Вот уже второй клиент хочет у меня почти полные права.
Первый хотел в БП, этот в УНФ.
Суть в том, что есть умный пользователь, ему дают права на изменение данных в базе, но без возможности выгрузки данных, использования внешних обработок,
изменения прав пользователей.
Доколе 1С будет игнорировать подобные зарпосы в своей "лучшей в мире" системе прав?

(14) перечитайте условия задачи.
(15) Да вы что, КЭП? Почитайте, почему ПолныеПрава не подходят.

Пользователь ПолныеПрава легко может дать себя права Администратор, например.

Только самому собирать профиль

(18) это косяк методистов 1С (9)

гггг

(16) Я читал и откуда-то вылезли дополнительные условия в (13)

(0) Хочет - сделай. Тебе 1С работать что-ли мешает, фрилансер?
Не можешь - сиди на жопе ровно, у 1С таких гениев с хотелками по пять рублей пучок, ты не единственный дурак.

(21) геня? сделай? Ты там не чай, похоже, пьёшь )))

нравятся мне темы Сереги - каждая маленькая пятница )))

(23) Ты так сопьёшся )))

(24) только вместе с тобой, один не пью )))

(25) Приезжай )))

(18) просто собрать не получится. Нужно еще создать профиль дор_ПочтиПолныеПрава, куда включать все полные права, не прописанные в других профилях.
Кстати, как отобрать объекты, доступные только роли ПолныеПрава?

(20) не откуда то, а это то, что умеет делать ПолныеПрава.
По суть владелец посадил вместо себя ковырять базу опытного юзера, но не хочет, чтобы этот опытный юзер мог скопировать базу, благо она в SQL.

(27) гениальный вопрос, них.я не понял

> Кстати, как отобрать объекты, доступные только роли ПолныеПрава?

не только лишь все объекты доступны роли ПолныеПрава, а все?

или тебе нужны объекты, у которых нет ролей, кроме Полных прав?

Вот пользователь не может сделать закрытие месяца.
АмортизацияВА - только полным правам доступна.

(26) да собирались в Питер понаехать на выходные, да все не сложилось... куку коды напугали, у вас вроде как в кафе не зайдешь без него

(29) мне нужно отобрать объекты, на которые есть доступ только у ПолныхПрав, ну отборосить роли типа ДоступOData и других служебных.

(32) ёпта, у тебя же отчет по правам и ролям есть

ну или Все роли в пофигураторе - выгрузи в эксель и наложи порчу зачеркнуто фильтр

(33) ну или программно еще по метаданным: гуру-тест?

РольДоступна(), ПравоДоступа()

Так как ветка пятничная, флуд свободный! Ура!!!

(34) если я буду на каждый вопрос код писать, это не по-гениальному. Я за повторное использование кода. Ладно, будем интерактивно - не смог чего делать - добавил или роль в профиль или добави в роль дор_ПочтиПолныеПрава, если методисты 1с забыли на это сделать отдельную роль. Пока вроде норм. Вот счас затык был в Закрытии месяца, но добавил права на АмортизацияВА и норм

(35) :)

Для Каждого Роль Из Метаданные.Роли Цикл
   Для Каждого Документ Из Метаданные.Документы Цикл
      Если ПравоДоступа("Просмотр",Документ,Роль) Тогда

(31) А каким боком я к Питеру? ))

Беня, ты же статейку уже сварганил на своем порнобложике?

(38) Вероятно он хотел сказать, что он "не выездной" непривитый :)

(36) статья лохматого года выпуска, спешл фо ю, гггг

https://its.1c.ru/db/pubvnedrset/content/13/hdoc

Можно и нужно ли изменять существующие в конфигурации роли под требования заказчика? В общем случае да – и можно, и нужно. Все-таки мы "внедряем" конфигурацию у заказчика, а не заказчик внедряется в нее (конфигурацию). Но в каждом конкретном случае необходимо тщательно продумывать такую необходимость вмешательства.

Пал Палыч для себя все уже давно решил. Никаких изменений в существующую роль он вносить не будет. А вот если что-то в роли не подойдет под требования заказчика, он создаст новую роль (по аналогии с существующей) и подкорректирует уже именно ее. Это ответ и на последний поставленный нами вопрос о возможности использования существующих ролей в качестве прототипов новых, создаваемых специалистом по внедрению ролей.

Почему Пал Палыч поступает именно так – создает новые роли, а не корректирует старые? Самое первое – в случае обнаружения ошибок можно легко и безболезненно вернуться к первоначальному рабочему варианту, посмотреть, как это было сделано там. Если конфигурация находится на поддержке нескольких поставщиков, то создание своих ролей тоже может стать определенным плюсом. Например, поставщик внес изменения в свою роль, а заказчика все устраивает в старом варианте.

Список можно продолжить, но это не входит в задачи данного издания. Наша задача рассказать, как построить подготовку к внедрению, показать, где и что нужно искать в конфигурации, а вот внедрять вы будете сами, и решения принимать тоже будете сами.

