Добрый день, коллеги!

Исходные данные

1) ЗуП 2.5
2) Учет от нескольких организаций, причем одна организация - центральный офис, остальные филиалы (у них в качестве головной организации указана организация центральный офис)
3) Необходимо кадровику дать доступ к кадровым документам только одного филиала.

Попытки решения:

конечно же ограничение на уровне записей

1) Ограничиваем доступ - разрешаем только организацию филиал.
Результат: документы видны - и все. сотрудники не видны

2) Ограничиваем доступ - разрешаем только организацию филиал и организацию центральный офис.
Результат: документы видны, сотрудники видны. Но есть доступ к сотрудникам центрального офиса

3) Ограничиваем доступ - разрешаем только организацию филиал и организацию центральный офис,
плюс делаем ограничение по группе доступа физлиц.
Результат: документы видны, сотрудники видны, доступ к сотрудникам центрального офиса отсутствует
Минус: нужно физлиц, которые работают в филиале, "закидывать" в группу доступа;
кроме того, если одно физлицо работает и в центральном офисе и в филиале, то данные по нему, как по сотруднику центрального офиса будут видны.


Итог: решения задачи в типовой конфигурации не существует.


Вопрос: так и есть, или я что-то упустил и решение возможно?

ау

(0) >Ограничиваем доступ - разрешаем только организацию филиал.
Результат: документы видны - и все. сотрудники не видны

Почему не видны сотрудники, не пробовал выяснить?

(2) А чеuо там выяснять-то? В качестве организации у сотрудников указана организация центральный офис, а филиал в качестве обособленного подразделения. Отбор в РЛС наложен на организацию

http://kumena.ru/blog/razgranichenie-prav-dostupa-dlya-polzovatelej-zup-na-urovne-zapisej-po-obosoblennym-podrazdeleniyam-dlya-zup-25

(4) Есть непонятный нюанс: одно физлицо работает в ЦО и в Филиале, следовательно, кодровик имеющий доступ к этому физлицу по филиалу увидит его и по ЦО (те документы, в которых фигурирует одно это физлицо)


+
Не понял зачем так сложно настраивать физлиц.
2 группы доступа физлиц: ЦО, Филиалы
Кадровику филиала доступ к организациям ЦО и Филиал, доступ к физлицам Филиалы

> Не понял зачем так сложно настраивать физлиц.

даж не знаю чего тут сказать, если там не понятно.

если что, помогу настроить, не бесплатно.

(6) так
"одно физлицо работает в ЦО и в Филиале, следовательно, кодровик имеющий доступ к этому физлицу по филиалу увидит его и по ЦО (те документы, в которых фигурирует одно это физлицо)"

хочешь сказать, что эта ситуация в твоем решении обработана и кадровик филиала не получит доступ?

Решения пока нет, ну а вдруг кто предложит ...

(9) Зря надеешься. Но я бы решал задачу по другому.
И да, я не люблю RLS :)

(10) отдельные базы?

(11) да. возможно, на первом этапе особенно, возни больше, но результат будет лучше. Если уж ставят такие задачи, все закрыть, так довести их до полной изоляции. Пусть принимают решение.

хех... не хотят они видишь ли окладики и премии свои кадровику из филиала светить... ну не хотите, как хотите. Разделением баз задачу решить можно, наверняка

> Решения пока нет, ну а вдруг кто предложит ...

читаем пункт 7, раз через пункт 4 не доходит.

(14) ответь на (8)

(15) я на сайте вроде все предельно ясно описал.

разграничение только по организациям не будет работать в филиальных организациях (точнее упираться будет конфигурация) из за того что это противоречит законодательству в плане начисления налогов.
разрезы рлс надо делать по организация + физлицо. при этом на головную организацию должен быть полный доступ. и не боись, никто в ней из филиалов ничего не увидит, потому что работает концепция - если в документе есть хоть один запрещенный объект (физлицо), то этот документ пользователю не будет виден. физлицам, которые гуляют по филиалам надо настраивать смешанные группы, и если сотрудник переходит из филиала в филиал, то его нужно включать в такую группу, на которую доступ настроен во всех филиалах, где он был.

у меня на работе эта схема работает уже несколько лет.

(16)
На (8) так и не ответил

Я же вижу, что: Если есть документ в котором только одно физлицо, которое работает и в ЦО и в Филиале, то доступ к документу по ЦО будет получен кадровиком филиала.

+
в (5) решение намного более простое и дает тот же результат
(представляешь во что выльется настройка 7 филиалов + ЦО по варианту из (4), в варианте из (5) количество филиалов не усложняет настройку: хоть один, хоть 10)

> Я же вижу, что: Если есть документ в котором только одно физлицо, которое работает и в ЦО и в Филиале, то доступ к документу по ЦО будет получен кадровиком филиала.

Получается что да, но от этого не отвертеться. У нас, например, никто не жаловался.


> в (5) решение намного более простое и дает тот же результат
я толком не понял чего предлагаешь.
там у тебя только про группы доступа написано, а еще есть группы пользователей, в которых надо настроить доступ к этим группам доступа.

в любом случае:
1. тебе нельзя ограничивать доступ к ЦО, но это ты уже понял.
2. если человек переходит в другой филиал, то нельзя пользователя лишать доступа на него, потому что если доступ к нему пропадет - то и к документам своего филиала, где он фигурирует, тоже пропадет.

(0) да, все так и есть.
печально когда филиалов много и между ними частые перемещения - группы доступа раздуваются очень быстро.

Самый простой способ: Пользователь не должен быть работником филиала.

(18) про группы физлиц - там будет их всего две:

цо - это те, физлица, которые работают только в ЦО
филиалы - это те физлица, которые работают в филиалах.

кадровику филиала даем доступ к:

1) организациям ЦО и филиал
2) к группе физлиц филиалы

Блин, есть нюанс - справочник сотрудники видят весь, при настройке как в (21)