администратор» с полным доступом к любым данным и функциям, «Пользователи» с базовыми правами на работу с файлами, внутренними документами, задачами и процессами, а также «Руководители подразделений» и «Руководители проектов», получающие расширенные возможности по управлению задачами, отчетами и проектами своих подчиненных.
Для делопроизводителей предусмотрены полномочия на работу с входящими и исходящими документами и делами хранения, для контролеров — специальные режимы доступа к отчетам, задачам и бизнес-процессам. Отдельные полномочия позволяют вести нормативно-справочную информацию, работать с электронным документооборотом и синхронизировать данные с другими программами. Есть и специализированные наборы, например для контроля самочувствия сотрудников или для подключения внешних отчетов и обработок.
Настройка полномочий обычно выполняется на этапе внедрения системы, и в большинстве случаев возможностей предопределенных наборов оказывается достаточно для администрирования доступа. Однако при необходимости администратор может создавать собственные полномочия или редактировать существующие наборы ролей, адаптируя их под специфику бизнес-процессов.
При необходимости администратор может создать собственные полномочия или модифицировать существующие. При этом важно учитывать ряд особенностей. Если создаются самостоятельные полномочия, аналогичные полномочиям «Пользователи», в них обязательно включаются роли «Базовые права БСП», «Базовые права БСП КОРП», «Базовые права Интернет-поддержки пользователей», «Базовые права по электронным документам» и «Базовые права пользователя».
Если же в полномочия добавляется роль «Полные права», то для них перестают действовать все ограничения доступа. Поэтому такая роль допускается только в предопределенных полномочиях «Администратор».
Роли назначаются полномочиям через установку или снятие флажков в списке разрешенных действий. Выдача полномочий пользователям возможна несколькими способами: из карточки самих полномочий по ссылке «Кому выданы», напрямую в карточках пользователей, рабочих групп или подразделений.
Полный список полномочий, выданных конкретному сотруднику, вместе с соответствующими ролями можно посмотреть в отчете «Настройки доступа пользователей», который открывается из панели отчетов раздела «Настройка и администрирование».
Ограниченные и неограниченные права ролей
Роли в «1С:Документообороте 8» могут назначать как ограниченные, так и неограниченные права. Ограниченные права позволяют работать только с собственными объектами, тогда как неограниченные дают доступ ко всем данным определенного вида. Например, роль «Работа с процессами и задачами» ограничивает доступ только участникам процессов, а роль «Контроль процессов и задач» снимает эти ограничения.
Для неограниченного чтения предусмотрены отдельные роли: «Чтение внутренних документов без ограничения», «Чтение входящих документов без ограничения», «Чтение исходящих документов без ограничения», «Чтение процессов и задач без ограничения» и «Чтение файлов без ограничения». По умолчанию они не включены в полномочия, и для их применения создаются новые полномочия.
Неограниченные права нельзя сузить никакими дополнительными настройками. Если сотрудник получает доступ шире назначенного, используется отчет «Неограниченные права» для проверки.
Настройка политики доступа в 1С:Документооборот
Политики доступа определяют, кому и на какие разрезы данных предоставляются права. Разрезы задают границы областей, с которыми разрешено работать: это виды внутренних, входящих и исходящих документов, виды мероприятий, организации и грифы доступа.
Политики позволяют настроить как общие правила для рабочих групп и подразделений, так и индивидуальные разрешения для конкретного пользователя. Каждая политика включает одно или несколько разрешений, которые в совокупности формируют персональные настройки доступа.
В системе различаются общие и специальные разрешения. На закладке «Общие разрешения» задаются уровни доступа — чтение, редактирование или регистрация, которые можно копировать между разрезами.
Специальные разрешения используются, когда требуется настроить доступ не для всех, а только для конкретной рабочей группы или отдельного пользователя в пределах определенных разрезов.
Это инструмент тонкой настройки, позволяющий задать исключения из общих правил. Например, можно разрешить рабочей группе «Руководители подразделений» просматривать внутренние документы организаций «Орг1» и «Орг2», но редактировать только документы «Орг1».