(41) Эээ... не надо про лохматые года, про когда Земля была тёплая и по ней бродили мамонты... :)

"Как правильно модифицировать права доступа в типовых решениях с помощью расширений – видео"
https://курсы-по-1с.рф/news/2016-11-10-access-rights-free-video/

(41) копировать сейчас лучше не стоит, меняются шаблоны RLS в БСП + проверки на неразделенные объекты (справочники, константы, регистры).

(43) в типовых сейчас интерактивно профили групп доступа создаются и заполняются...

а вот в пофигураторе или в расширение нужно добавлять свою роль с правом доступа на нужный объект (как у Г1С к примеру, если в типовой у объекта только ПолныеПрава)

(41) да, КЭП, Пал ОПалыч совершенно прав. Но методисты 1С совершенно левы.

(45) не скажу про УНФ, но в ERP на каждый объект типовой (кроме ПолныхПрав) есть роль Чтениеблаблабла и ДобавлениеИзменениеблаблабла

(46) я про УНФ и БП3

(47) сломай себе мозг производительным RLS :) опять методисты 1С что-то придумали, а Г1С страдать (не знаю, есть ли такое в УНФ)

https://is1c.ru/about/pc/article/kak-dorabotat-proizvoditelnyy-rls/

(44) добавлять можно, типовые копировать - 10 раз подумать.
В свежих БСП изменили шаблоны RLS, добавили проверки на неразделенные объекты, установку прав на реквизиты по-умолчанию. Часа 2 убил на исправление ошибок внедрения БСП в ролях, которые накопировал местный прог клиента.

(48) я в курсе что это такое.
(44) вот вот, типовые копировать это мрак.

(49) так это тот, который за 5 минут скопировал права, ггг

(51) я не предлагал вам копировать, а настроить профиль в пользовательском

(51) специально для тугодумов
https://its.1c.ru/db/sdadmin#content:245:1

0 бит ггг

(54) да ладно, сюда же хватило написать. Хотя бы 2-3 бита есть в пороховнице.

Только сейчас понял, что Геня раздает роли в конфигураторе.

(55) ТС же грозился порадовать в прошлом году новой системой прав доступа с блекджеком и гениями

(56) слабак)

(58) я в такое отказываюсь верить, ОМГ

(36)

> дор_ПочтиПолныеПрава

варианты:

дор_ПочтиТолстыеПрава

дор_НеСовсемПолныеПрава

дор_НемножноБеременныеПрава

дор_НеХудыеПрава

(56) ты не понял, как ты интерактивно ограничишь пользователя в правах, если в пофигураторе у объекта единственная роль ПолныеПрава?

нужно для объекта добавлять свою роль с правом доступа. а уж потом интерактивно её (эту самую свою роль) добавлять в профиль группы доступа для чиста конкретного  пользователя

Пришлось дать права на все отчеты у добавленной роли. Некоторые отчеты (Анализ бизнеса) только у полных прав

(61) все верно.

(53) разжуй, я не понимаю

Есть две проблемы:
1) желание решать техническими средствами проблемы организационные. Ну невозможно физически иметь заранее ключ на любую проблему.
2) И иногда условия задачи прямо противоречат друг другу.
Сама фраза "не совсем полные права" - это сюр. На каком уровне "полнота" заканчивается? Защита от чего будет в этой "не совсем полноте"?

(65) ПолныеПрава в типовых - как раз "не совсем полные"


ПолныеПрава (англ. FullAccess) - обязательная роль, которая предоставляет неограниченный доступ ко всем «прикладным» данным информационной базы, но не дает прав доступа для администрирования информационной базы в целом (обновление конфигурации, работа в конфигураторе и т.п.).

https://its.1c.ru/db/v8std#content:488:hdoc

забавно, в УНФ отчет по движениям документа только у полных прав

(38) не знаю )) сложилось впечатление, что ты по крайней мере около Питера проживаешь

(40) почему не выездной? не привитый - да, но не невыездной ))

(65) вы прежде чем писать, подумайте. Нельзя включать в полные права обычные функциональные права и администраторские. Это косяк методистов 1с. Причем явный. Вы выступаете адвокатом дьявола?

(68) Все мы сейчас из дальних окрестностей Питера))

(70) То есть в (66) ложь?

(70) спроси цербер)

(66) а вот смотри, мил дружек, я с помощью полных прав назначу себе роль администратрирования и внешних обработок и получу возможность администрирования. Что по этому поводу говорит умный ИТС?
НУ или даже просто тупо запущу выгрузку данных из сервиса и получу копию базы локально. Шта?

(72) то ли эту фразу писали лжецы, то ли подонки, то ли раздолбаи. Полные права слишком полные.

Вот на всякий случай зашел, проверил, действительно под Полными правами без Администрирования можно себе назначать любые роли. Дырища!

В типовых конфигурациях повсеместно используется конструкция "Если РольДоступна("ПолныеПрава") Тогда" и при этом не проверяются само наличие прав в этой роли. "Дырища!"(с)

я обычно создаю еще роляшку, с необходимыми правами, подключаю этому выдающемуся пользователю и все.
Пока ролей не настолько много, чтобы я замечал то-то вроде тормозов.

