Есть две роли, справочник. У первой роли к справочнику стоит только чтение, в 2ой стоит чтение и просмотр на чтение стоит рлс которая запрещает на чтение весь справочник. Пользователи с одной из этих ролей не имеют доступ к справочнику (либо открывает чистый список либо запрет). Но пользователь с двумя этими ролями имеет доступ на просмотр ко всему справочнику. Почему так и как это победить?

Чтение - это просто читает данные из базы, а просмотр - это для интерактивного просмотра.

права всегда работают по прицепу или когда проходит чтение по или проходят все ограничение не действует потом кода идет показ он показывает все что прочитал

(2) или взять в кавычки кода читать как когда

(2) выход добавить в 1 роль рлс

(4) Не выход они по другой роли права просмотра получат. Не понятна логика 1С если есть две группы людей у первой нет права просмотра а у другой есть права но не на всё то чел входящий в  две группы имеет доступ ко всему.

(5) Это не только у 1с это везде так по принципу что разрешено одной из ролей разрешено пользователю целиком

(6) Права на чтение и просмотр вроде только в 1С, в остальных только чтение.

скорее всего на чтение идет ограничение запроса к базе то есть к концу запроса добавляется Запрос из рлс а показ пометка удаление и редактирование уже на уровне платформы реализовано то есть

(7) не везде например можно создать скрытый файл к которому ты имееш полный доступ

Блин, ребята, я не граммарнаци, но как вы друг друга понимаете без единой запятой?
"в 2ой стоит чтение и просмотр на чтение стоит рлс которая запрещает на чтение весь справочник" - это как так?!

(8) Получается при наложение прав ролей просмотр возможен без права на чтение.

(10) у той роли РЛС на чтение и стоит галочка просмотр

(11) не знаю платформа не дает так галочки проставить )) ставиш на просмотр автоматом ставится на чтение

(13) Да, в сабже пример как это обойти.

Вообще по логике Чтение, Добавление, Изменение, Удаление это на уровне доступа к базе, а все остальное разруливает платформа.

(15) Верно, при выборе добавления или изменения, чтение устанавливается автоматом. Так как чтоб роль могла добавить элемент она по логике должна его прочитать. Из этого следует что они не разрывны но есть рлс, которое может запретить одно из, Но тут приходит наложение прав и рвет эту неразрывность.

В 1С применяется политика разрешения. Если хотя бы одна роль дает право на действие, то это действие будет разрешено.

Иначе говоря права объединяются по "или"

(17)Вот ключевое слово если бы одна роль дает право. Но парадокс в том что не одна роль не дает права!  1С Роли называет набором разрешений на чтение/запись, но почему-то поведение ролей сложно отнести к набору, скорее всего это самостоятельные правила разрешений. Как пример имеем на набора условий булевых. Вот как должно работать ДоступЕсть = Роль1(Истина и Ложь) или Роль2(Истина и Ложь)

Т.е. так: ДоступЕсть = Роль1(Истина и Ложь) или Роль2(Ложь и Истина)
1С это раскладывает так:
Роль1(Истина и Ложь)
Роль2(Ложь и Истина)
Итог: Истина И Истина Т.е. что разрешено в одной роли разрешено везде

Это все равно что вы поставите двух детей на стулья одному нельзя прыгать на стуле а другому можно прыгнуть но один раз. То почему если стулья объединят то прыгать можно сколько угодно?

(0) Решилось бы это рлс на просмотр но такого нет(

(20) Ч_то?

(20) Тогда уж - один умеет прыгать, а второй - показывать как прыгать. Оба сумеют и показать и прыгнуть.