Juurdepääsurühmad üksikisikutele 1c. Uue kasutaja lisamine ja talle õiguste määramine

Allsüsteemis " Juurdepääsu kontroll"sisaldub BSP -s, juurdepääsuseade andmetele andmebaasi tabelite (RLS) rekordtasemel läbi kahe kataloogi - " Juurdepääs grupiprofiilidele"ja" Juurdepääs rühmadele". Kasutajarollid konfigureeritakse esimese kataloogi kaudu, samas kui RLS -i saab konfigureerida mõlema ülalmainitud kataloogi kaudu - andmebaasi administraatori valikul.

Tahaksin märkida, et alamsüsteemil on võimalus eristada andmetele juurdepääsu nii elementaarsete kui ka elementide komplekti järgi, mis on kombineeritud mõne atribuudiga. Võtame näitena teatmeteose " Üksikisikud", võimalus konfigureerida RLS, mis on saadaval peaaegu kõigis tüüpilistes konfiguratsioonides ja mis on tehtud spetsiaalse viite abil" ". Kataloogi iga elemendi jaoks" Üksikisikud"seda on võimalik oma nõudes täpsustada" Juurdepääsurühm"vastav element kataloogist" Juurdepääs rühmadele üksikisikud ", mille järel näidatakse iga kasutaja (või kasutajate rühma) jaoks talle (neile) vastav töörühma juurdepääsurühm. Seega teatmeteos" Üksikisikud"toimib juurdepääsupiirangu objektina (praktiliselt iga süsteemi objekt võib sellisena toimida) ja teatmeteos" Individuaalsed juurdepääsurühmad"vahendina (vahendina), et eristada juurdepääsu teemale.

Liigume nüüd edasi selle juurde, et oletame, et meil oli vaja korraldada mõnele konfiguratsiooniobjektile juurdepääsu diferentseerimine vastavalt teatud kriteeriumile, kuid pole võimalust programmis sellist eristust seada. Võtame näitena näiteks tüüpilise konfiguratsiooni " Ettevõtte raamatupidamine 3.0"(BP), sealhulgas alamsüsteem" Juurdepääsu kontroll"ja milles puudub võimalus seadistada RLS vastavalt kataloogile" Töövõtjad". Enne konfiguratsiooni muutmist Tahaksin teha ka reservatsiooni - tehtud muudatused sõltuvad konfiguratsioonis kasutatud BSP versioonist, kuid põhimõte jääb samaks. Selles artiklis kasutatakse BSP versiooni 2.2.2.44.

Ja nii, meie toimingute jada konfiguraatoris, mille eesmärk on rakendada kohandamisvõimalus RLS -i konfiguratsioonis vastavalt viitele " Töövõtjad"(meie puhul on see juurdepääsupiirangu objekt) järgmine:
1. Filtreerige konfiguratsiooni metaandmete puu alamsüsteemi järgi " Tavalised alamsüsteemid" - "Juurdepääsu kontroll".
2. Konfigureerimistoe konfigureerimisega (kui kasutatakse tugimehhanismi) lubage võimalus muuta järgmisi konfiguratsiooniobjekte:
aga. Konfiguratsiooni juur.
b. Viide " Töövõtjad".
sisse. Määratletud tüüp " Juurdepääsu väärtus".
d. ürituse tellimine " ".
 d ... Üldine moodul " ".
3. Lisage konfiguratsiooni uus kataloog " Vastaspoole juurdepääsurühmad".
4. Lisa kataloogi " Töövõtjad"uued rekvisiidid" Juurdepääsurühm"viite tüüp meie uuele kataloogile.
5. Määratletud tüübi puhul " Juurdepääsu väärtus"sisaldab viiteid komplekstüübi viidetele" Töövõtjad"ja" Vastaspoole juurdepääsurühmad".
6. Sündmuse tellimiseks "RefreshAccessValuesGroups "täpsustage ka teatmeteos allikana" Töövõtjad".
7. Avage ühine moodul "Juurdepääsu kontroll "ja sisestage allolevad koodijupid oma kolme protseduuri.
8. Rollist väljas " Liikmete muutmine juurdepääsurühmadeks"kopeerige nimedega RLS -mallid vajalikule rollile (või rollidele, mis määravad juurdepääsu kataloogile)" Väärtuste järgi"ja" Laiendatud väärtuste järgi". Määrake oma rollid nõutava loa saamiseks ühte mallist (näiteks" Lugemine"), nagu on näidatud alloleval ekraanipildil.
9. Käivitage konfiguratsioon kaustas " Ettevõtted"käivitusparameetriga" RunDataBase värskendus"(või helistage ekspordiprotseduurile") RefreshParametersAccess Piirangud"ühine alamsüsteemi moodul" Access ControlService").

Pöörame tähelepanu pigem oluline punkt: viimases protseduuris peate võib -olla lisama suur kogus koodiread, kui kavatsete piirata juurdepääsu mitte ainult kataloogile "Töövõtjad", aga ka teistele selle kataloogiga seotud konfiguratsiooniobjektidele, näiteks dokumentidele juurdepääsu piiramiseks"Kaupade ja teenuste müük"rekvisiitide järgi" Vastaspool"- sel juhul on juurdepääsupiirangu objektiks dokument ja teatmeteos"Töövõtjad"on kriteerium, mis piirab juurdepääsu teemale, kasutades kataloogide eraldaja tööriista"Vastaspoole juurdepääsurühmad".

Protseduur, kui täidetakse juurdepääsutüübid (AccessTypes) eksporditakse palgaraamid.Access ControlFillAccessViewProperties (AccessTypes); // + Meie insertAccessAccessories = AccessTypes.Add (); AccessKind.Name = "Töövõtjate rühmad"; // juurdepääsu tüübi nimi (kasutatakse RLS -i rollides) AccessType.Presentation = НСтр ("ru =" Contractor groups ""); AccessKind.ValuesType = Tüüp ("DirectoryLink.Contractors"); // juurdepääsu piirangu kriteerium AccessAccess.ValueGroupType = Tüüp ("ReferenceLink.AccessAccessGroups of Contractors"); // juurdepääsu piiramise tööriist // -Meie sisestage EndProcedure protseduur OnFillingUsingAccessView (AccessViewName, Usage) Export SalaryFrames.AccessControlFillUsingAccessView (AccessViewName, Usage); // + Meie sisestus If AccessViewName = "ContractorGroups" Siis Usage = True; EndIf; // -Meie sisestage EndProcedure protseduur WhenFillingKinds ofRightObjectMetadataRightRights (Kirjeldus) Eksport // + Meie sisestus // määrates RLS -iga hõlmatud metaandmeobjektide õigused Description = Description + "| Directory.Contractors.Reading.ContractorGroups | Directory.Contractors.Change.Parties . "; // -Meie sisestus EndProcedure

