Добрый день! Помогите, пожалуйста, с запросом. Ситуация следующая.
На регистр сведений "БизнесПроцессы" прописано ограничение по правам доступа:

ТекущаяТаблица Из #ТекущаяТаблица КАК ТекущаяТаблица
ГДЕ ВЫБОР
           КОГДА ТекущаяТаблица.Ответственный = &ТекущийПользователь
                   ИЛИ ТекущаяТаблица.Ответственный.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ ТекущаяТаблица.Ответственный.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ ТекущаяТаблица.Ответственный.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ ТекущаяТаблица.Инициатор = &ТекущийПользователь
                   ИЛИ ТекущаяТаблица.Инициатор.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ ТекущаяТаблица.Инициатор.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ ТекущаяТаблица.Инициатор.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ ТекущаяТаблица.Исполнитель = &ТекущийПользователь
                   ИЛИ ТекущаяТаблица.Исполнитель.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ ТекущаяТаблица.Исполнитель.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ ТекущаяТаблица.Исполнитель.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
               ТОГДА ИСТИНА
           ИНАЧЕ ВЫБОР
                   КОГДА ТекущаяТаблица.ПроектКО ЕСТЬ NULL  
                       ТОГДА ЛОЖЬ
                   ИНАЧЕ
                       ТекущаяТаблица.ПроектКО.УчастникиПроекта.УчастникПроекта = &ТекущийПользователь
                       ИЛИ ТекущаяТаблица.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель = &ТекущееПодразделение
                       ИЛИ ТекущаяТаблица.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                       ИЛИ ТекущаяТаблица.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   КОНЕЦ
       КОНЕЦ

Пользователь 1 является исполнителем бизнес-процесса. В регистре запись следующая:
БизнесПроцесс| Исполнитель    | ПроектКО |
------------------------------------------
Поручение 1  | Пользователь 1 |          |
------------------------------------------
Выполняю этот запрос в консоли запросов и получается, что пользователь доступа к бизнес-процессу не имеет, хотя является его исполнителем. Что я делаю не так?:( Заранее благодарна.

(0) Текст запроса из консоли

(1)
ВЫБРАТЬ
БизнесПроцессы.БизнесПроцесс Из РегистрСведений.CRM_БизнесПроцессы КАК БизнесПроцессы
ГДЕ ВЫБОР
           КОГДА БизнесПроцессы.Ответственный = &ТекущийПользователь
                   ИЛИ БизнесПроцессы.Ответственный.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Ответственный.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Ответственный.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Инициатор = &ТекущийПользователь
                   ИЛИ БизнесПроцессы.Инициатор.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Инициатор.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Инициатор.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Исполнитель = &ТекущийПользователь
                   ИЛИ БизнесПроцессы.Исполнитель.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Исполнитель.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Исполнитель.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
               ТОГДА ИСТИНА
           ИНАЧЕ ВЫБОР
                   КОГДА БизнесПроцессы.ПроектКО ЕСТЬ NULL  
                       ТОГДА ЛОЖЬ
                   ИНАЧЕ
                       БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта = &ТекущийПользователь
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   КОНЕЦ
       КОНЕЦ

(2) В регистре Исполнитель - "Пользователь1" и &ТекущийПользователь = "Пользователь1" ?

Условие 100000% отработает  ИЛИ БизнесПроцессы.Исполнитель = &ТекущийПользователь

В регистре Исполнитель = Пользователь 1 и &ТекущийПользователь = Пользователь 1 я же сама его выбирала в консоли в параметры. Я вот тоже думала, что отработает, а не отрабатывает(((

(4) Не может быть.

Выбрать * ИЗ Справочник.Пользователи КАк Спр Где Спр.Ссылка = &ТекущийПользователь

?

(5) ну я не знаю...вот оно не отрабатывает

(6) не поняла, что сделать?

(8) выполнить запрос из (6) в консоли

ну выполнила и что? пользователя моего выбирает

Пользователь в справочнике точно есть

насколько я знаю, без фотки не заработает))

БизнесПроцессы.БизнесПроцесс Из РегистрСведений.CRM_БизнесПроцессы КАК БизнесПроцессы ГДЕ  БизнесПроцессы.Исполнитель = &ТекущийПользователь

а так ?

