Тупо взираю в подсистему «Управление доступом» из Библиотеки стандартных подсистем, помогите руководством, словом … как это работает?

Документацию почитай хотя бы

имеется файлик "Пользовательская документация.doc" в нем пару страничек по subj, изложено скупо. Может есть еще чего?

http://its.1c.ru/db/bspdoc#content:53:1:IssOgl1_3.44 Управление доступом

Еще есть демо база

пасибо капитан очевидность ;) если имеется опыт применения подскажите, плз
стою перед выбором либо разработка ролей и RLS, или интегрировать subj и заняться настройкой. Где предел гибкости у subj?

Опыт имеется. Тоже стоял перед выбором. В итоге все сделал на базе этой подсистемы.
Какая гибкость тебе нужна? Опиши на конкретном примере.

ИС разработана от типовой УНФ. Десяток Организаций живет в ней (филиалы большой компании, но сам. юр. лица), пока вели учет отдельно, ограничил простенькими RLS по справочникам (Организации, СтруктурныеПодразделения…) по документам на праве Чтение по ролям. Видели только свои доки, в справочниках чужих элементов не видели.
Захотели автоматизировать внутренние товарные движения -> Расход с головной Организации является Приходом филиала (проситься ввод на основании), добавил регистр сведений СоответствиеОрганизацииКонтрагенты, добавил роль с ограничениями и доступом еще и к объектам головной например к спр. Организации, док. Реализация на чтение и т.д. В результате юзер может выбрать и головную Организацию, через СоответствиеОрганизацииКонтрагенты доки. Реализация видит зарегистрированные в его сторону. В отчетах появилась возможность выбора Головной что недопустимо. RLS доработал и они стали усложнятся.
Вот и нужен subj, и нужно уже не тупо разграничить, но и кое что ответственным пользователям дать.

Плохо понял, что в итого надо. Но думаю, с высокой степенью вероятности, что реализуемо.

Механизм очень гибкий. Но! Прежде чем начинать использовать подсистему, крайне желательно "раскурить" принципы её работы и "въехать" в возможности. Поковырять демо базу, попробовать реализовать произвольные простейшие разграничения.
В противном случае будешь материть все на свете

Погрыз немного, вот моя задача в терминах subj
Требуется ограничить Пользователя к докам по полю Организация (=Филиал1), но в тоже время Пользователю  нужно дать доступ на просмотр док. Реализация, зарегистрированных от лица Головной организации, выписанных в адрес Филиала.

Решал так: создал Группу Доступа, назначил Профиль Менеджер, добавил Пользователя, добавил Организацию в Вид доступа Организации. Ограничение сработало.
для Но … создал Роль с правом чтения и просмотра к док. Реализация, включил в новый Профиль -> профиль поставил на новую Группу Доступа -> добавил Пользователя->добавил разрешение на Головную организацию в ограничения.
   Доступ к док. Реализация Головной организации у Пользователя не появился, да и в списке Организаций Головная не появилась ?