Pärast IB värskenduse lõpetamist programmis peate tegema järgmist.
1. Täitke äsja süsteemi lisatud teatmik " Vastaspoole juurdepääsurühmad".
2. omamakataloogi elemendid " Töövõtjad"täitke vajalikud andmed vastavalt vajadusele" Juurdepääsurühm".
3. Viites " Juurdepääs grupiprofiilidele"(või kataloogis" Juurdepääs rühmadele") kohta" Juurdepääsupiirangud"seadistage RLS -i sobivalt vastaspoolte juurdepääsurühmade kaupa (allpool ekraanil - kasutajad, kellele profiil on määratud") Meie uus juurdepääsuprofiil", töötab kataloogis ainult juurdepääsugruppidesse kuuluvate töövõtjatega" Hulgimüük"ja" Kindral").
4. Võimalik, et konfiguratsioonis tuleb ette näha mehhanism nõutava teabe automaatseks täitmiseks. " Juurdepääsurühm"kataloogi uute elementide jaoks" Töövõtjad"(selle haldamise hõlbustamiseks).

Kokkuvõte: Alasüsteemi kasutamine " Juurdepääsu kontroll"BSP -st võimaldab juhtida RLS -i mis tahes konfiguratsiooniobjektide jaoks, töötades samal ajal vähemalt kahte standardkataloogi" Juurdepääs grupiprofiilidele"ja" Juurdepääs rühmadele". RLS -i konfiguratsioonivõimalusi laiendatakse minimaalsete muudatustega alamsüsteemis. Juhul kui juurdepääsuõiguste piirangu kriteerium (või teema) on suur ja laieneb pidevalt (näiteks viide" Töövõtjad"), siis on võimalik juurdepääsu kriteerium (või teema) jagada teatud valdkondadeks ( meie puhul läbi "Vastaspoole juurdepääsurühmad"), muidu saate juurdepääsu eraldajana kasutada (ja mõtestada) kataloogi elemente ise (näiteks kataloogis") Organisatsioon Allsüsteemi kasutamise vaieldamatu eelis on ka juurdepääsuõiguste haldamise ühendamine infobaasis.

Vladimir Iljukov

Õigused, rollid, juurdepääsurühmade ja juurdepääsurühmade profiilid võimaldavad teil konfigureerida 1C Enterprise 8.3 kasutajaõigusi. Kasutajaõigused punktis 1C 8.3 on toimingute kogum, mida ta saab teha kataloogide, dokumentide, aruannete ja seadete üle. On väga oluline mõista neid mõisteid, kui programmiga töötab mitu kasutajat ja igaühele neist tuleb määrata sobivad õigused.

Artiklis kirjeldatakse, kuidas õigusi õigesti jaotada programmi 1C ZUP 3.1 kasutajate vahel, nii et igaüks neist saaks töötada oma pädevuse piires ja töökirjeldus... Artikkel ei tähenda erilisi arvutiteadmisi.

Profiilid ja juurdepääsurühmad 1C ZUP -is 3.1

Juurdepääsuõiguste eristamiseks 1C Enterprise 8.3 -s kasutatakse "õigusi", "rolle", teatmeteoseid "kasutajad", "juurdepääsurühmad" ja "juurdepääsurühma profiilid".

Seadus ja roll

Õigused ja rollid on mõned lubatud toimingud (lugemine, vaatamine, kustutamine, hoidmine jne) konstantide, viidete, dokumentide ja muude konfiguratsiooniobjektide suhtes. Iga õigus on toimingute üksus võimalike toimingute loendist. Minimaalne õiguste integreerija on roll. Iga roll koosneb konkreetsete õiguste kogumist. Õigused ja rollid luuakse konfiguraatoris. Kasutaja ei saa oma koostist muuta.

Nagu varasemad versioonid 1C Enterprise 8 kasutajat saab registreerida konfiguraatori režiimis ja määrata talle vajalikud kohad samas kohas. Kuid 1C ZUP 3.1 näeb ette umbes mitusada saadaolevad rollid(kasutajakaardil on need loetletud vahekaardil "Muu": "Configurator> Administration> Users").

Kuna saadaval on nii palju rolle, on seda väga raske välja mõelda. Lisaks sellele ütlevad asjatundmatud paljud rollinimed vähe. Sellises olukorras on kasutaja jaoks konfiguraatoris rollide valimine väga aeganõudev ülesanne. Kuid kasutaja tasemel 1C ZUP 3.1 on see hõlpsasti lahendatav, kasutades viiteraamatuid „Juurdepääsurühmade profiilid” ja „Juurdepääsurühmad”.

Juurdepääs grupiprofiilide viitele

Iga Access Groupi profiilide kataloogi üksus on rollide integreerija. Selle viite lingi leiate aadressilt Haldus> Kasutajate ja õiguste seadistamine> Juurdepääsurühmad> Juurdepääsurühma profiilid. Arendajad on selles juba kirjeldanud kõige populaarsemaid profiile.

  • Administraator,
  • Ajakava,
  • Personaliametnik,
  • Kalkulaator jne.

Viites saate luua oma profiile, kuid enamikul juhtudel pole see vajalik. Eelmääratletud profiilid sisaldavad juba neile lubatud rollide komplekte (lubatud toimingud). Pange tähele, et ajavõtjal on minimaalne lubatud toimingute komplekt. Kuid isegi selle kirjeldamiseks kulus umbes 50 rolli, joonistamine.

Otsingu "Juurdepääsurühmade profiilid" elemendid määratakse sobiva väärtusena otsingu "Juurdepääsurühmad" atribuudis "Profiil".

Kataloog "Juurdepääsurühmad"

Selle kataloogi tähendus ja eesmärk on see, et see loetleb kasutajad (liikmed), kellele omistatakse kõik juurdepääsurühma profiili õigused.

Selle kataloogi avamiseks peate minema linkidele "Haldus> Kasutajate ja õiguste seadistamine> Juurdepääsurühmad> Juurdepääsurühmad". Sellesse on eelinstallitud üks juurdepääsurühm nimega "Administraatorid". Ülejäänud on loodud vastavalt vajadusele täieõiguslike kasutajate jaoks.

Sama "juurdepääsurühma profiili" saab määrata erinevatele juurdepääsurühmadele. Seevastu igal juurdepääsurühmal võib olla ainult üks juurdepääsurühma profiil. Paljudel juhtudel on mugav juurdepääsurühma, pildi nimeks märkida määratud juurdepääsurühma profiili nimi.

Vahekaardil „Grupi liikmed” on vaja loetleda kasutajad samanimelisest teatmikust. Valides tuleks juhinduda sellest, et juurdepääsurühm vastab tavaliselt oma liikmete ametlikele ülesannetele. Mida kõrgem positsioon, seda rohkem õigusi. Igal juurdepääsurühmal võib olla suvaline arv liikmeid, pilt.