И так мое поручение выбирает

(12) держите фото)

(12) хотя сначала и без фотки заработало)

(16))) все таки это как то связано)

(17) ты помочь можешь чем-нибудь?

(13) если в консоли принудительно не задавать текущее подразделение, то записи выбираются, но все равно не все, и те, которые нужны не попадают

(19) непонятно.

исходя из (6) и (13) ---> (2) должно работать

Вот такой запрос отрабатывает правильно:

ВЫБРАТЬ
БизнесПроцессы.БизнесПроцесс Из РегистрСведений.CRM_БизнесПроцессы КАК БизнесПроцессы
ГДЕ ВЫБОР
           КОГДА БизнесПроцессы.Ответственный = &ТекущийПользователь
                   ИЛИ БизнесПроцессы.Ответственный.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Ответственный.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Ответственный.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Инициатор = &ТекущийПользователь
                   ИЛИ БизнесПроцессы.Инициатор.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Инициатор.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Инициатор.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Исполнитель = &ТекущийПользователь
                   ИЛИ БизнесПроцессы.Исполнитель.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Исполнитель.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Исполнитель.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
               ТОГДА ИСТИНА
           ИНАЧЕ  ЛОЖЬ
               
       КОНЕЦ

Как только в ИНАЧЕ добавляю

ВЫБОР
                   КОГДА БизнесПроцессы.ПроектКО ЕСТЬ NULL  
                       ТОГДА ЛОЖЬ
                   ИНАЧЕ
                       БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта = &ТекущийПользователь
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   КОНЕЦ

Сразу все не работает(((

почему он вообще в ИНАЧЕ лезет, если у меня испольнитель = Пользователь1

БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта = &ТекущийПользователь
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение

Эти 4 строчки все портят(( если вместо них ЛОЖЬ просто написать, то работает(((

ни у кого больше нет соображений никаких?:( получается, что если поручение не привязано к проекту, то пользователь не имеет к нему доступа, даже если является исполнителем...кто подскажет как исправить запрос?

(23) "БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение" а почему не "БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение в иерархии(&ТекущееПодразделение)"?

(24) потому что это RLS там В ИЕРАРХИИ нельзя использовать

(26)тогда сорри - я с рлс не работал

(27) да разницы практически никакой. Почему-то запрос все время выполняет секцию ИНАЧЕ...ну почему такое может быть?

(21)

ВЫБОР
                   КОГДА БизнесПроцессы.ПроектКО ЕСТЬ NULL  
                       ТОГДА ЛОЖЬ
                   ИНАЧЕ
                        Когда БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта = &ТекущийПользователь
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                       Тогда Истина
                   КОНЕЦ

(29) ничего не изменилось, все так же не работает((

(29)
ИНАЧЕ ВЫБОР
                   КОГДА БизнесПроцессы.ПроектКО ЕСТЬ NULL  
                       ТОГДА ЛОЖЬ
                   ИНАЧЕ Выбор
                       КОГДА
                       БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта = &ТекущийПользователь
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                       ИЛИ БизнесПроцессы.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                      ТОГДА ИСТИНА
                      Конец
                   КОНЕЦ
       КОНЕЦ

(31) откуда БизнесПроцессы.ПроектКО ---> NULL ? Составной тип ?

(32) я уже поменяла на БизнесПроцессы.ПроектКО = ЗНАЧЕНИЕ(Справочник.ПроектыКО.ПустаяСсылка)

ограничение прописано на право "Чтение" и на строчке кода

НаборБП = РегистрыСведений.CRM_БизнесПроцессы.СоздатьНаборЗаписей();
       НаборБП.Отбор.БизнесПроцесс.Установить(БизнесПроцесс.Ссылка);
       НаборБП.Прочитать();

все валится и выдается сообщение, недостаточно прав доступа.
Я не понимаю в чем причина:(

(35) ТекущийПользователь и ТекущееПодразделение это параметры сеанса

(36) результата никакого((

(0) АФИГЕТЬ!!!

БизнесПроцессы.Исполнитель.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение

во первых в RLS просто нельзя юзать через две точки (будут тормоза)
во вторых что вернет все условие если подразделение только 2 уровня?


