Ситуация: БП 3.0.65.85. Добавил роль в конфигураторе копированием роли "ДобавлениеИзменениеДанныхБухгалтерии", редактировал ее несильно (убрал доступ к большинству документов).
В польз.режиме создал профиль групп доступа, где указал только эту роль. Назначил этот профиль пользователю. Так же у него, другим профилем, назначена и исходная роль - "ДобавлениеИзменениеДанныхБухгалтерии".
В базе ограничен доступ на уровне записей, и для исходного профиля назначен доступ только к 1 организации, а для редактированного - доступ к двум.
В итоге, по кнопке "Отчет по правам доступа" у пользователя не применилась редактрованная роль, и поведение программы это подтверждает.
Что интересно, в расширении создана подсистема, и, если редактированную роль добавить в расширение и включить в эту подсистему, роль начинает работать, но подсистема перестает отображаться в командном интерфейсе.
Помогите победить эту засаду.

(0) "Так же у него, другим профилем, назначена и исходная роль - "ДобавлениеИзменениеДанныхБухгалтерии". "
ну вот она проблема.
Права 1С всегда работают по правилу - разрешено в одной роли - разрешено.
Убери стандартную роль из профиля и все должно заработать.
только надо еще обязательных ролей добавить, иначе пользователь просто войти не сможет.

(1) В типовой роли, на уровне записей, разрешена только одна организация. В добавленной - две, но оставлен доступ только к ограниченному числу документов. Смысл - в 1-й орг-и должно быть доступно все, во 2-й - только некоторые документы. Т.е. не работает роль, разрешающая доступ к документам 2-й орг-и. Поэтому как раз получается, что правило "разрешено в одной роли - разрешено" и не срабатывает.

(1) К тому же, пробовал убрать вообще все роли, кроме новой у пользователя. Отчет по правам доступа показывает, что не применена вообще ни одна роль.

Простите за тупость, давно не ковырял роли. Как их вообще добавлять, чтоб работали?
Сейчас добавил роль, не копированием, руками. Добавил подсистему. Включил роль в подсистему. Подсистему сделал доступной в этой роли. Дал роль пользователю, не применилась.
Хотя есть в базе другая самодельная роль, ни в какой подсистеме не состоит, дает доступ к нескольким документам, и работает прекрасно. А моя такая же не то что прекрасно, а вообще никак не работает!

роль назначал в конфигураторе или через предприятие?

(5) Через предприятие. В конфигураторе у этого пользователя галка на роли встала.