Доброго дня!
Впервые столкнулся с РЛС, перечитал кучу информации, препепробовал кучу вариантов,но не пойму,как правильно сделать
Проблема в следующем: ограничить возможность всех бухгалтеров,кроме главного и ее зама, добавлять/изменять/удалять организации и их подразделения
После перехода с КА 7.7 на 8.2 пока у всех cтоят полные права

Буду очень благодарен за любую помощь)

а причем тут RLS?

Не хочется лишний раз ковыряться в модулях и формах,чтобы потом проще было обновлять конфигу

(0) Убрать полные права, настроить как надо.
По-умолчанию и так право менять у организации есть только у гл бух. Если мне память не изменяет.

(0) подписку добавить "при записи" - проверять группу пользователей или роль

(4) Руки отрывать за такое

(5) обоснуй

(6) Эмулировать программно штатный механизм платформы?

(3) А вот нет там роли "Пользователь" при выборе в настройках профилей полномочий
То есть если я поставлю все,что могу,но при этом уберу полные права - вообще не вижу никаких документов

(7) а подписка на события - не штатный механизм? Права доступа ролями даются по принципу ИЛИ. Если хоть одной роли разрешено - то разрешено. Он устанет каждый раз после обновления менять или следить, чтобы случайно кому-то не дать роль с изменением. А с подпиской таких проблем нет. тем более организации и подразделения меняют раз в год и нагрузки на систему не будет. А вот с РЛС будет точно хуже - во всех запросах проверять разрешенные, исчезающие подразделения, бешеные тормоза в списках документов у всех пользователей

(9) В данном случае не нужно RLS. Нужно просто у всех ролей кроме полных и ГБ снять право изменения и все. Никаких тормозов, никаких запросов, никаких подписок.

Категорически против рлс на запись.
Потом такого гемороя с отладкой поимеешь

(10) следить за появлением новых ролей, исправлять роли опять и опять каждое обновление конфигурации?

(12) + роли = ИЛИ. сложно и гиморно. проще И - одной разрешить, а всем остальным нет. и не задевать основную конфу. как? подписка )

(10) и (12) из двух зол, подписка хуже.

(14) чем?

(0) конфигурация то какая?

(14) подписка дважды обращается к серверу при записи.

(17) да тут хоть трижды - справочник организации и подразделения часто записываются?

(17) врешь

(5) +1 или пнуть хотя бы пару раз

(20) еще один. теперь ты обоснуй

(16) Комплексная автоматизация 1.1.40.2
(10) Роли ГБ не существует в принципе сейчас

Ессно,что потом еще и еще права будут правиться дальше

так тогда уж лучше в модуль справочника добавить процедуры.

(23) и каждый раз менять конфу при обновлении

(18) Подписка не очевидна, не прозрачна, ее сложно отследить, о ней надо помнить.
Роль - штатный механизм ограничения прав.
Более того, нужно выделить редактирование организаций в отдельную роль, а у всех существующих кроме полных забрать возможность изменения.
Полные права должны быть только у администратора.

(25) в том то и дело, что ролями ты не сможешь выделить право в отдельную роль (не убирая право редактирования у других - как с подпиской). Тебе каждый раз при обновлении конфигурации  придется убирать у всех ролей право. За-чем? Один раз сделал - выдели хоть в РС с указанием ссылки на конкретные подразделения/организации (усложним - право на редактирование несколько подразделений), хоть в константы группу пользователей (простой вариант) - чтобы не прописывать хард кодом. И все! - больше никогда никаких действий не надо

Так и не понял,что лучше...Но добавил опрос на всякий случай

(27) Своей головой думай. Тебе описали подробно все преимущества и недостатки обоих подходов. Так что сам принимай решение

(26) ага, а потом еще появляется 2-3 справочника, пару документиков и регистров, доступ на которые тоже нужно ограничиить, но для других групп пользователей и не только на запись, но и на чтение.

(29) тут конкретная задача - на организации и подразделения, которые редактируются раз в год. Роли - отличный механизм - но к сожалению не универсальна - любая новая роль может враз снять все твои запреты. Нет принципа И. Нет запрета "всем остальным нельзя"

(30) + хотя я делал РЛС-ом задачу на разделение чтения (видимости) организаций и подразделений организаций в холдинге по иерархии групп пользователей. тут же задача гораздо проще и не вижу смысла усложнять

(29) Вобщето сейчас моден принцип: для каждого объекта своя роль

(27) три варианта. а попробуй сначала типовой механизм с рлс - через РС настройки прав доступа. ДОбавь объекты - организации и подразделения орг. Добавь группу пользователей для всех пользователей - без права записи и группу пользователей с разрешением записи. Вообще конфу менять не нужно

Подписка прекрасно оперделяется, если в неё нужное впердолить. У меня в таких местах на клиенте используется нечто: Сообщить("Изменения запрещены. Подписка ПередЗаписью.ля-ля-ля-тополя") И далее: Сообщить("Использована роль <такая-то>: Элемент записан.");

И ни у кого вопросов не возникало. Даже у франи приходящей.

А так-то и палец можно в стену молотком забить и всем руки отрывать, что молоток предлагают использовать.

(27) Попробовал.
Создал группу БУХ,там указал только чтение спр. "Организации" (скрин http://gyazo.com/22e4a37a1de4b02e9fb4481bd6778477)
При этом в РС "Настройки прав доступа пользователей" все правильно указано (http://gyazo.com/e8eebecef16bb3e887f70549f9929b23)

Но при этом я свободно могу изменять из под пользователя справочник "Организации"
Скорее всего потому,что стоят полные права у пользователя

Нашел,что права на изменение организаций есть вроде как только у роли "НастройкаНСИ"

Но,повторюсь, при отключении полных прав и включении даже ВСЕХ остальных,не вижу документов в журналах(

(32) о чем и речь

(36) Права пересчитай или инициируй или как-то так. Почитай документашку в общем :)