Kirjeldatud konfiguratsiooniobjektide vahelisi suhteid illustreerib selgelt järgmine joonis.

Üldiselt võib sama kasutaja olla mitme juurdepääsurühma liige.

1C ZUP -i juurdepääsurühma profiilide kirjeldus 3.1

Eelnevast tuleneb, et kasutaja õigused määrab selle juurdepääsugrupi profiil, mille liige ta on. Jääb välja mõelda, kuidas juurdepääsurühmade profiilid erinevad. Näiteks profiilide 1C ZUP 3.1 nimest ei selgu, milles täpselt nende rollid erinevad.

  • Personaliametnik (ilma palgata).
  • Personaliametnik.
  • Kalkulaator.

Kahjuks pole neid konfiguratsioonis kirjeldatud. Nime järgi otsustades võib eeldada, et „personalijuhi” profiiliga kasutajal on erinevalt „personaliametnikust (ilma palgata juurdepääsuta”) mingisugune juurdepääs palgale. Aga kuivõrd see pole üldse selge. Teine küsimus: kas kalkulaatoril on õigus töötada personalidokumentidega?

Neile, kellel see on, saate tutvuda 1C antud juurdepääsurühma profiilide kirjeldusega. See on avaldatud, kuid väga lühike. Autori artikkel sisaldab rohkem Täpsem kirjeldus pääsete juurde grupiprofiilidele. Samal ajal, et mitte moonutada 1C antud kirjeldusi, on need artiklis märgitud spetsiaalse fondiga.

Administraator

"Administraatori" profiiliga kasutajal on õigus teha kõike, mida standardfunktsioon ette näeb. Selleks peavad sellisel kasutajal olema lubatud rollid "Administraator", "Süsteemihaldur" ja "Täielikud õigused".

Audiitor

Vaadake kõiki programmi andmeid, kuid ilma võimaluseta neid muuta, 1C.

Audiitor saab vaadata kõiki sektsioone, välja arvatud jaotis "Haldus". Ta saab vaadata personali- ja raamatupidamisdokumente ning koostada aruandeid. Audiitoril on õigus vaadata ainult reguleeritud aruandlust. Jaotis "Seaded" on ka audiitorile nähtav, kuid siin saab ta vaadata ainult olemasolevaid seadeid.

Tavaliselt kuulub see profiil audiitorite juurdepääsurühma. Samal ajal on soovitatav see lisada nende organisatsioonijuhtide juurdepääsurühma, kes oma ametikohustuste tõttu vajavad selle programmi andmeid, kuid nad ei tea, kuidas sellega töötada või mitte.

Ajakava

Ajaarvestusdokumentide vaatamine ja muutmine, 1C.

Lingid ajakirjadele, mis sisaldavad dokumente aja jälgimise muutmise kohta, asuvad jaotistes "Palk" ja "Seaded". Jaotis "Palk" sisaldab kahte linki: "Tabelid" ja "Individuaalsed töögraafikud", joonis.

Ajastikul on õigus ülejäänud objekte vaadata, kuid ta ei saa neid muuta. Personalidokumentides on teavet kavandatavate tasude kohta. Kuid neid ei kuvata ajavõtjale ja ta ei näe neid. Näiteks dokumendis "Töölevõtmine" kuvatakse ainult kaks vahekaarti "Peamine" ja "Tööleping". Vahekaarti "Tasu" ei kuvata, pilt.

Ajastikul on võimalus koostada mõningaid personaliaruandeid ja aruannet "Tööaja ajakava (T-13)".

Personaliametnik (ilma palgata)

See erineb personaliametnikust selle poolest, et plaanitud palgaarvestuse vaatamine ja muutmine pole saadaval, 1C.

Töötajatel, kellel puudub juurdepääs palkadele, võetakse võimalus vaadata kavandatud tasusid ja ettemakse arvutamise meetodit. Samuti ei saa nad vastuvõtmiskorraldust printida, kuna selles kuvatakse tekkepõhine laekumine. Kuid erinevalt tööajatabelist saavad töötajad, kellel puudub juurdepääs töötasule, luua uusi ja parandada olemasolevaid personalidokumente.

Lisaks on "personaliametnikul (ilma palgale juurdepääsuta)" võimalus genereerida kõik "personaliaruanded", redigeerida katalooge "Eraisikud" ja "Töötajad". Kuid tal pole õigust redigeerida katalooge "Organisatsioonid", "Alajaotused", "Ametikohad" ja neid, mis on seotud sõjalise registreerimisega.

Profiil "Personalijuht (ilma palkadeta)" on mõeldud neile kasutajatele, kes ei peaks nägema kavandatud tasusid (palgad, toetused jne).

Personaliametnik

Vaadake ja muutke töötajate kohta käivat teavet personaliandmete, sealhulgas planeeritud palgaarvestuse, samuti personalidokumentide osas. Ettevõtte struktuuri kataloogide vaatamine, 1C.

"Kadrovikul" on lisaks õigustele, mis "kadrovikidel (ilma palgata)," on õigus määrata, lisada ja muuta registripidajaid personaliarvestuse kavandatavate tasude kohta, joonis.

See tähendab, et "Kadrovikul" on võimalus mitte ainult näha kavandatud tasusid, vaid ka neid muuta. Seda profiili on soovitatav rakendada, kui nad ei tee töötajatele laekumiste kohta saladust.

Kõrgem personalitöötaja

See erineb personaliametnikust selle poolest, et ta saab muuta ettevõtte struktuuri katalooge ja personaliarvestuse seadeid, 1C.

Lisaks Kadroviku õigustele on vanempersonalil võimalik redigeerida sõjalise registreerimisega seotud organisatsioone, allüksusi, ametikohti ja teatmeteoseid. Lisaks on vanemametnikel õigus muuta personalitabelit.

Seoses juurdepääsuga allpool loetletud objektidele võib märkida järgmist.

  • Seadistamine> Organisatsioonid... Kõik üksikasjad on redigeerimiseks saadaval, välja arvatud vorm "Raamatupidamispoliitika".
  • Seaded> Viitlaekumised
  • Seadistamine> Hoia all... Saab vaadata ilma redigeerimisõiguseta.
  • Seadistamine> Sisendandmallid... Saab vaadata ilma redigeerimisõiguseta.

Kalkulaator

Dokumentide vaatamine ja muutmine palkade, sissemaksete, töötajate kohta teabe (selles osas, mis mõjutab arvutusi) arvutamiseks ja maksmiseks, 1C.

"Kalkulaatori" profiiliga kasutajal on võimalus vaadata personalidokumente ilma personaliteabe muutmiseta. Kuid tal on õigus muuta neis kavandatud tasusid. Näiteks personaliametniku määratud palka, kalkulaatorit saab muuta või lisada mõnda muud kavandatud kogunemist.