БизнесПроцессы.Исполнитель.Подразделение.Родитель.Родитель.Родитель - будет NULL
а значит и все условие будет возвращать ложь

(40) редактирую точно ту роль

(41) как проверить иерархию? нужно, чтобы пользователь, который по иерархии находится выше, имел доступ к бизнес-процессам

(36) если убрать условие:

ВЫБОР
           КОГДА
                       ПроектКО.УчастникиПроекта.УчастникПроекта = &ТекущийПользователь
               ИЛИ ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель = &ТекущееПодразделение
               ИЛИ ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель = &ТекущееПодразделение
               ИЛИ ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
               ТОГДА ИСТИНА
           ИНАЧЕ ЛОЖЬ
           КОНЕЦ

то выводится то, что надо, но необходимо еще проверять наличие участника в проекте, и если он там есть, то он также должен видеть этот бизнес-процесс, даже, если он не инициатор, исполнитель или ответственный

(45)да, табличная часть справочника

(47) ок, спасибо, завтра попробую, рабочий день закончен, да и голова уже готова взорваться

Добрый день! Обращаюсь по вчерашнему вопросу снова:( Никак ничего не получается(( Переписала запрос:

ВЫБРАТЬ
   БизнесПроцессы.БизнесПроцесс
ИЗ
   РегистрСведений.CRM_БизнесПроцессы КАК БизнесПроцессы
       ЛЕВОЕ СОЕДИНЕНИЕ РегистрСведений.УчастникиПроектаКО.СрезПоследних КАК УчастникиПроектаКОСрезПоследних
       ПО БизнесПроцессы.ПроектКО = УчастникиПроектаКОСрезПоследних.ПроектКО.Ссылка
ГДЕ
   ВЫБОР
           КОГДА БизнесПроцессы.Ответственный = &ТекущийПользователь
                   ИЛИ БизнесПроцессы.Ответственный.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Ответственный.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Ответственный.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Инициатор = &ТекущийПользователь
                   ИЛИ БизнесПроцессы.Инициатор.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Инициатор.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Инициатор.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Исполнитель = &ТекущийПользователь
                   ИЛИ БизнесПроцессы.Исполнитель.Подразделение.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Исполнитель.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                   ИЛИ БизнесПроцессы.Исполнитель.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
               ТОГДА ИСТИНА
           ИНАЧЕ ВЫБОР
                   КОГДА БизнесПроцессы.ПроектКО <> ЗНАЧЕНИЕ(Справочник.ПроектыКО.ПустаяСсылка)
                       ТОГДА УчастникиПроектаКОСрезПоследних.УчастникПроекта.Ссылка = &ТекущийПользователь
                           ИЛИ УчастникиПроектаКОСрезПоследних.УчастникПроекта.Подразделение.Родитель = &ТекущееПодразделение
                           ИЛИ УчастникиПроектаКОСрезПоследних.УчастникПроекта.Подразделение.Родитель.Родитель = &ТекущееПодразделение
                           ИЛИ УчастникиПроектаКОСрезПоследних.УчастникПроекта.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение
                   ИНАЧЕ ЛОЖЬ
               КОНЕЦ
       КОНЕЦ

Выполняю запрос в консоли ТекущийПользователь = Пользователь1. Все работает правильно. Пишу тот же запрос в RLS на чтение для регистра БизнесПроцессы. Захожу под Пользователем1 и пытаюсь выполнить отказ от задачи по бизнес-процессу "Поручение". На строчке кода:
НаборБП = РегистрыСведений.CRM_БизнесПроцессы.СоздатьНаборЗаписей();
       НаборБП.Отбор.БизнесПроцесс.Установить(БизнесПроцесс.Ссылка);
       НаборБП.Прочитать();
Выдается ошибка: У пользователя недостаточно прав на исполнение операции.

Не понимаю, что не так. Кто-нибудь может помочь? Уже 2 дня бьюсь с проблемой((
Заранее благодарна.

