Здравствуйте! Пытаюсь навести минимальный порядок в КА. Всего 10 пользователей. Но все "Администраторы" и "Полные права".  Я сисадмин, а не специалист 1С, надеюсь на подсказку. Хочу, чтобы пользователи 1С работали с ограниченными правами. Но пока не хватает знаний 1С. Создал пользователя, которого можно назвать Начальник склада. У него должны быть права создавать и изменять Реализации. Создавать Внутренние перемещения (товародвижения). К сожалению, логика 1С и её рализация в виде интерфейса, а уж тем более документирование (сравните! https://docs.microsoft.com/ru-ru/dotnet/api/system.security.accesscontrol.filesystemrights?view=netframework-4.8#----)... далеко от  ACL и ACE и их реализации в Windows/Azure/AD.  Я  думал, что создав "Группы доступа" и назначив им встроенные профили "Кладовщик", "Локальный диспетчер производства", "Менеджер по продажам", "Открытие внешних отчетов и обработок", я решу задачу. Нет. В Склад и доставка он видит Перемещение, но не может создать - в интерфейсе  ( + ) отсутствует Перемещение товаров. При попытке скопировать существующий документ Перемещение товаров, ошибка "Недостаточно прав для создания". Создал группу безопасности "Бухгалтер" с профилем из конфигурации Добавил. Конечно работает - но это оверхэд. Как на сонове встроенного профиля Кладовщик с дефолтными для этого профиля ролями добавить минимальные роли, чтобы можно было создавать внутренние перемещения. Пытаюсь сам сравнивать Права ролей этих профилей. Но может с подсказкой будет быстрее. Всех благ !

В журнале регистрации пишет, к какому объекту нет доступа. Ставьте по одной галочке, пока не перестанут сыпаться ошибки.

Попробуйте обойтись штатными профилями. Групп доступа у пользователя может быть несколько. Права при этом объединяются.
Создание Перемещение товаров есть у профиля Менеджер по обеспечению потребностей из группы Закупки и запасы.
Если прав в штатном профиле не хватает, лучше копировать в свой и в нем уже менять.
Пришлите письмо на мыло в профиле: пришлю обработку по работе с правами - часто помогает.

(0) не будет, все мучаются. вот тебе отчет, чтобы увидеть, кто и как может видеть разные объекты в БД
https://files.fm/u/5szvgxz3k

Спасибо всем откликнувшимся. Благодарен и ценю. (1) Но сделать всё вручную пока не вышло. Нужно читать литературу (2)- Я же сразу написал - что создал Группы безопасности ("Группы доступа"), исспользуя встроенные профили и конечно добавил этого пользователя во все эти группы. Но хотелось то именно гибко дать - я разумеется до того как написать сюда скопировал профиль от разработчиком, и попробовал добавить в него роли. Мучался. Благодаря DJ Anthon (0) понял - что стадания - это путь адинэсника... Потому что журнал регистрации показывает на ошибки "Доступ. Отказ в доступе
Документ. Перемещение товаров ИнтерактивноеДобавление" но найти какую именно Роль нужно добавить - задача непростая. Знаете - 1С защищает своих франчайзи от раззорения ))) Всё в порядке.

(3) Спасибо. Конечно на уровне встроенных профилей сделал. Но хотелось то на уровне ролей. Но если главбуха устроит (основные требования, вроде невозможности доступа к казначейству выполненны). То уже хорошо. А может освою как скрывать из интерфейса пользователя лишние ссылки. Спасибо вам за участие. Правда всем спасибо. Нелегкая работа у адинэсников я ценю.

(4) Для добавления/изменения документов роль обычно начинается с "Добавление и изменение <имя документа или справочника>. В профиле отжимаете кнопку "Только выбранные", ищете роль и ставите в ней галку.

В течение многих лет попытки настроить роли напоминают вталкивание сизифова камня на гору, во время очередного обновления что-то слетает, а лазить по тысяче ролей в поисках изменений весьма трудозатратно. Еще и типовые роли бывает не продуманы настолько, что разделить их не получается. Так что забей.

(7) зато 1Совцы заботливо в текущие дела пихают сообщения о том, что какая-то из групп доступа отвалилась. а сделать, чтобы перемещения товара мог делать хоть кто-то кроме главбуха и админа в УТ не могут. надо писать свою роль...