Начинает подгорать , помогайте кто чем может.
Имеем стандартную БП 3.0, корп, решили - делаем права, что как у людей все было.  Сказано - сделано. Галочка "ограничивать доступ на уровне записи" установлена и с чувством выполненого долга идем эти права корректировать. Но вот беда, не работает. Требуется не много, что каждый пользователь смотрел-вертел доки по своей организации, закрывал месяц по своей организации, ну и решено им номенклатуру - контрагентов создавать, нефиг дубли плодить.

Много времени было потрачено, много галочек установлено-снято, но не работает нифига. Последние действия, создаю группу доступа с админскими правами - конечно везде доступ есть, все открывается и крутится, удаляю из этой группы роль "Технологии сервиса"  и приехали. Ограничения стоят как мне надо , но нет доступа сразу к ряду регистров , не закрывает месяц, даже не заходит на эту форму, но документы ограничивает по организации.

Может у кого был опыт по ролям ? Почему не работает с коробки ?

В БСП впилили систему прав, корни которой растут из ДО.
Посмотрите регситр сведений Версии подсистем. Если стандартные подсистемы 3 версии, то требуется пересчет прав.
Если БСП 2 версии - то проведите аудит ролей. Значит есть какая то роль, у которой есть доступ к ограниченным объектам без РЛС.
По правилам - если разрешено в одной роли значит это разрешено

стандартные 3 версии. пересчет прав,  в принципе происходит при сохранении группы, я же вижу что доступ меняется оперативно, когда галочки тусую туда-сюда.
аудит мало мальский провел, если его можно так назвать, прошелся по журналу регистрации на предмет "отказано в доступе". и что вижу , что со ВСЕМИ галочками на группе, кроме злополучной технологии сервиса(отключена целая роль), я не могу попасть в пару регистров. думал может пустые места есть в этих регистрах, посмотрел, сами регистры корректны.

Может для доступа к этим регистрам есть отдельная специальная роль

Вариант 1
Посмотреть в какую подсистему они входят и в документации посмотреть какие роли назначить.
Вариант 2 самому найти в конфигураторе

(4) Вижу я подсистему. Но на ней стоит галочка,доступ разрешен, но ругается , не пускает. Уже подбешивать начинает такое поведение, разрешил же, почему не отрабатывает как надо

(5) ты не понял.
По названию подсистемы найди ее на ИТяс. Там перечислены роли которые ей нужны.
Или смотри всероли пообъектно

(6) Спасибо тебе, сейчас злость пройдет и буду смотреть : )

Короче ничего хорошего, буду бороться дальше

Отказываться от рельсы ? Не пойму , не отрабатывает без правки конфигурации, но это так себе решение. Граждане помогайте, я смотрю RLS много кого на лопатки положила

(9) В РЛС можно только так, как задано в конфигурации - никаких чудес. Например в ЗуП, если сделать головную организацию и подчиненные ей филиалы, то нельзя настроить доступ только к филиалу (без правки конфигурации).

Вроде РЛС и есть, но не очень красивый

(10) в зупе, кстати, вообще по красоте все стало, а вот бухгалтерия неприятно удивила. бросил сейчас мучать конфигурацию, полез в интернет и что я увидел ? многие такие проблемы так и не остались решенные на должном уровне, бред какой то, делать функционал который толком не работает столько времени.

(11) "восьмерка еще сырая"©

(12) Бггг

RLS в БСП работает. Нормально. Только логика разработчиков совершенно неприменимая в нормальной жизни. И информативность сообщений об ошибках доступа просто убивает.

(14) ну почему же, вполне возможно выяснить где спотыкается. напрягает то что нельзя это решить без редактирования конфигурации

А можно подробней? Что сделать в конфе, что бы понятней стало. А то в журнале регистрации пишет, что ошибка доступа к документу, а по факту оказывается, что нет доступа к складу, контрагенту, кассе или ещё какому реквизиту документа.

(16) Становитесь в дереве конфигурации на корневой элемент. ПКМ. Все ограничения доступа. И изучаете по этому объекту метаданных ограничения.
При должном навыке - дело пары минут

Но надо признать интерфейс РЛС в конфигураторе - одно из самых неудобных решений.
Неудобнее только Все роли при большом количестве ролей...