Kalkulaator ei saa iseseisvalt personalidokumente luua. Kuid tal on õigus kehtestada töötajate nimekirjale uus või muuta olemasolevat töögraafikut.

  • "Seaded> Organisatsioonid".
  • "Seaded> palgaarvestus".
  • "Seaded> Viitlaekumised".
  • "Seadistamine> ootel".
  • "Seaded> Sisendandmallid".

Teisisõnu, kalkulaatoril ei ole õigust mingeid seadeid teha. See töötab valmisseadetega.

Vanem kalkulaator

See erineb kalkulaatorist selle poolest, et on võimalik muuta palgaarvestuse, viitlaekumiste ja mahaarvamiste seadeid, 1C.

„Vanemkalkulaatoril” on lisaks „Kalkulaatori” õigustele ka järgmisi seadeid muuta.

  • Seadistamine> Organisatsioonid.
  • Seaded> Viitlaekumised.
  • Seadistamine> Hoia all.
  • Seaded> Lähteandmete sisestusmallid.
  • Samal ajal jääb "Seaded> palgaarvestus" vanemkalkulaatorile kättesaamatuks. Soovitav on määrata see profiil neile kalkulaatoritele, kellele kuulub uut tüüpi arvutuste moodustamise tehnoloogia.

HR-kalkulaator

Ühendab personaliametniku, kalkulaatori ja ajavõtja õigused, 1C.

Siin pole midagi lisada: kolm ühes. Soovitav on kasutada seda profiili, kui üks kasutaja tegutseb samaaegselt kolmes isikus: ajavõtja, personaliametnik ja kalkulaator.

Vanem HR-kalkulaator

Ühendab vanemametniku, vanemkalkulaatori ja ajavõtja õigused. Kaks viimast profiili on rakendatud programmi seadistamise hõlbustamiseks väikestes organisatsioonides, kus üks kasutaja saab vastutada kõigi raamatupidamisvaldkondade eest, 1C.

Siin on vaja selgitust. Tõepoolest, kõrgemal personaliametnikul-kalkulaatoril on õigus kohandada "viitlaekumisi", "mahaarvamisi", "palgaarvestuse näitajaid" jne. Kuid tal pole õigust kohandada "palgaarvestust" ja "personaliarvestust". See kehtib vähemalt 3.1.4.167 versiooni kohta.

Väliste aruannete avamine ja töötlemine

Kõigil kasutajatel, sealhulgas audiitoritel ja ajaarvestajal, on õigus töötada väliste aruannete ja töötlemisega. Turvalisuse huvides on väliste aruannete ja töötlemise võimalus vaikimisi keelatud. Kui aruanne (töötlemine) on saadud usaldusväärsetest allikatest, saab väliste aruannete ja töötlemise võimalust uuendada järgmiselt.

Käivitage palgaprogramm administraatori nimel kasutajarežiimis. Minge süsteemipaneelil lingile "Peamenüü> Tööriistad> Valikud". Avanevas vormis värskendage lippu "Kuva käsk" Kõik funktsioonid "ja klõpsake" OK ".

Panime sellesse samanimelise lipu. Pärast seda kuvatakse jaotistes „Personal”, „Palk”, „Maksed”, „% maksud ja aruandlus” ja „Aruandlus, viited” jaotises „Teenus” lingid „Täiendavad aruanded” ja „Lisatöötlus”. kuvatakse.

Muutuste pärssimise kuupäevade haldamine

Möödunud perioodide dokumentides muudatuste keelamise kuupäeva määramiseks minge linkidele "Haldus> Kasutaja- ja õiguste seaded> Keelatud muutmiskuupäevad", joonis.

Kasutajad, kellel pole jaotist "Haldamine" kuvatud, tähendab, et neil pole õigust seadistada möödunud perioodide dokumentide muutmise keelamise kuupäeva.

Andmete sünkroonimine teiste programmidega

See profiil võimaldab teil suhtlusrežiimi kohandada. Tulevikus pakutakse vastavalt tehtud seadistustele vahetust palga- ja raamatupidamisprogrammide vahel. Vaikimisi on selle profiili rollid saadaval ainult administraatoritele: "Administreerimine> Andmete sünkroonimine".

Tuleb meeles pidada, et profiilid "Välisaruannete avamine ja töötlemine", "Keelatud kuupäevade haldamine" ja "Andmete sünkroonimine teiste programmidega" ei ole isemajandavad. See tähendab, et kui loote mõne nende profiilidega juurdepääsurühma ja ühendate kasutaja ainult sellega, siis kui nad üritavad programmi avada, saame teate.

See näitab, et loodud juurdepääsugrupil ei ole nõutavaid rolle, mis muudaksid selle isemajandavaks.

Järeldus

Planeeritud tasusid võivad määrata mitte ainult kasutajad, kellel on profiilid "Kalkulaator" ja kõrgemad, vaid ka kasutajad, kellel on profiilid "Personal" ja kõrgem. Kuid ei planeeritud ega ühekordsetel personalitöötajatel pole õigust mahaarvamisi määrata.

Ainult täieliku õigusega kasutajatel on juurdepääs seadetele "Personaliarvestus" ja "Palgaarvestus". Kõrgemal personaliametnikul-kalkulaatoril selliseid õigusi ei ole.

Kasutajaõiguste eristamiseks on reeglina piisavalt eelinstallitud profiile. Vajadusel saab luua uusi profiile. Samal ajal peaks iseseisva profiili loomiseks see sisaldama mõningaid kohustuslikke rolle, näiteks „Käivitamine õhuke klient"," Põhiõigused "jne. Praktikas on lihtsam teha õigustest lähimast profiilist koopia ja seejärel seda vastavalt vajadusele muuta.

Selles artiklis räägin teile, kuidas 1C: UPP 1.3 konfiguratsioonimehhanism "rekordtaseme juurdepääsu piirang" töötab. Artikli jaoks koostati teave 2015. aasta mai kohta. Sellest ajast alates pole UPP -d radikaalselt uuendatud, sest 1C valis lipulaevaks 1C: ERP. Sellegipoolest töötab UPP regulaarselt paljudes ettevõtetes, nii et postitan oma artiklis RLS uurimise tulemused UPP -sse. Keegi tuleb kindlasti kasuks.

Kõik on kuiv, kokkusurutud ja ilma veeta. Kuidas ma armastan)))).

Juurdepääsuõiguste seaded.

Objektide interaktsiooni skeem.

UPP 1.3 puhul kontrollib juurdepääsu kontroll BSP versiooni 1.2.4.1 alamsüsteem "Access Control".