Включаются специальные разрешения через путь «Настройка и администрирование – Настройка программы – Права доступа – Специальные разрешения». Таким образом, они позволяют гибко управлять правами внутри одной политики доступа и точно определить, какие группы сотрудников работают с какими данными.
Расчет прав работает по определенному принципу: сначала применяются специальные разрешения, если они есть; при их отсутствии действуют общие. Общие разрешения предоставляют доступ только в том случае, если пользователь имеет права по всем разрезам объекта — организации, грифу, вопросу деятельности. Специальные разрешения не расширяют друг друга: если задано несколько, они действуют параллельно, но не объединяются.
Отдельный инструмент политик доступа — локальные администраторы. Они назначаются независимо от рабочих групп и прав папок и получают доступ напрямую. Например, начальнику договорного отдела можно назначить право на чтение всех договоров организации, даже если он не состоит в рабочей группе по конкретному договору.
Настройка выполняется через пункт «Настройка программы — Права доступа — Локальные администраторы» и строится по тому же принципу, что и специальные разрешения: назначение для конкретного предмета, выбор комбинаций разрезов и возможность задать несколько разрешений одному пользователю.
Рабочие группы: объединение пользователей по правам доступа
Для удобной настройки прав пользователей в «1С:Документообороте 8» применяются рабочие группы. Они позволяют объединять сотрудников по общим полномочиям и управлять доступом сразу для целой группы, а не для каждого пользователя отдельно.
Рабочие группы отображаются в разделе «Нормативно-справочная информация — Рабочие группы». При создании новой записи в карточке группы указываются наименование, группа-родитель и состав участников.
Группы формируются как по организационной структуре, так и по функциональному признаку. Структура рабочих групп может быть иерархической. В этом случае пользователи дочерних групп автоматически входят в состав родительской.
Таким образом, если в политике доступа выбрана группа «Производство», аналогичные права будут назначены и сотрудникам всех подгрупп. При этом один и тот же пользователь может одновременно состоять в нескольких группах, например в «Руководителях проектов» и в «Все пользователи».
Для подбора участников групп используется адресная книга. Если группа становится неактуальной, ей можно присвоить пометку «Недействительна».
Это не изменяет прав пользователей, уже входящих в неё, но скрывает группу из списков и блокирует редактирование состава. При необходимости пометку можно снять и вернуть группу в работу.
Просмотр прав по объектам
Контроль текущих настроек доступа осуществляется непосредственно из карточек пользователей, групп или подразделений. На панели действий карточки пользователя доступна команда «Группы и полномочия», которая открывает список рабочих групп, в которых он состоит, и полномочий, выданных ему. Для более детального анализа можно перейти по ссылке «Все настройки доступа» и сформировать отчет, отображающий все общие и специальные разрешения.
Аналогичный механизм действует и для рабочих групп или подразделений. В их карточках можно открыть список назначенных полномочий и разрешений политик доступа, а при необходимости сформировать отчет по всем активным настройкам.
Кроме того, для каждого разреза доступа — организации, документа, мероприятия или грифа — доступна команда «Политики доступа», показывающая перечень общих разрешений, действующих в рамках выбранного разреза.
Наши специалисты помогут настроить права доступа в «1С:Документообороте 8» с учетом структуры вашей компании и требований к безопасности. Обратитесь к нам, чтобы система работала прозрачно и без лишних рисков.
Делегирование прав доступа
Когда сотрудник временно отсутствует или уходит в отпуск, на больничный или в командировку — его задачи необходимо перепоручить другому человеку. В «1С:Документообороте 8» для этого используется механизм делегирования прав. Он позволяет передать полномочия одного сотрудника другому: как полностью, так и частично, только в рамках выбранных областей.
Настройка выполняется администратором через команду «Делегирование прав» в разделе «Настройка и администрирование». В карточке указываются сотрудник, от которого передаются права и перечень делегируемых областей.
