v8: Разграничение прав доступа к документу 1с 8.1 #539986

Как запретить просматривать/редактировать документ созданный другим пользователем в 1С предприятие 8.1 ЗиУП 2.5, а администратору и еще одному пользователю разрешить всё, в тоже время "свои" документы пользователь мог бы изменять, удалять и тд.

Запретить всем? Один документ? Документ одного вида? Или запретить просматривать документы созданные не этим пользователем?

только в разрезе 1 документа, есть отдельная роль ограничивающая все кроме ввода этого документа, а еще хотелось бы по пользователям разделить

RLS

это понятно, но вопрос КАК остался висеть в воздухе

Может быть реквизит добавить?

Зачем? У большинства документов есть реквизит "Ответственный", который, как правило, и является автором. Особой сложности, вроде как, нет. RLS такая задача вполне решается. Есть одно НО: со временем выясняется, что в связи с тем, что расчетчики уходят в отпуска и увольняются, необходимо иногда дать доступ  пользователю не только к своим документам, но и к документам других пользователей (на случай отсутствия или увольнения последних). Тут уже надо придумывать вспомогательный регистр, где заполнять данные о том, кто чьи документы может смотреть/править и каких видов. И еще один вопрос - с регистрами. Как должна вести себя система, если пользователь может смотреть отчеты по регистру расчета, но не может смотреть некоторые документы, являющиеся регистраторами записей в регистре?

"прочие поля"? если да то тогда как записать в "ограничение доступа" что пользователю 1 запрещен доступ к документам пользователя 2 и 3 и т.п., а пользователю 4 все разрешено?

Dmitrii, получается бред, согласен. Поэтому нужен пользователь который будет иметь доступ ко всем документам.

[Тут уже надо придумывать вспомогательный регистр] угу и к нему группы документов и группы пользователей + подписку, блокирующую запись с Ответственный<>Текущий пользователь

для пользователей с ограничением прописываешь доступ только на свои документы (по отвественному), для пользователей без ограничения просто не пишешь на этот объект RLS и даешь все права. Проще некуда

проще тогда как в УПП - группы пользователей и в ограничениях условие на группу

>> нужен пользователь который будет иметь доступ ко всем документам. Это само собой, но это не решение проблемы. Или ты её не понял. Пример: Есть пользователи Расчетчик1, Расчетчик2 и Директор. Первые правят и видят только свои собственные документы, а последний имеет полные права на всё. Расчетчик2 заболел или уволился. И что дальше? Теперь за него должен работать Директор? А когда уволится Расчетчик1, весь расчет будет делать Директор? >>  как записать в "ограничение доступа" что ... пользователю 4 все разрешено? это пользователь с полными правами. >> как записать в "ограничение доступа" что пользователю 1 запрещен доступ к документам пользователя 2 и 3 и т.п. В РЛС пишется, как правило, что разрешено, а не что запрещено... А вообще, ИМХО, придется всё равно решать вопрос через вспомогательный регистр сведений с измерениями ПользовательАвторДокумента(группа) и ПользовательИмеющийПравоНаДокумент(группа). PS Если ты ждешь текст шаблона ограничения или РЛС-запроса, то я тебе его не дам ;)

"И еще один вопрос - с регистрами. Как должна вести себя система, если пользователь может смотреть отчеты по регистру расчета, но не может смотреть некоторые документы, являющиеся регистраторами записей в регистре?" хороший вопрос автору :))

у меня RLS погашен, все бизнес-правила на подписках

Сорри, коллеги, вмешаюсь: можно без RLS использовать, а "по старинке" в обработчики объекта и формы документа вставить проверку на ответственного. Согласен, решение не фонтан - надо вносить изменения в конфигураторе. Но я такое использовал ещё до RLS: если текущий пользователь не "Ответственный" и не имеет полных прав - форма ему не открывается (или открывается толькона просмотр), объет не редактируется...

"Теперь за него должен работать Директор?" Можно сделать одного "главного" расчетчика, Расчетчик3, без ограничений...который будет отдуваться за всех :))))

Упс, забыл самое главное: пользователь, который является ответсвенным, может изменить это значение. Соответственно, после записи документа, он "лишается" права редактирования и "передает" права другому пользователю. Так я "решал" проблему движения документа по инстанциям между сотрудниками.

а как прописать это? в таблице "ограничения" добавил реквизит "ответственный", а что писать в колонке "ограничение доступа", конструктор мне ничем не помог

это уже "каменный век" :)) а вообще в 7-ке так и извращались...но это тупо ограничение на открытие формы/редактирование. Обычно задача стоит шире - "не свои" документы не должны "вылезать" и быть видны нигде...

идеально было бы прописать ограничения по группам пользователей, тогда при увольнении редактируется справочник "пользователи"

Ну не знаю, каменный век или нет :) - но, по прежнему,  в конфах есть документы, но нет... документооборота :( Т.е. фиксации движения документов по инстанциям (принят, утверждён и т.д.)

прописать что? в какой т-це? Посмотри типовые, как там написано. Тебе нужно условие по ответственному. В параметрах сеанса есть же ТекущийПользователь?

хм, а ты шаришь...

тогда доступность документов будет в рамках участников одной группы. Опять же, это есть в УПП (про другие конфы - не знаю), посмотри там.

это комплимент или ирония? :)))

Оценочное суждение

по теме

Вполне имеет право на жизнь. Но придется тогда долго разбираться как обрезать пользователю возможность увидеть чужие документы в отчетах и естественно запретить запуск внешних отчетов. Короче это дырявая заплатка, которую легко обойти даже не будучи семи пядей во лбу. Особенно с нынешними модными отчетами на СКД, где пользователь может сам выбрать набор полей в отчет.

ну или вот

ГДЕ Ответственный = &ТекущийПользователь писать научился, но надо по группам, подскажите как это сделать?

а главное - подробно и доступно, с примерами :))))

это комплимент или ирония?

:)))) решил все-таки с группами заморочиться? Тогда надо справочник добавить (если нет в конфе) и в запросе тогда объединяй с этим справочником, выбирай пользователей той же группы (не забудь про ситуацию, когда один пользователь может попасть в несколько групп), ну и Ответственный В (полученный список) :) это суть, надеюсь запрос осилишь :)

ничем не отличается от текущей темы, очень жаль, злые вы какие-то чтоли, буду пробовать ГДЕ Ответственный = &ТекущийПользователь, другого пока не собразил, по группам пожалуй уже и не надо, другая роль будет у, назовем его "главрасчетчик", всем спасибо!

это :)))

ну раз тема перешла во флирт, тогда и я отклонюсь, подскажите как ускорить время загрузки базы, находится на сервере, обычный вариант доступа, т.е. платформа на каждом а база в сети

Я не флиртовал

спасибо, база теперь просто летает

Напишите и мне что нибудь может и у меня файловая 7.7 тоже полетит.

Это к , по мальчикам - это не ко мне

ну это же элементарно. Удали все индексные файлы и файлы 1Cv7.CFG. В пять раз быстрее начнет пахать.

весна однако :)) автор сейчас опять обидится :)

а как всетаки ускорить, раньше грузилась шустрее, сейчас до 15 минут