ВЫБРАТЬ
   БизнесПроцессы.БизнесПроцесс
ИЗ
   РегистрСведений.CRM_БизнесПроцессы КАК БизнесПроцессы
       ЛЕВОЕ СОЕДИНЕНИЕ РегистрСведений.УчастникиПроектаКО.СрезПоследних КАК УчастникиПроектаКОСрезПоследних
       ПО БизнесПроцессы.ПроектКО = УчастникиПроектаКОСрезПоследних.ПроектКО.Ссылка
ГДЕ
   ВЫБОР
           КОГДА БизнесПроцессы.Ответственный = &ТекущийПользователь
                   ИЛИ БизнесПроцессы.Подразделение В &МассивТекущехПодразделений
               ТОГДА ИСТИНА
           ИНАЧЕ ВЫБОР
                   КОГДА БизнесПроцессы.ПроектКО <> ЗНАЧЕНИЕ(Справочник.ПроектыКО.ПустаяСсылка)
                       ТОГДА УчастникиПроектаКОСрезПоследних.УчастникПроекта.Ссылка = &ТекущийПользователь
                           ИЛИ
                   ИЛИ УчастникиПроектаКОСрезПоследних.ПодразделениеУчастникаПроекта В &МассивТекущехПодразделений



только структуру полей придется доработать и параметр сеанса

(50) спасибо конечно...а в параметре сеанса, что будет содержаться?

(50) так почему может такое получиться, что в консоли все выполняется нормально, а в RLS запросе не выполняется??(( блин, не думала, что такая простая задача, как проверить 3 условия, может вызвать столько проблем... При чем эта фигня только при отказе от задачи...если задачу выполнить, а не отказаться, то все хорошо... может все же в чем-то еще причина, а не в запросе совсем...

(51) фиксированый массив разрешенного подразделения и всех его родителей.

(52) по тому, что чумадан... RLS вообще сложная штука для понимания

ТекущаяТаблица Из #ТекущаяТаблица КАК ТекущаяТаблица

ГДЕ ВЫБОР
           КОГДА ТекущаяТаблица.Ответственный = &ТекущийПользователь
                   ИЛИ ТекущаяТаблица.Ответственный.Подразделение В &ТекущееПодразделение
                   ИЛИ ТекущаяТаблица.Инициатор = &ТекущийПользователь
                   ИЛИ ТекущаяТаблица.Инициатор.Подразделение В &ТекущееПодразделение
                   ИЛИ ТекущаяТаблица.Исполнитель = &ТекущийПользователь
                   ИЛИ ТекущаяТаблица.Исполнитель.Подразделение В &ТекущееПодразделение
               ТОГДА ИСТИНА
           КОГДА
                   ТекущаяТаблица.ПроектКО.УчастникиПроекта.УчастникПроекта = &ТекущийПользователь
                   ИЛИ ТекущаяТаблица.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение В &ТекущееПодразделение
               ТОГДА ИСТИНА
           ИНАЧЕ ЛОЖЬ
   КОНЕЦ

(54) Нельзя проверять только подразделение текущего пользователя. Нужно, чтобы руководитель пользователя, так же имел доступ к бизнес-процессам подчиненного, а руководитель в орг.структуре стоит выше

(53) спасибо. По сути просто добавить еще параметр сеанса и установить его, так я поняла?

(55) Ну так у руководителя "текущее подразделение" должно и быть выше в структуре подразделений. И если бизнес процесс ввел его подчиненный, то подразделение подчиненного будет входить в группу - подразделение руководителя.

ИЛИ ТекущаяТаблица.Ответственный.Подразделение В &ТекущееПодразделение
ИЛИ ТекущаяТаблица.Инициатор.Подразделение В &ТекущееПодразделение
ИЛИ ТекущаяТаблица.Исполнитель.Подразделение В &ТекущееПодразделение
ИЛИ ТекущаяТаблица.ПроектКО.УчастникиПроекта.УчастникПроекта.Подразделение В &ТекущееПодразделение

- вот эти условия же дают доступ руководителю.

(58) логично конечно...сейчас попробую...только в RLS все равно ничего не хочет работать:(((

Опаньки и не только ему, а всем кто входит в подразделение выше...

У меня был случай, когда я тоже два дня колупал RLS, а потом оказалось другой прог назначил всем пользователям дополнительно еще одну роль, которая открывала все что я пытался заблокировать...

(60) вот вот...уже попробовала

(61) я один программист на эту конфигурацию, так что не может быть такого варианта

(59) "Не хочет работать" - ошибку выдает или не блокирует записи?

(59) выдает ошибку у пользователя не достаточно прав((

(64) в консоли запрос работает, но при программном доступе к регистру сведений, метод Прочитать(), выдается ошибка "У пользователя недостаточно прав". Ошибку закрываю, задачу выполняю (вариант выполнения "Отказ") и все ок, без ошибки. Но при этом у бизнес процесса не проставляется вариант завершения "Неудачно"

А у данного пользователя есть право на чтение ПроектКО и его полей? Если нет, то надо дать, и закрывать через RLS.