Для этого в системе предусмотрен специальный справочник «Области делегирования прав», включающий административные функции, работу с документами и файлами, календарь, проекты, процессы и задачи, почту, обсуждения, мероприятия и контроль.
Новые области добавлять нельзя — их состав фиксирован. Делегирование можно настроить на весь доступ сотрудника или ограничить его отдельными областями, например только задачами или календарём.
Механизм делегирования гибко управляется по времени. В карточке можно установить дату начала и окончания с точностью до минут, при этом минимальный срок действия составляет 15 минут.
Регламентное задание «Обработка правил делегирования прав» автоматически включает и отключает делегирование в зависимости от периода, поэтому в списке одновременно могут отображаться как действующие, так и завершенные правила.
Следует учитывать важные особенности. Во-первых, полномочия не передаются: если у делегата отсутствует необходимое полномочие для работы с объектом, доступ к нему не будет предоставлен даже после делегирования. Во-вторых, делегируются не сами настройки, а результат их применения. Это значит, что если у обоих сотрудников нет доступа к определённому объекту, он не откроется и в результате делегирования.
При делегировании прав автоматически передаются и роли исполнителей — изменить их состав вручную невозможно.
Расширение прав руководителей
Отдельно в системе предусмотрен механизм расширения прав руководителей подразделений. В настройках программы можно включить параметр «Добавлять руководителям доступ подчинённых». В этом случае руководитель автоматически получает доступ ко всем данным, с которыми работают его сотрудники. Если параметр не активирован, права руководителя нужно настраивать вручную.
Важно понимать, что, как и при делегировании, руководителю передается только результат расчёта прав подчиненных, но не их полномочия. Поэтому некоторые ограничения могут сохраняться даже при включенной опции.
Проверка настроенных прав доступа
В системе предусмотрены инструменты, которые позволяют в любой момент проверить, какие права действуют для конкретного объекта информационной базы. Перейти к этим данным можно из карточки объекта по команде «Еще — Права доступа». Доступ к команде имеют все пользователи, однако уровень информации, которую они видят, зависит от их полномочий.
В карточке «Права доступа» отображаются рассчитанные права по объекту, при необходимости можно выполнить их немедленное обновление, даже если в системе включено отложенное обновление. Для администраторов дополнительно открывается закладка «Данные для расчета прав», где показываются сведения, на основе которых система сформировала доступ. Это помогает не только увидеть результат, но и понять, почему именно он получился.
Для анализа ситуаций, когда пользователю назначены более широкие права, чем ожидалось, используется отчет «Неограниченные права». Он показывает, какие полномочия и роли привели к тому, что у сотрудника появились неограниченные права на работу с документами, файлами или процессами.
Такой отчет особенно полезен администраторам при разборе спорных случаев, когда доступ предоставлен в обход ограничений папок или рабочих групп. При этом важно учитывать: неограниченные права, назначенные полномочиями, не могут быть ограничены другими настройками.
Все строки отчета связаны гиперссылками, что позволяет перейти к карточке полномочий и детально изучить, кому именно они выданы. Для комплексного контроля в системе также предусмотрен отчет «Настройки доступа пользователей», где выводится полный список полномочий конкретного сотрудника и соответствующих им ролей.
Поддержание актуальности настроек обеспечивается автоматически. Регламентное задание «Удаление устаревших данных» очищает базу от дескрипторов доступа, которые больше не используются. Если объект, связанный с дескриптором, был помечен на удаление, то и сам дескриптор получает такую же отметку. При этом, если объект снова становится актуальным, система снимает пометку и восстанавливает права.
Правильно организованная система прав в «1С:Документообороте 8» помогает сотрудникам работать только с теми данными, которые им нужны, и при этом сохраняет прозрачность бизнес-процессов. Такой подход позволяет повышать и безопасность и производительность работы компании.
Бесплатная консультация эксперта
Ярослав Кудинов
Руководитель проекта, технический архитектор
