Представьте, в компанию вышел новый менеджер. Ему нужен доступ в 1С — чтобы видеть номенклатуру, оформлять реализацию и не трогать “чужие” склады. Вы — админ/главбух/ответственный за 1С, и у вас две задачи: быстро завести пользователя и так же быстро не дать ему случайно натворить дел. Ниже — простой путь, который работает в 1С:Предприятие 8.3 как для файловой базы, так и для клиент-серверной.
Как 1С понимает «кому что можно»
В 1С есть три сущности, которые стоит запомнить.
Роли — это “кирпичики” доступа: можно ли проводить, удалять, видеть цены, менять справочники и т. д.
Профили групп доступа — готовые наборы ролей. Идеальны для старта: “Бухгалтер”, “Кладовщик”, “Менеджер по продажам”.
RLS — ограничения по данным: сотрудники видят только “свои” организации, склады, подразделения. Это не про галочку “проводить”, это про видимость самих данных.
Идеальная логика такая: давать профиль (быстро и безопасно), а потом — при необходимости — слегка докрутить ролями и включить RLS.
Создаём пользователя: как это выглядит в реальности
Вы входите в базу под администратором и идёте в Администрирование → Пользователи. Нажимаете «Создать», вводите имя — так, как будет удобно видеть в отчётах. Дальше важный выбор — тип аутентификации:
- 1С:Предприятие — у пользователя будет свой логин/пароль именно для 1С. Подходит, когда домена нет или он не нужен.
- Операционная система — 1С доверяет учетке Windows/AD. Плюс: один пароль для всего, можно назначать доступ целым группам домена.
С аутентификацией определились — переходите к правам. Самый практичный путь: назначаем профиль группы доступа по должности. Например, “Менеджер продаж”. Сохраняем карточку. На этом базовый доступ готов: сотрудник сможет войти и работать в “своём” разделе.
На что обратить внимание сразу
Если ваш бизнес работает с несколькими юрлицами/складами, сразу после назначения профиля включите ограничение доступа к данным (RLS) и укажите, какие организации и склады видит человек. Это экономит часы — потом не придётся ловить утечки по отчётам.
Профиль или роли: как не запутаться
Чистые роли — гибко, но долго. Профили — быстрее стартовать и меньше риск “переборщить”.
Ниже — ориентир, который помогает попадать в нужный доступ с первого раза:
| Сценарий | Что выбрать | Почему это удобно |
|---|---|---|
| Главбух | Профиль «Бухгалтер (полный)» | Сразу есть всё для закрытия месяца, регламентной отчётности и контроля |
| Бухгалтер участка | «Бухгалтер (участок)» + RLS по организации | Не перегружен лишним, но может проводить свои документы |
| Кладовщик | «Кладовщик/Склад» + RLS по складам | Доступ к перемещениям, приёмкам, инвентаризациям; не видит чужие склады |
| Менеджер по продажам | «Менеджер продаж» + RLS по подразделению/организации | Оформляет реализации и счета, видит только “своих” клиентов |
| Руководитель | «Руководитель» + чтение отчётов | Просмотр аналитики без права вмешательства |
| Администратор 1С | «Администратор» (осторожно) | Только для тех, кто действительно администрирует базу |
Если профиля не хватает, добавляйте конкретные роли под задачу: “проводить документы продаж”, “видеть цены”, “изменять справочники”. Лишнего — не давать.
Что такое RLS и почему без него сейчас никуда
RLS — это фильтр на уровне данных. Бухгалтер Иванова увидит документы только своей организации, кладовщик Петров — только свой склад, а руководитель подразделения — только отчёты по своему центру.
Включается это обычно в Администрирование → Настройка прав и пользователей → Ограничение доступа к данным. Вы отмечаете, какие разрезы контроля нужны (организации, склады, подразделения), а в карточках пользователей указываете их “зону видимости”. Всё. С этого момента человек просто не увидит лишнего — даже если у него есть право проводить документы в целом.
Хороший тест: зайдите под тестовой учеткой и откройте отчёт по продажам — там должны быть только “свои” данные.
Пароли, домен и политика безопасности
Есть две рабочие модели.
1С-пароль. Быстро, автономно, вне домена. Попросите у безопасности минимальные требования: длина, сложность, срок действия. Сброс пароля делается прямо в карточке пользователя.