На справочник ПроектКО тоже права на чтение ограничены:

ПроектыКО ГДЕ (ПроектыКО.УчастникиПроекта.УчастникПроекта = &ТекущийПользователь
           ИЛИ ПроектыКО.ЭтоГруппа = ИСТИНА
           ИЛИ ПроектыКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель = &ТекущееПодразделение
           ИЛИ ПроектыКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель = &ТекущееПодразделение
           ИЛИ ПроектыКО.УчастникиПроекта.УчастникПроекта.Подразделение.Родитель.Родитель.Родитель = &ТекущееПодразделение)

А вот в RLS когда права ограничены, нужно выбрать поля, если стоит "Прочие поля" что это значит?

(69) Выбери поле "Ссылка" и по нему убери ограничение. Добавь ещё одну строку. Там будет "Прочие" - это все остальные. На них ограничение ставь.
Это нужно чтоб некоторые поля всегда были доступны.

(70) на регистре нет поля ссылка

(71) В курсе. Эт я для примера, сори. Чтоб было понимание, откуда берутся "Прочие". Это все поля, кроме указанных явно.

(72) спасибо.

(73) я уже начинаю думать, что моя задача неразрешима...

прочие поля - это те которые не идентифицируют обьект

для справочника - все кроме ссылки
для регистра - все кроме измерений

(74) твоя задача довольно проста и банальна, я ее тебе уже расписал, нужно только немного ручками поработать

"Недостаточно прав" ругается же если предприятие, что пользователь пытается открыть то что ему запрещено в конфигураторе. RLS же просто не покажет данные.
Проверяй права пользователя на доступ к Участникам проекта и справочнику Подразделения.

(77) к справочнику Подразделения доступ вообще не ограничен, к Участникам проекта он имеет доступ, если имеет доступ к проекту. Если он в проекте участвует, то доступ к проекту он уже имеет

(76) ох, спасибо тебе большое. Все же добавила параметр сеанса, прописала ограничения и вроде как отказы стали обрабатываться:)))) (ура!), правда с доступом к регистру все равно что-то не так, что-то лишнее мне выводит, надо проверить еще запрос.
Еще маленький вопросик, а если пользователю поменять подразделение во время сеанса, то получится небольшой косячок...

(79) если хочешь иметь RLS которые будут отслеживать изменения прав в течении дня, то или делаешь переодическое перезаполнение параметра или нужно будет перейти на РС и с ним джойнить

параметр сеанса быстрее работает и с ним все более читабельно, РС более универсален зато более тормозной

(80) и все же права ограничены неправильно. Строчка:

ИЛИ БизнесПроцессы.Подразделение В &МассивТекущехПодразделений

дает пользователю из отдела1 видеть все поручения всех остальных сотрудников из отдела1

(80) но все равно огромное спасибо!) что-то хоть стало яснее

Не работает:( Параметр сеанса установила:

МассивЗначений = ПолучитьПодразделенияДляДоступа();
   ПараметрыСеанса.МассивДоступныхПодразделений = Новый ФиксированныйМассив(МассивЗначений);

Функция ПолучитьПодразделенияДляДоступа() Экспорт
   Запрос = Новый Запрос;
   Запрос.Текст = "ВЫБРАТЬ
                  |    Подразделения.Ссылка КАК Подразделение
                  |ИЗ
                  |    Справочник.Подразделения КАК Подразделения
                  |ГДЕ
                  |    Подразделения.Ссылка В ИЕРАРХИИ(&ПользовательПодразделение)";
   
    Запрос.УстановитьПараметр("ПользовательПодразделение", ПараметрыСеанса.ТекущийПользователь.Подразделение);
   
    ВыборкаПодразделений = Запрос.Выполнить().Выбрать();
         
    МассивПодразделений = Новый Массив;
    Пока ВыборкаПодразделений.Следующий() Цикл
       МассивПодразделений.Добавить(ВыборкаПодразделений.Подразделение);    
    КонецЦикла;    
    Возврат МассивПодразделений;
   
КонецФункции

Запрос RLS:

