Требуется настроить ограничение в ЗУП на уровне записей по подразделениям компании. Речь идет об управленческом учете. Что-что, а область тонкой настройки доступа пока осваивать не приходилось, уж извините. А в типовой ЗУП нарочно это ограничение не реализовано.

Пробовала использовать типовой шаблон на подразделения в ролях: #ОбщееУправлениеДоступом("Чтение", "Подразделения", ,"Ссылка",,,,,) - далее балуясь с правами группы доступа пользователей получила такие варианты:
1. Добавляю подразделение, доступ к которому необходим (подразделение находится в иерархии) - в таком случае в списке подразделений у юзера пусто.
2. Добавляю нужное подразделение и его родителей по иерархии - в итоге в списке вижу нужные подразделения, но и кроме них все, что подчинены верхнему по иерархии подразделению.

С инструкции на ИТС попробовала написать собственное ограничение на доступ к подразделению, если оно имеется в правах группы пользователя. Результат такой же как и с типовым шаблоном.
При разграничении доступа на документы по подразделениям - аналогично, есть доступ ко всем подразделениям, по иерархии ниже верхнего, добавленного в права доступа.

Собственно вопрос: как видоизменить шаблон доступа, чтобы в просмотре справочника (и в документах) видны были только нужные подразделения нижнего уровня, ну максимум их родители. Реально ли это?

Покопать в сторону справочника "Группы пользователей". У нас не по подразделениям так разделяется, а по организациям.

(1) по организациям - это вроде как предусмотрено изначально разработчиком, по подразделениям - не предусмотрено.
З.Ы. интересно как кто реализовал...

(1) в сторону справочника группы пользователей и копано.
(2)Там предусмотрено ограничение на Подразделения, но не довелось встретить документ,на который оно распространяется, вроде как на вакансии должно пишут. В общем задумка видимо была, но сдулась, и не доделали:-)...

Свой запрос на ограничения записей в ролях прописала такой:
Подразделения ИЗ Справочник.Подразделения КАК Подразделения
   ВНУТРЕННЕЕ СОЕДИНЕНИЕ РегистрСведений.НастройкиПравДоступаПользователей КАК НастройкиПравДоступаПользователей
       ВНУТРЕННЕЕ СОЕДИНЕНИЕ Справочник.ГруппыПользователей.ПользователиГруппы КАК ГруппыПользователей
       ПО НастройкиПравДоступаПользователей.Пользователь = ГруппыПользователей.Ссылка
   ПО Подразделения.Ссылка = НастройкиПравДоступаПользователей.ОбъектДоступа
       И (НастройкиПравДоступаПользователей.ВидОбъектаДоступа = ЗНАЧЕНИЕ(Перечисление.ВидыОбъектовДоступа.Подразделения))
ГДЕ ГруппыПользователей.Пользователь = &ТекущийПользователь

Пока работает на разграничение подразделений верхнего уровня, а на нижние почему-то плюет....

(3) я правильно понял что справочник Подразделения иерерхический, а Организации НЕиерархический и вся загвоздка в этом?!

(4) да, загвоздка в иерархии.
Но по Организациям ограничение полностью рабочее в типовой конфе, а по подразделениям по сути радует лишь наличие настройки по ним в Группах пользователей, само ограничение нужно дописывать в конфигураторе в ролях.

Но тут как раз уже собиралась отписаться, что затупила сама: мой запрос ограничения работает! нужно было просто при настройке прав Группы пользователя в родительских подразделениях указать "Только для текущего права", а у меня стояло до этого "Распространять на подчиненных"))).

Так что УРА!
Если кого интересуют подробности моего разграничения-пишите)

Пойду пока допиливать доступ на регистры по той же схеме...

(5) поздравляю! и спасибо за информацию, думаю пригодится))