Windows/AD. Если компания в домене, берите этот путь. Один пароль на всё, доступы можно давать группам. Главное — правильно связать пользователя/группу AD с карточкой в 1С, чтобы не возникло “двойных” прав (и через профиль, и через группу).
В любом случае держите включённым журнал регистрации — потом он спасает при расследованиях “кто что провёл/удалил и когда”.
Файловая база и клиент-сервер: где подводные камни
Файловая база хороша для небольших команд: просто, минимальная инфраструктура. Но как только пользователей становится больше, появляются блокировки, зависимость от сетевых папок и сложнее контролировать сеансы.
Клиент-серверная архитектура (сервер 1С + SQL) надёжнее под нагрузкой: лучше масштабируется, проще управлять сеансами и резервным копированием, удобнее дружит с AD. Если у вас отдел продаж + склад + бухгалтерия — скорее всего вы уже там или скоро будете.
Несколько жизненных мини-сценариев
Дать менеджеру право проводить документы продаж, но запретить видеть закупочные цены.
Назначьте профиль “Менеджер продаж”. Проверьте, чтобы роли, открывающие доступ к ценам поставщика, не были добавлены (в типовых конфигурациях это отдельные роли/признаки). Если требуется, разрешите только просмотр розничных/отпускных цен через соответствующие роли. Для «чужих» цен — никаких “Полных прав”.
Кладовщик видит все склады — нельзя.
Включите RLS по складам. В карточке пользователя оставьте только “Склад №1” и “Склад экспедиции”. Перепроверьте отчёты по остаткам: должны показываться только эти склады.
Бухгалтер участка не может провести документ “Реализация”.
Ему не хватает роли на проведение конкретного объекта. Откройте карточку, в ролях/профиле добавьте возможность проведения для нужной подсистемы. После сохранения попросите выйти-войти — права обновятся.
Нужно закрыть доступ уволенному сотруднику прямо сейчас.
Откройте пользователя, снимите флаг “Активен”. Если база клиент-серверная — завершите его сеанс в консоли администрирования. Пара минут — и учётка не работает.
Типовые конфигурации: что обычно берут “из коробки”
В “Бухгалтерии 3.0” профили названы довольно прозрачно: полный бухгалтер, бухгалтер по банку/кассе/зарплате, кладовщик, руководитель. В “Управлении торговлей 11” — менеджер продаж, кладовщик, закупки/цены, руководитель отдела. В ЗУП — кадровик, расчётчик, руководитель, просмотр. Пробежитесь по описаниям профилей в вашей версии: иногда названия отличаются, но суть та же — под позицию есть свой готовый набор.
О чём чаще всего жалеют администраторы
— Раздали “Полные права”, чтобы не отвлекали. Через месяц выясняется, что менеджер “подчистил” справочник номенклатуры, а кладовщик удалил документы “для красоты”. Возвращать сложно.
— Забыли RLS. Руководитель увидел маржинальность по всем организациям, хотя надо было — только по своей.
— Оставили висеть сеансы в тонком клиенте или у сервисов обмена — лицензии съедаются, пользователи не могут войти.
— Не включили журнал регистрации. Когда что-то идёт не так, без журнала правда тонет в догадках.
Небольшая памятка для быстрого запуска
- Создали пользователя, выбрали тип аутентификации.
- Назначили профиль по должности.
- Сразу задали RLS (организации/склады/подразделения).
- Проверили вход и один рабочий сценарий (создание/проведение документа).
- Включили журнал регистрации и базовую политику паролей.
Частые вопросы
Можно ли выдавать доступ группой, а не каждому?
Да. Если у вас AD — назначайте доступ группам домена. Внутри 1С используйте группы пользователей и профили: администрирование становится предсказуемым.
Как выгрузить список пользователей для проверки?
В большинстве конфигураций есть стандартные отчёты по пользователям и правам; если их нет — запрос в конфигуратор/внешний отчёт, либо выгрузка через обработку администратора.
Сколько одновременных пользователей выдержит база?
Это вопрос про сервер 1С, SQL, сеть и лицензии. Если вы чувствуете, что база “задыхается” — время смотреть в сторону масштабирования на клиент-сервер.