SCP juurdepääsu kontrollsüsteemis kasutatavad metaandmed:

  1. Viide kasutajaõiguste profiilidele
  2. Teaberegister "Täiendavate kasutajaõiguste väärtused"
  3. Iseloomulike tüüpide plaan "Kasutajaõigused"
  4. Kataloog "Kasutajad"
  5. Süsteemi kataloog "Infoturbe kasutajad"
  6. Kataloog "Kasutajagrupid"
  7. Teabe register "Kasutaja seaded"
  8. Iseloomulike tüüpide plaan "Kasutaja seaded"
  9. Loend "Juurdepääsuobjektide tüübid"
  10. Teaberegister "Juurdepääsupiirangu tüüpide määramine"
  11. Juurdepääs objektide andmealade loendusele
  12. Teabe register "Kasutaja juurdepääsuõiguste seaded"
  13. Seansi parameeter "Kasuta piirangut<ВидДоступа>».

Lubab juurdepääsu piirangud rekordtasemel.

Salvestustaseme juurdepääsu piirang (RLS) on liideses lubatud
Kasutajahaldus -> Juurdepääs salvestustasemele -> Valikud.

Kirjetasandi juurdepääs määratakse juurdepääsuobjektitüüpide kaudu. Juurdepääsu objektide tüüpide loend (vastavad teatmikud on näidatud sulgudes):

  • "Töövõtjad" ("Töövõtjad")
  • "Organisatsioonid" ("Organisatsioonid")
  • "Üksikisikud" ("Üksikisikud")
  • "Projektid" ("Projektid")
  • "Laod (" Laod (hoiukohad) ")
  • "Kandidaadid" ("Kandidaadid")
  • "Märkmed" ("Märkmete sisestuste tüübid")
  • "Alajaotused" ("Alajaotused")
  • "Organisatsioonide allüksused" ("Organisatsiooni allüksused")
  • "Nomenklatuur (muutmine)" ("Nomenklatuur")
  • "Spetsifikatsioonid" ("Spetsifikatsioonid")
  • "Kaubahinnad" ("Kauba hinnatüübid")
  • "Välised ravimeetodid" ("Välised hooldused")

* Võimalike juurdepääsutüüpide loend on fikseeritud ja sisaldub loendis "Juurdepääsuobjektide tüübid".

Viide "Kasutajaõiguste profiilid".

Objektidele juurdepääsu seadistamine teabebaas algab kasutaja õiguste profiili seadistamisega.

Profiil ühendab

  • rollide komplekt - juurdepääsuõigused objektidele
  • täiendavad kasutajaõigused - õigused funktsionaalsust programmid.

Profiili seadistamise tulemuseks on kanne inforegistrisse "Täiendavate kasutajaõiguste väärtused".
Seda registrit ei kasutata radari seadistamisel.

Profiili või kasutaja jaoks saab salvestada täiendavaid õigusi. Pealegi, kui profiilile on konfigureeritud täiendavad õigused ja profiil on kasutajaga seotud, ei saa täiendavaid õigusi kasutaja jaoks eraldi konfigureerida.
* Õiguste loend on loetletud omaduste tüüpide järgi "Kasutaja õigused"

Profiil ise tabeli jaotises "Rollide koosseis" sisaldab kõiki neid rolle, mis on selle jaoks lubatud. Kui profiili rollide koosseisu muudetakse, täidetakse uuesti kõigi andmebaasi kasutajate (mitte kataloogi „Kasutajad”) tabeliosa „Rollid”, kellele see profiil on määratud.

Lingi kataloogi "Kasutajad" ja "Teabebaasi kasutajate" vahel rakendatakse IB kasutaja GUID salvestava kataloogi "Kasutajad" atribuudi "IBUserID" kaudu.

Kasutajarollide koosseisu ei saa ka redigeerida, kui kasutajale on määratud konkreetne profiil.

Kasutajal on võimalik määrata "Kasutaja seaded". Need on mitmesugused teenuse seaded süsteemi tüüpilise automaatse käitumise jaoks teatud olukordades.

Seadistuste tulemus kirjutatakse teaberegistrisse "Kasutaja seaded".

Seadete ja nende võimalike väärtuste loend on iseloomulike tüüpide tabelis "Kasutaja seaded".
* Ei kasutata seadetes juurdepääsu piiramiseks rekordtasemel.

Kataloog "Kasutajarühmad".

Kasutatakse kasutajate rühmitamiseks ja muu hulgas juurdepääsupiirangute seadistamiseks rekordtasemel.

Ühe kasutaja saab lisada mitmesse rühma.

Kasutajarühma kujul saate konfigureerida juurdepääsu tüüpide loendi.


Kirje tasemel objektide juurdepääsuõigused on konfigureeritud ainult kasutajate rühmadele, mitte üksikutele kasutajatele.

Kui konfiguratsioon kasutab rekordtaseme juurdepääsupiiranguid, tuleb iga kasutaja lisada ühte gruppi.

TÄHTIS! Kasutajad, kes ei kuulu ühtegi rühma, ei saa töötada objektidega, millele juurdepääs on määratud rekordtasemel. See kehtib kõigi objektide kohta - olenemata sellest, kas vastavaid juurdepääsuobjektitüüpe kasutatakse või mitte.

Kui kasutaja kuulub mitmesse gruppi, millel on erinevad seaded juurdepääsuõigused kirjete tasemel, siis määratakse objekti juurdepääsetavus kasutajale kindlaks, kombineerides mitme kasutajarühma seaded "VÕI".

TÄHTIS! Kasutaja sisselülitamine suur hulk rühmad võivad põhjustada jõudluse languse. Seetõttu ei tohiks te kasutajat arvukalt rühmadesse kaasata.

Pärast kasutajarühma muudatuste registreerimist täidetakse teaberegister "Juurdepääsupiirangutüüpide määramine". See register salvestab teatud liiki juurdepääsu jaoks kasutajate rühma järgimise andmed.

* Juurdepääsu kasutatakse juurdepääsupiirangu mallides

Juurdepääsu seadete vorm.

Juurdepääsupiirangute seadistamise vormi kirjetasandil käivitatakse kataloogi "Kasutajarühmad" loendi vormi käsuga "Juurdepääsu seadmine".

Vormi paremal küljel olevad sakid sisaldavad tabeleid, kus on iga juurdepääsuliigi seaded märgitud märkeruutudega kasutajarühma kujul.

Juurdepääsuõiguste seadete vormil on igale juurdepääsutüübile eraldi vormileht koos oma seadete komplektiga. Soovitud leht lülitub sisse, kui kasutajarühmas on seotud juurdepääsutüüp märgitud.

Juurdepääsu tüüpide ja võimalike seadete võrdlus:

Juurdepääsu tüüp

Juurdepääsu tüübi seaded

Lugemine

Salvestamine

Juurdepääsuõiguste pärimise tüüp

Loendi nähtavus

Vaadake lisateavet

Lisateabe redigeerimine

Kuva andmed

Andmete redigeerimine

Ettevõtte hinnad

Partnerite hinnad

Lugemine

Salvestamine

Lugemine

Salvestamine
Töövõtjad
Organisatsioon
Üksikisikud
Projektid
Laod
Kandidaadid
Märkused
Alajaotused
Organisatsioonide allüksused
Nomenklatuur
Spetsifikatsioonid (redigeeri)
Toodete hinnad
Välised ravimeetodid

Juurdepääsuõigused.