ТекущаяТаблица Из #ТекущаяТаблица КАК ТекущаяТаблица
ЛЕВОЕ СОЕДИНЕНИЕ РегистрСведений.УчастникиПроектаКО КАК УчастникиПроектаКО
       ПО ТекущаяТаблица.ПроектКО = УчастникиПроектаКО.ПроектКО
ГДЕ ВЫБОР
           КОГДА ТекущаяТаблица.Исполнитель = &ТекущийПользователь
                   ИЛИ ТекущаяТаблица.Исполнитель.Подразделение В (&МассивДоступныхПодразделений)
                   ИЛИ ТекущаяТаблица.Инициатор = &ТекущийПользователь
                   ИЛИ ТекущаяТаблица.Инициатор.Подразделение.Родитель В (&МассивДоступныхПодразделений)
                   ИЛИ ТекущаяТаблица.Ответственный = &ТекущийПользователь
                   ИЛИ ТекущаяТаблица.Ответственный.Подразделение.Родитель В (&МассивДоступныхПодразделений)
               ТОГДА ИСТИНА
           ИНАЧЕ ВЫБОР
                   КОГДА ТекущаяТаблица.ПроектКО <> ЗНАЧЕНИЕ(Справочник.ПроектыКО.ПустаяСсылка)
                       ТОГДА УчастникиПроектаКО.УчастникПроекта.Ссылка = &ТекущийПользователь
                        ИЛИ УчастникиПроектаКО.УчастникПроекта.Подразделение.Родитель В (&МассивДоступныхПодразделений)
                   КОНЕЦ
                 КОНЕЦ

Пользователь1 = ТекущийПользователь, он же является ИсполнителемЗадачи. В &МассивДоступныхПодразделений подразделение текущего пользователя. При отказе от задачи ошибка "Недостаточно прав доступа! (НаборРС.Прочитать())". Если в &МассивДоступныхПодразделений добавить все подразделения, то все работает.
Ничего не изменилось((

Такой вопрос, а исполнитель, инициатор и ответственный являются участниками проекта?

Если да, тогда создайте новую роль, поставьте полные права.
И на чтение бизнес процесса поставьте

ТекущаяТаблица Из #ТекущаяТаблица КАК ТекущаяТаблица
ЛЕВОЕ СОЕДИНЕНИЕ РегистрСведений.УчастникиПроектаКО КАК УчастникиПроектаКО
       ПО ТекущаяТаблица.ПроектКО = УчастникиПроектаКО.ПроектКО
ГДЕ УчастникиПроектаКО.УчастникПроекта.Ссылка = &ТекущийПользователь
   ИЛИ УчастникиПроектаКО.УчастникПроекта.Подразделение.Родитель В (&МассивДоступныхПодразделений)

(83) блин да сколько раз говорить, что в RLS НЕЛЬЗЯ использовать неразыменованые значения (более одной точки), точнее можно тольке финя получается :)

лажа:

ТекущаяТаблица.Инициатор.Подразделение.Родитель
ТекущаяТаблица.Ответственный.Подразделение.Родитель

(84) в том и дело, что если в поручении проект заполнен, то все ок работает, а вот если проект не заполнен, то получается фигня.

(86) блин, я не хочу регистр переделывать, он используется очень часто в других объектах. К тому же половина закрытых функций, которые касаются бизнес-процессов. Не хватало, чтобы у меня еще из-за этого косяки полезли другие

А может сделать так, в параметре сеанса хранить список пользователей: текущего и тех кто под ним?
И запрос упростить:

ТекущаяТаблица Из #ТекущаяТаблица КАК ТекущаяТаблица
ГДЕ
ТекущаяТаблица.Ответственный В &СписПользователей
ИЛИ ТекущаяТаблица.Инициатор В &СписПользователей
ИЛИ ТекущаяТаблица.Исполнитель В &СписПользователей

(89) я уже так и сделала

ТекущаяТаблица.Исполнитель.Подразделение В (&МассивДоступныхПодразделений)

только не список пользователей храню, а список доступных подразделений

параметр сеанса заполняется правильно, только вот если в поручении нет проекта, то почему-то не проверяется, является пользователь исполнителем, инициатором или ответственным, а ему сразу закрыт доступ к строке регистра. А вот если пользователю разрешить доступ ко всем подразделениям, то все работает хорошо, только тогда у него есть доступ ко всем записям регистра "Бизнес-процессы", а это плохо