(77) UNDOCUMENTED типовые, ггг

(77) хм. буквально недавно использовал сию конструкцию, чтобы не переписывать обратно потом, единичную операцию надо было сделать, ну и пусть болтается право на это в роли у админа.

В принципе, можно сделать расширение, которое не дает полным правам менять пользователей, выгружать из сервиса и т.п.
Но это если у всех этих команд есть формы, куда можно прицепиться.

Хотя если выгрузка из сервиса идет через код, то можно в этот код вставить "лежачих поличейских", которые будут валиться при отсутствии адм. прав.
гм, в следующий раз сделаю так, в этот раз уже переделывать не буду.

(81) (82) а нормально ты не умеешь?

(76) А АДМИНИСТРАТОР с ПОЛНЫМИ ПРАВАМИ где-то должен не иметь прав? Л - логика

ПОЛНЫЕ права оказывается........ ПОЛНЫЕ - ДЫРИЩА )

(84) ты капс выруби, а мозг вруби. Есть право администрирование, есть полные права. Это разные права, прикинь. Право администрирование дает выгрузку базы в ДТ, отладку, изменение конфигурации, например. Пааанимаааешь?

(83) нормально это как? или ты врубил "гуру-манипуляцию", как 5-минутный товарищ выше?

Нормально и полноценно реализовать разделение прав между администрированием и полным доступом к данным в 1С невозможно.
Авторы платформы и типовых конфигураций это знают и спят спокойно. Это ограничение архитектуры, с которым ничего сделать невозможно.

Хотя соглашусь с автором ветки, что во многих типовых конфигурациях явно не хватает возможности из коробки настроить права и роли таким образом, чтобы можно было дать пользователю права ко всем прикладным бизнесовым данным и настройкам параметров учёта, но не давать полных и/или административных прав.

(88) в каком смысле невозможно? О каких платформенных ограничениях идет речь?

(89) если есть права администрирования, то есть и любые права

(90) мы не про права администрирования говорим, а про полные права. Разница понятна?

(91) ты наконец то заберемел?

Что УЗИ показывает? Мальчик, девочка? Как называть будешь?

В УНФ есть роли: Администрирование, Администрирование системы и ПолныеПрава.
У полных прав вырублена работа в кофнигураторе, отладка, выгрузка/загрузка базы в DT, например

(0) "Вот уже второй клиент хочет" - это какой процент от общего количества клиентов?

(95) 98%

(95) ты лучше спроси, если чувак знает про полные\неполные права в 1С, что его сподвигло на обращение к ГГГгению за помощью?
Ведь они по знаниям на одном уровне.

(95) Слушай, за время фриланса у меня было наверное 30 клиентов за 2 года. Так вот 2 это довольно много. И не надо мерять статистикой, ежу же понятно, что методисты 1с накосячили.

(98) > И не надо мерять статистикой, ежу же понятно, что методисты 1с накосячили.
Статистикой мерять надо. Твои 30 клиентов это доли копеек на фоне того, что пытаются учесть те же методисты 1С.

Радостно, конечно, что ты познаешь мир. Печально то, что это у тебя начинается в сорок с хвостиком лет.

И... переворачивачиваем страницу!

(97) ннудачно поиграл с друзьями

(87) нормально работать с расширениями. Но это за отдельную плату

(99) я считаю, не нужно делать какашку. Если делать правильно, то будут довольны все, в т.ч. и мои 30 клиентов.

(103) Не делай. 1с - открытая система. Если ты считаешь, что там неправильно - исправь

(104) Серьезно? Типовые - это открытая система? Куда писать-стучать, чтобы Нуралиев сделал нормальные права, а не как в песне "Письмо директору"?

(105) Открытая. Ты всегда можешь внести свои правки.

Хотя.. гггг ты не сможешь.

(106) правками сложно сделать из какашки конфетку, правки надо в какашку вносить производителю

(108) Я ж говорил - ты не сможешь.

(108) Клиент обратился к тебе - ты и делай.

(110) я делаю только потому что Нуралиевы "забыли" сделать.

(111) > я делаю только потому
Шикаааааарно.

(111) не ври, ты рубишь бабло в первую очередь

В УНФ Нашлось эпичное в помощнике создания начальных остатков:

    ВидЦенПродажи = ХранилищеСистемныхНастроек.Загрузить("ПомощникВводаНачальныхОстатков", "ВидЦенПродажи",, "");

Не ну а че, типовая УНФ дает право на ввод начальных остатков только для ПолныеПрава, а у тех есть право на АдминистрированиеДанных, ггг...

Все же убеждаюсь что УНФ - очень сырая конфа.

P.S.: пролечил через УстановитьПривелигерованныйДоступ, давать право на Адм.данных нельзя, можно выгрузить начальный узел со всей базой.

В общем в УНФ все плохо, даже план счетов может только ПолныеПрава редактировать. По сути там нет такого понятия в ролях, как бухгалтер.