"Lugemine" - kasutaja näeb loendis teatmeteose üksust ja saab selle vaatamiseks avada, samuti saab ta seda teiste objektide üksikasjade täitmisel loendist valida.

"Salvesta" - kasutaja saab muuta:

  • mõne sõnaraamatu elemendid - juurdepääsuobjektide tüübid (mitte kõik - on erandeid, vt allpool),
  • nende kataloogielementidega seotud andmed (dokumendid, registrid, alluvad kataloogid)

Erand: juurdepääs mõne kataloogi elementidele - juurdepääsuobjektide tüüpidele - ei sõltu kirjutamisõigusest. Need on organisatsioonide, osakondade, organisatsioonide osakondade, ladude, projektide kataloogid. Need viitavad viiteandmete objektidele, seetõttu saab neid muuta ainult kasutaja, kellel on roll "Viiteandmete seadistamine ...".

Juurdepääsu objekti tüübi jaoks " Nomenklatuur (muudatus)"Juurdepääsuõigus" kirjutamine "on määratletud ainult kataloogi" Nomenklatuur "rühmatasandil, kirjutamisõigust ei saa kuidagi määrata üksik element teatmeteos.

Juurdepääsu piiramist „Nomenklatuuri” teatmeteose „lugemisele” ja sellega seotud teabele ei pakuta, sest üldiselt pole selge, milline peaks olema juurdepääs dokumendile, kui dokumendis oleva nomenklatuuri loend sisaldab "lubatud" ja "keelatud" positsioon.

Kataloogide "Osakonnad" ja "Organisatsioonide osakonnad" juurdepääsupiirangud ei kehti teabe kohta, mis puudutab personaliandmeid, töötajate isikuandmeid ja palgaarvestuse andmeid.

Andmealad.

Andmealad on määratletud järgmist tüüpi juurdepääsuobjektide jaoks:

  • Töövõtjad
  • Üksikisikud
  • Toodete hinnad

Juurdepääsu objekti tüübi "Töövõtjad" jaoks

  • Töövõtjad (nimekiri)- määrab kindlaks osapoolte nähtavuse kataloogi "Vastaspooled" loendis. Sõltub veeru "Nähtavus loendis" märkeruudu väärtusest.
  • Töövõtjad (lisateave)- määrab võimaluse "lugeda" / "kirjutada" kataloogi "Töövõtjad" ja sellega seotud lisamise elemente. teave (lepingud, kontaktisikud jne). Sõltub vastavate veergude märkeruudu väärtusest "Vaata täiendavat. info "/" redigeerimine lisa. teave ".
  • Töövõtjad (andmed)- määrab võimaluse "lugeda" / "kirjutada" kataloogiga "Töövõtjad" seotud andmeid (katalooge, dokumente, registreid). Sõltub veeru "Andmevaade" / "Andmete redigeerimine" märkeruudu väärtusest.

Juurdepääsu objekti tüübi "üksikisikud" jaoks pakutakse järgmisi andmevaldkondi:

  • Üksikisikud (nimekiri)- määrab üksikisiku nähtavuse kataloogi "Üksikisikud" loendis. Sõltub veeru "Nähtavus loendis" märkeruudu väärtusest.
  • Üksikisikud (andmed)- määrab võimaluse "lugeda" / "kirjutada" kataloogiga "Individuals" seotud andmeid (katalooge, dokumente, registreid). Sõltub veeru "Andmevaade" / "Andmete redigeerimine" märkeruudu väärtusest.

Juurdepääsuobjekti tüübi jaoks „Kaubahinnad” pakutakse järgmisi andmevaldkondi:

  • Ettevõttehinnad - määratleb ettevõtte üksuste hindade lugemise / kirjutamise võimaluse.
  • Vastaspoole hinnad- määrab võimaluse "lugeda" / "kirjutada" vastaspoolte nomenklatuuri hindu.

* Andmealad on suletud loetelu üksustest, mis sisalduvad loendis "Juurdepääsuobjektide andmealad"

Juurdepääs rühmadele.

Järgmist tüüpi juurdepääsuobjektide puhul on õigused konfigureeritud ainult juurdepääsugruppide kaudu (kataloogi nimed on näidatud sulgudes):

  • "Vastaspooled" ("Vastaspoole juurdepääsurühmad")
  • "Üksikisikud" ("Üksikisikute juurdepääsurühmad")
  • "Kandidaadid" ("Kandidaatide rühmad")
  • "Toote spetsifikatsioonid" ("Spetsifikatsiooni kasutamise eesmärgid")

Kataloogi iga elemendi jaoks on määratud juurdepääsurühm (spetsiaalses atribuudis).

Juurdepääsuseaded "juurdepääsugrupist ..." on tehtud täiendav vorm juurdepääsuõiguste seaded, mida kutsutakse ühega kahest käsust:

  • "Juurdepääs praegustele üksustele",
  • "Juurdepääs kataloogile tervikuna"

kataloogide loendi kujul "Juurdepääsurühmad ..."

Näide: Dokument "Kaupade laekumise tellimus" on piiratud juurdepääsuobjektide tüüpidega "Töövõtjad", "Organisatsioonid", "Laod".

Kui annate juurdepääsu tüübile "Töövõtjad" juurdepääsu tühjale väärtusele, näeb kasutaja dokumente, milles muutuja "Töövõtja" pole täidetud.

Juurdepääs kataloogielemendile või -rühmale.

Sõltuvalt sellest, millele juurdepääs on konfigureeritud - kataloogielemendile või rühmale, mõjutab seade kas üksust ennast või alluvaid rühmi.

Vastavalt sellele määratakse veerus "Juurdepääsuõiguste määramine" veerus "Hierarhiliste kataloogide juurdepääsuõiguste pärimise tüüp" järgmised väärtused:

  • Ainult praeguse õiguse jaoks- kataloogikauba puhul kehtivad õigused määratud kauba suhtes
  • Laienda alluvatele- kataloogirühma puhul kehtivad õigused kõigile alluvatele elementidele

Pärast süsteemi kasutajarühmade juurdepääsu piiramise seadete salvestamist täidetakse teaberegister "Kasutaja juurdepääsuõiguste seaded".

* Registrit kasutatakse juurdepääsupiirangu mallides.

Mallide kasutamine.

SCP 1.3 mallid on kirjutatud igale juurdepääsuliigile eraldi ja juurdepääsuliikide võimalike kombinatsioonide jaoks reeglina iga kasutajarühma jaoks.

