Добрый день!
Думаю ситуация обычна и часто возникает (в моем случае КА): есть требование, чтобы у пользователя были "Полные права" (именно полные, как сама роль), но при этом надо ограничить доступ в конфигуратор.
Проблема в том, что создать новый профиль группы доступа и установить в нем роль "Полные права" не возможно, она уже включена в "Администратор". Но профиль "Администратор" отредактировать не возможно, чтобы снять флажок с роли "Полные права".

Есть какие-то решения? Снимать с поддержки нельзя.

Пока мне пришла такая мысль на ум:
1. Добавить роли "Администратор системы" и "Администрирование" в расширение, снять флажок "Администрирование" (не знаю сработает или нет).
2. Добавить в расширении роль "Администрирование конфигурации" и установить флажок "Администрирование".

Есть какой-то иной способ? Буду благодарен за помощь!

Не сработает

Создайте роль "Президент" или кто там у вас такой вредный? Выдайте ей доступ на чтение и изменение всего, кроме флага "Администрирование"

(2) в прямом смысле всего? То есть флажки на всех ролях проставить в профиле?
(1) а что делать, нет ведь роли "Главный бухгалтер"...

(1) не роли, профиля конечно, опечатался... роли понятно что нет :)

(3) Вы постоянно путаете роль и профиль.

(2)Если я верно помню, то это не прокатит скорее всего, так как во многих местах идёт ещё проверка "ЭтоПолноправныйПользователь()"

я неоднократно встречал деление на "Администратор" и "Администратор БД"
первый конфигурирует но в БД почти бесправный
второй наоборот не имеет доступа в конфиг но с данными может делать все.
очень похоже на то что хочет автор.

(0)[Снимать с поддержки нельзя]
мы разрешаем

Запретите человеку приказом ходить в конфигуратор. Под угрозой расстрела из водомета

(9) Более того, это можно отслеживать через журнал регистрации

(10) который легко удаляется с полными правами =)

(7) "первый конфигурирует но в БД почти бесправный" - Кто мешает ему настроить себе полные права в БД? Собственно, как и второй может себе настроить доступ в конфигуратор, раз уж "с данными может делать все"

(12) есть масса способов, за пределами прав в 1С, не дать открыть конфигуратор:
- на уровне приложений на рабочей станции и терминалках
- на кластера 1С
- в СУБД
- на уровне PAM системы & C

мешает концепция построения системы.
в приличном обществе за несанкциионированным изменением прав или те более чисткой логов следует немедленный выговор/депремирование/увольнение в зависимости от тяжести последствий.

(14) в приличном обществе не может быть КА на полной поддержке =)

(14) Ну т.е. это решается пунктом (9) без всяких дополнительных технических действий.

ну в типовых 1с вроде как нет такого.
в самописных бывает
в сапчике там вообще хорошая система прав.. была видимо уже! ))
базисник - имеет доступ к бд со всякими бэкапами и прочая
разработчик - может писать модули
матерый разработчик - может править стандартные модули (нужен ключ доступа)
ну и консультанты - те в данных могут творить любую дичь
процесс выстроен так что задачи из разных классов не пересекаются, каждый делает свое.

(0) Поставьте ему тонкий клиент или удалите файл config.dll с компьютера :)

(0) пустите его в базу через вебсервер, прямой доступ закройте

(0) А зачем вы ему на комп ставите Конфигуратор? Ставьте только клиента.

(13) а так-же есть способы открыть конфигуратор не оставляя следов в логах и не спрашивая логинов и паролей ...

(0) по сабжу - делай отдельный профиль доступа...

(0) Зайдите в конфигуратор под другим пользователем и не выходите больше никогда

Все написано и сказано правильно, я даже согласен, НО... если кто-то захочет - войдет, но надо максимально осложнить попытку.
Суть в том, что "полные права" нужны, но и в конфигуратор нельзя, все просто.
Видимо придется действительно создавать свой профиль, выбора нет. Причем в профиле не будет роли на справочнике самого профиля, групп и пользователей не своих.
Спасибо всем, думал уже придумали какой-то выход.

PS: вместо снятия с поддержки все сделано через расширение, а где обойти полноправного пользователя я нашел.

(0) поставьте юзеру Тонкий клиент, и средствами ОС запретите переустановку 1с.

(0) В терминалку его и как в (24) и все . вопрос решен.

(0) базу на веб-сервер, вход по http - у него кнопка Конфигуратор даже не загорится

Там проблема в том,что пользователь,имеющий полные права,может открыть внешнюю обработку,в которой установить привилегированный режим,а в последнем создать нового пользователя базы данных с доступом в конфигуратор.
Опять же,что в конфигураторе мы хотим спрятать ?
Если выгрузку данных,то с полными правами он итак все выгрузит.
Если мы боимся за исходные коды конфигурации,то надо публиковать на web-сервере,чтобы доступа не было.
Но,если пользователь может запускать внешние обработки,то он может и с сервера данные забрать,установив внешнюю компоненту,которая читает файл настроек кластера,а из него достает данные для подключения к базе данных,после чего он получает все и конфигуратор ему не нужен.

Еще вариант,установить разделкение данных и дать пользователю полные права в области.
В другую область,как и во всю остальную базу он попасть не сможет.

(28) Хранилище и под web