Имя: Пароль:
1C
1С v8
Сотрудники видят все документы, хотя прав у них нет
,
0 BeeZoom
 
14.03.18
13:38
Здравствуйте!

Не могу понять, как заставить работать права доступа. ЖКК читала, видео смотрела, гугл перелопатила. Не едут лыжи (((

Вот пробую на одной папке. Есть папка внутренних документов "Договоры", есть подразделение "Договорное". В правах к папке указываю только их. Захожу под пользователем из другого подразделения и все договоры прекрасно вижу.

В настройках доступа в разрезах подразделения есть. У всех пользователей, кроме админа, стоят полномочия по умолчанию. В локальных админах никто не прописан. Но все видят всё! Это как так?

Куда порыть, подскажите, пожалуйста, умные люди!!!

Платформа (8.3.11.2899)
Документооборот 8 КОРП, редакция 2.1 (2.1.11.5)
1 BeeZoom
 
14.03.18
13:40
(1) Обновление прав, как я понимаю, происходит сразу (флаг отложенного обновления снят). Ну и флаг "Ограничивать права доступа" стоит, конечно.
2 Фрэнки
 
14.03.18
13:44
(1) и даже те видят, которые входят в указанное Подразделение? Может просто перепутали смысл, когда вместо разрешенных нужно указать запрещенных?
3 BeeZoom
 
14.03.18
13:45
(2) да, те тоже видят
4 Serg_1960
 
14.03.18
14:02
Может быть у Вас RLS (ограничений на уровне записей базы данных) не включен в  базе?
5 BeeZoom
 
14.03.18
14:11
(4) мммм... может быть.
А где проверить? В настройках не вижу https://image.ibb.co/j9GgZc/image.png
6 Serg_1960
 
14.03.18
14:15
Самая первая - "Ограничивать права доступа". Раньше она называлась "Использовать ограничение прав доступа"
7 BeeZoom
 
14.03.18
14:16
(6) она-то стоит. я во (2) сообщении написала
8 Serg_1960
 
14.03.18
14:30
Вот, нашёл ссылку, не знаю читали ли Вы это довольно подробное и ясное объяснение:
http://www.doc-lvv.ru/2016/09/prava-dostupa-v-1sdokumentooborot-21.html
9 Serg_1960
 
14.03.18
14:34
Там подчеркнуто, что пользователи видят папки, если есть хотя бы одно разрешение и нет ни одного запрещения. вышестоящие общие настройки могут им предоставлять такие разрешения.
10 BeeZoom
 
14.03.18
14:43
(8) спасибо большое! да, Лушникова читала вдоль и поперек, очень толково и подробно пишет. Всё делала по его инструкциям.

Но не получается. Пробовала двумя способами:

1. в права на папку добавила только одно подразделение, остальных вообще нет https://image.ibb.co/kGH5uc/image.png

2. в права на папку для одного подразделения сделала "всё разрешено", а для другого "всё запрещено" https://image.ibb.co/iYq8Ec/image.png

Не работает... человек из 2го подразделения все равно видит все документы в этой папке и даже может редактировать их.
11 Фрэнки
 
14.03.18
15:11
(10) вы можете сколько угодно раз запрещать в самой папке, но у пользователей просто список ролей перекрывает этот устанавливаемый запрет. Вот и все. Они не админы, конечно, но что-то там у всех вредное для этих настроек
12 Serg_1960
 
14.03.18
15:28
В какой-то мере согласен с вышесказанным. Если уж переходить на уровень управления правами доступа, то нужно создавать права изначально (создавать группы, наделять их правами и т.д.) А у самих пользователей - удалять из списка все роли. То есть: если уж делать доступ - то делать его по полной программе и на пользователях, у которых изначально нет доступа к этим данным.
13 BeeZoom
 
14.03.18
15:28
(11) Вроде, всё нормально там.

В политиках указан только нужный отдел https://image.ibb.co/e5wC7x/image.png

В группах Канцелярия и Пользователь ни у кого нет доступа к нашему подразделению https://image.ibb.co/fFTg0H/image.png

Где еще можно проверить?
14 BeeZoom
 
14.03.18
15:29
(12) группы есть, см (13)
15 BeeZoom
 
15.03.18
06:46
по-прежнему прошу помощи!
16 BeeZoom
 
16.03.18
12:07
Проблема решена. Если кому интересно :)

Никакие настройки прав не работали из-за того, что кто-то добавил в стандартные полномочия "Пользователя" роль "Выполняющие потоковое сканирование". А это такая роль опасная)) почти как полные права. Как только убрали ее - все заработало.

Как нашла? В документообороте есть отчет "Неограниченные права", который показывает всех, у кого есть полные права к объектам. Там видно какие роли у каких полномочий дают эффект.

Всем добра и тёплой весны ;)
17 BeeZoom
 
16.03.18
12:08
Почему текст в (16) выделился как код о_О
18 Фрэнки
 
16.03.18
19:38
(17) Почему выделился не очень понятно - видимо из-за нового сервера, т.е. сайт на новом сервере.

По проблеме: хорошо. Я смотрел на этот отчет, но на практике его не использовал - необходимости такой не возникало. Но вот что проблема была в добавлении в профиль Пользователь лишней роли, какой-то лишней - я об этом и написал в (11). Единственно, что в решении ДО-КОРП было принято заменить понятие "профиль" на "полномочия". А проблема ровно та же.

Интересно, а в полномочия можно влезть в режиме работы Предприятие или это в конфигурации пришлось разрешить внесение изменений? Просто я не заметил сходу где там Полномочия редактируются.
19 BeeZoom
 
20.03.18
07:30
(18) нда.. слово "роль" меня, видимо, и ослепила)) не сразу сообразила. Я, честно говоря, изучаю права доступа уже месяц, но все равно до сих пор путаюсь во всех этих "ролях/полномочиях/группах/профилях")) логика не цепляет. Наверное, только зубрежка поможет.

А полномочия можно редактировать прямо из клиента, да. Раздел "Настройка и администрирование" / Права доступа / Полномочия (ну или через "Все функции / справочник Полномочия"). Открывается список полномочий, заходишь в какой-нибудь и флажками вешаешь/снимаешь роли для него.

Скрины:
https://image.ibb.co/d3UNXx/1.png
https://image.ibb.co/iAWfKc/2.png