Näiteks , UPP demoversioonis on kasutajagrupp "Ostud" konfigureeritud. Selle grupi jaoks on lubatud juurdepääsutüüpide "Organisatsioonid", "Töövõtjad", "Laod" kasutamine. Sellest lähtuvalt on süsteemis loodud mitmeid juurdepääsupiirangu malle:

  • "Organisatsioon"
  • "Organisatsiooni_rekord"
  • "Vastaspooled"
  • "Contractors_Record"
  • "Laod"
  • "Warehouses_Record"
  • "Vastaspool Organisatsioon"
  • "CounterpartyOrganization_Record"
  • "Organisatsiooni ladu"
  • "OrganizationWarehouse_Record"
  • "CounterpartyOrganizationWarehouse_Record"
  • "Vastaspoolne ladu"
  • "CounterpartyWarehouse_Record"

See tähendab kõiki juurdepääsutüüpide võimalikke kombinatsioone, mida saab kasutada juurdepääsupiirangu tekstides.

Üldiselt on malli ülesehitusskeem igat tüüpi juurdepääsu jaoks sama ja näeb välja selline:

  1. Kontrollitud juurdepääsu tüübi kaasamise kontrollimine.
  2. Otsing "Kasutajarühmad" on lisatud põhitabelisse ja kontrollitakse, kas kasutaja on kaasatud vähemalt ühte rühma.
  3. Teaberegistrile "Juurdepääsuväärtuste tüüpide määramine" on lisatud registritabel "Kasutaja juurdepääsuõiguste seaded" vastavalt ühenduse tingimustele - Juurdepääsuobjekt on malli parameetrile edastatud juurdepääsuväärtus. - Juurdepääsu objekti tüüp - sõltub malli väljatöötamise kontekstist - Andmeala.- Kasutaja.

Ühenduse tulemus määrab, kas juurdepääs on lubatud või mitte.

Teise osa lõpp.

21.09.2014

Ülesanne on piiritleda personaliametniku ja kalkulaatori juurdepääs ZUP -ile eri allüksuste filiaalide teabele.

Juurdepääsu objektide tüübid on organisatsioonid ja üksikisikud.Juurdepääsu kontrolli kaasamise konfigureerimine rekordtasemel

Peamenüü - Teenus - Programmi seaded - Vahekaart Juurdepääsupiirangud

Kuna algselt võtsime puhta andmebaasi, täidame selle andmetega.

Alustame nimega organisatsiooni.

    Keskorganisatsioon

    Keskorganisatsiooni filiaal (eraldi allüksusena)

    Keskorganisatsiooni teine ​​haru (eraldi allüksusena)

Loome üksikisikutele juurdepääsurühmad:

AC (keskasutuse üksikisikutele)

Keskharu filiaal (filiaali üksikisikutele)

Keskkeskuse teine ​​haru (teise haru üksikisikutele)

CH + CH filiaal (CH ja CH filiaalis töötavatele isikutele)

DH + teine ​​DH haru (üksikisikutele, kes töötavad DH ja teises DH filiaalis)

Keskkontori filiaal + teine ​​keskasutuse filiaal (mõlemas filiaalis töötavatele isikutele)


Loome kasutajagrupid:

Keskkütte grupp

CH harubüroo

Keskorgani teise haru rühm


Tuletan meelde, et määrasime kõigi märkeruutude jaoks juurdepääsuobjektide tüübid - organisatsioonid ja üksikisikud.

Pärast kasutajarühmade sisestamist saate need määrata füüsilistele rühmadele, millele toimingut rakendatakse.

RLS -i diferentseerimise seadistamisel eraldi filiaalides peate teadma järgmist punkti - vastavalt Vene Föderatsiooni seadustele arvutatakse üksikisiku tulumaks ja kindlustusmaksed alates aasta algusest ja mis kõige tähtsam - organisatsiooni kui terviku alus. See tähendab, et filiaali raamatupidaja peab maksude arvutamisel teadma, kui palju makse on juba tasutud ja hüvitised selle isiku kohta on ette nähtud kõigis teistes eraldi jaotistes. Ja see on juurdepääs kõigi teiste filiaalide andmetele, sealhulgas keskasutusele.

Pärast seda võib tunduda, et eraldi filiaalidele juurdepääsu on võimatu õigesti piiritleda, kuid see pole nii ja siin on põhjus. ZUP -i standardkonfiguratsiooni arendajad on välja töötanud andmestruktuuri, kui maksude arvutamisel kirjutatakse arvutusandmed alati filiaalile ja peakontorile samal ajal ning kui arvutatakse maksu arvutamise eesmärgil filiaalist, võetakse andmed peaorganisatsioonilt. Selgub, et juurdepääsu kõikidele harudele pole enam vaja, vaid ainult emaorganisatsioonile. See on soojem, kuid ettevõtted kipuvad piirama harukontorite juurdepääsu keskorganisatsiooni andmetele. Tundub, et miski ei tööta enam!

Võin julgelt kinnitada - kõik saab korda! Võttes arvesse RLS -i kontseptsiooni, ei ole ükski dokument nähtav, kui seal on vähemalt üks kasutajale keelatud objekt, s.t. teiste organisatsioonide dokumendid ei ole nähtavad, kui kasutajale on keelatud vähemalt üks objekt (üksikisik).

Eelnevast lähtuvalt teeme kasutajarühmade jaoks järgmised juurdepääsu seaded (nupp "Õigused").

Keskorganisatsiooni jaoks



CH rühma haru jaoks



Elemendi "Group Second Central Office Branch" jaoks teeme ka seaded:

Vahekaardil „Organisatsioonid” - keskorganisatsioon ja teine ​​haru ning vahekaardil „Üksikisikud” kõik üksikisikute juurdepääsurühmad, milles kuvatakse teise haru nimi. Kõik lipud on riivitud.

Võtame organisatsioonide kasutajad:

Personaliametnik - keskorganisatsiooni personaliametnik

Personalitöötaja1 - haru personalitöötaja

Personalitöötaja2 - teise haru personalitöötaja


ja määrake kõik kasutajad kasutajate loendist vastavatele kasutajarühmadele

või teeme seda kasutajate grupis endas


Nüüd võtame töötajaid tööle.

CO esimene töötaja (keskorganisatsioon)

Filiaali esimene töötaja (filiaali töötaja)

Teine haru esimene töötaja (teise haru töötaja)

Branch_CO esimene töötaja (filiaalis palgatud töötaja, keskasutusse üle viidud)

Nõustumisel määrame üksikisikutele juurdepääsurühmad

CO esimene töötaja - "CO"

Filiaal PerviyStrudnik - "Keskorgani haru"

Teine haru esimene töötaja - "Keskuse teine ​​haru"

Branch_CO PerviyStrudnik - "CO + CO filiaal"

Kõik töötajad võeti tööle 01.01.2014 ja alates 01.09.2014 viidi "Branch_CO PervyySotrudnik" töötaja filiaalist üle keskasutusse.

Avame ajakirja "Organisatsioonide personal" administraatori all, kellele ei kehti RLS -i piirangud ja näeme kõiki dokumente


Avame töötajate nimekirja ja näeme ainult kahte töötajat, kes on valitud vastavalt piirangule.


Avame ajakirja "Organisatsiooni personaliarvestus" ja näeme 3 dokumenti, mis on valitud vastavalt piirangu sättele.


Logige sisse kasutajana Kadrovik1

Avame töötajate nimekirja ja näeme ainult “meie” töötajaid.


Ajakirjas "Organisatsioonide personali arvestus" ka ainult "nende" personalidokumendid.


Logige sisse kasutajana Kadrovik2

Töötajate nimekiri


Ajakiri "Organisatsioonide personali arvestus"


RLS -i piiritlemine toimib sama arvutatud teabe puhul, kuid ma ei too siinkohal näiteid.

See on kõik, pealkirjas seatud ülesanne on täidetud - kasutajad näevad ainult "oma" dokumente.

Samuti saate piiritlemise määramisel tutvuda taotluste kirjutamise nüanssidega

Rekordi tasemelminu artiklis "Lubatud direktiivi kasutamine"

Kummaline ja dokumenteerimata mehhanism on lõpuks selgeks saanud.
Allolev tekst ei muuda seda normaalseks, aga ma püüan vähemalt kuidagi seda imet kirjeldada, lootuses, et minu lugu aitab säästa aega õppimiseks.
Lõike all on palju tähti kategooriast "tankid", kasutades argo 1C, mitte spetsialistidele - see pole huvitav.

Kõik seadistused tehti versioonile 1C Dokumendivoog CORP 1.4.12.1, kliendi-serveri versioon, platvorm 1C: Enterprise 8.3 (8.3.6.2152).

Niisiis, Juurdepääsurühmad on ette nähtud süsteemi konkreetsete kasutajate ja kasutajarühmade õiguste ja juurdepääsuõiguste piirangute seadmiseks. Õiguste kogum ja nende piiramise võimalused määratakse kindlaks juurdepääsugruppide määratud profiiliga. Näiteks juurdepääsurühm "Äritarkvara müügijuhid" koos kasutajate Ivanovi ja Petroviga võib viidata profiilile "Müügijuht", mis annab võimaluse piirata juurdepääsu tüüp "Nomenklatuuri tüübid". Kui siis seda tüüpi juurdepääsu jaoks kõigi väärtuste jaoks määrate valiku" Keelatud "ja lisate loendisse üksuse tüübi" majandustarkvara ", on Ivanovil ja Petrovil juurdepääs ainult neile andmetele ja toimingutele, mis on seotud majandustarkvaraga.

Selle määratluse annab programmi abi. Internet tsiteerib peamiselt kahte allikat: 200 küsimust ja vastust ning raamat koos koolitused 1C, mis tegelikult ei selgita tegelikult midagi. Eelkõige oli minu jaoks isiklikult täiesti arusaamatu, kuidas seada piiranguid mitmele kriteeriumile korraga: organisatsioonid, dokumentide liigid, tegevusküsimused ja juurdepääsusildid. Ma ei leidnud midagi kasulikku, nii et pidin tõe juurde jõudma katse -eksituse meetodil.

Kogu mehhanismi olemus osutus lihtsaks nagu kirves: kui soovite, et kasutajal oleks juurdepääs teatud objektile, peavad kõik selle objekti üksikasjad reguleeritud juurdepääsuliikide hulgast olema selgesõnaliselt ja mis on põhimõtteliselt oluline, samaaegselt lubatud vähemalt ühes kasutajale määratud juurdepääsurühmas ...

Natuke täpsemalt. Iseloomulike tüüpide plaan vastutab juurdepääsu tüüpide korraldamise eest 1C dokumendivoos. " Juurdepääsu tüübid ", selles on eelmääratletud üheksa atribuuti, mille kohaselt on tüüpilise lahenduse korral võimalik objektidele piiranguid seada rekordtasemel (RLS):


  • Sisemiste dokumentide tüübid

  • Sissetulevate dokumentide tüübid

  • Väljaminevate dokumentide tüübid

  • Sündmuste tüübid

  • Tegevusega seotud probleemid

  • Juurdepääs raisakotkadele

  • Korrespondentrühmad

  • Individuaalsed juurdepääsurühmad

  • Organisatsioon

Kas olete nimekirja hoolikalt lugenud? Ja tsitaat ülaltoodud 1C viitest? Kas hindasite arendajate irooniat? :)

Võtame aluseks väga lihtne mudel-kaks organisatsiooni: Firma-1 ja Firma-2, kahte tüüpi dokumente: Konto ja Leping ning kaks tegevusteemat: AXO ja Palk. Kõik kasutajad kasutavad ühte ühist juurdepääsurühma profiili.

Meie eesmärk on jagada kõik kasutajad rühmadesse, millel on juurdepääs ainult kindlale organisatsioonile, ja igas neist on neid, kes töötavad lepingutega ja neid, kes töötavad kontodega. Teeme oma elu keerulisemaks veel ühe piiranguga: mõnel kasutajal peaks olema juurdepääs palgaga seotud tegevustele, ülejäänud mitte.

Niisiis, selle lihtsa ülesande lahendamiseks peame konfigureerima vähemalt kaheksa juurdepääsurühma:


  1. Firma-1, kontod, palgaprobleemid

  2. Firma-1, kontod, AXO küsimused

  3. Firma-1, Lepingud, Palgaküsimused

  4. Firma-1, lepingud, AXO küsimused

  5. Firma-2, Kontod, palgaprobleemid

  6. Firma-2, kontod, AXO küsimused

  7. Firma-2, lepingud, palgaküsimused

  8. Firma-2, lepingud, AXO küsimused

Iga organisatsiooni palgad tuleb kaasata paaridesse korraga kahes neljast juurdepääsurühmast (1,2; 3,4 või 5,6; 7,8): ettevõtte 1 kontodega töötavad palgad kuuluvad rühmadesse 1 ja 2. Lepingutega töötavad palgad Ettevõtted-1 kuuluvad rühmadesse 3 ja 4. Sarnaselt ettevõtetele-2.

Programmis puudub hierarhia või pärand. Juurdepääsurühmade arv saadakse võimalike piirangute arvu korrutamisel. Seega, kui otsustate vähemalt kahe organisatsiooni kontekstis seada piiranguid kümmekonnale tegevusele, kümnele dokumendiliigile, siis olge valmis haldama 10 * 10 * 2 juurdepääsurühma. Lisage sellele või pigem korrutage kahe või kolme profiiliga - kasutajad, vastuvõtt, asjaajajad ja teie juuksed ei lange enam kunagi pähe.

Sarnased artiklid