Jak utworzyć użytkownika z uprawnieniami „Administratora” w 1C Accounting 8.3

Po uruchomieniu nowo utworzonej, czystej, pustej bazy informacyjnej 1C Accounting 3.0, początkowe okno wygląda tak. Program księgowy 1C bardzo wyraźnie sugeruje, że zaczynamy pracę od wypełnienia szczegółów naszej organizacji.

Rozpoczniemy proces pracy z naszym programem księgowym 1C od utworzenia pierwszego użytkownika.

W tym celu przechodzimy do sekcji „Administracja” - „Ustawienia użytkowników i uprawnień”, klikamy hiperłącze „Użytkownicy” i klikamy przycisk „Utwórz”.

Podajmy nazwę naszego użytkownika (GlavAccount). Nie będziemy wprowadzać żadnych innych zmian. W razie potrzeby możesz zmienić hasło dla tego użytkownika, ale na razie obejdziemy się bez niego. Kliknij przycisk „Nagraj”.

Program 1C Accounting 8.3 mówi, że pierwszy użytkownik zostanie automatycznie dodany do grupy „Administratorzy”. Zgadzamy się z tym.

Nasz użytkownik został utworzony. Jeśli klikniemy przycisk „Prawa dostępu”, zobaczymy, że użytkownikowi przypisany jest profil „Administrator”.

Te kroki należy wykonać, aby ten użytkownik z uprawnieniami administratora pojawił się w programie 1C Accounting 8.3.

Zasadniczo możesz pracować bez tworzenia użytkownika. Ale niektóre procedury regulacyjne w naszym programie 1C Accounting 8.3 są wykonywane w imieniu użytkownika z pełnymi uprawnieniami. Gdy takiego użytkownika nie ma w programie, możliwa jest niejednoznaczna sytuacja, gdy system nie może wykonać takich rutynowych procedur. Dlatego zaleca się rozpoczęcie pracy z programem 1C Accounting 8.3 z kontem użytkownika z uprawnieniami dostępu „Administrator”.

W dzisiejszym artykule opowiem o lukach w zabezpieczeniach serwera 1C w sieci korporacyjnej.

Jak pokazała praktyka, w instalacjach z 1C wszyscy popełniają te same błędy o różnym stopniu nasilenia. Nie będę dotykał tak oczywistych rzeczy, jak instalowanie aktualizacji, ale omówię specyfikę działania serwera aplikacji w systemie Windows. Na przykład, jeśli to możliwe, w niekontrolowany sposób manipuluj bazami danych Microsoft SQL za pomocą narzędzi 1C.

Historycznie rzecz biorąc, administratorzy systemów i programiści 1C rzadko pracowali jako jeden zespół. Najczęściej specjaliści 1C nie zagłębiają się w zawiłości administracji systemem, a administratorzy systemu nie starają się zrozumieć niuansów 1C.

Rezultatem jest infrastruktura z „wrzodami z dzieciństwa”, które dla specjalisty ds. bezpieczeństwa informacji są oczywiste – poniżej znajduje się moje osobiste TOP takich problemów.

Prawidłowe uruchomienie serwera

Domyślnie platforma 1C podczas instalacji tworzy specjalne konto z ograniczonymi uprawnieniami, w ramach którego działają usługi serwera - USR1CV8. Wszystko idzie dobrze, dopóki nie będą potrzebne zasoby sieciowe: na przykład do automatycznego przesyłania i pobierania. Konto domyślne nie ma dostępu do folderów sieciowych w domenie, ponieważ jest kontem lokalnym.

W mojej praktyce natknąłem się na wiele sposobów rozwiązania tego problemu: foldery z dostępem do zapisu dla grupy „Wszyscy”, serwer 1C na koncie z uprawnieniami administratora domeny, dane uwierzytelniające wyraźnie zapisane w kodzie do podłączenia zasobu sieciowego. Nawet uruchamianie serwera 1C w sesji użytkownika jako normalnej aplikacji.

Wchodzimy na serwer przez RDP, widzimy takie okienko i dostajemy nerwowy tik.

Oczywiście „zakodowane na stałe” hasła i zasoby sieciowe z anonimowym dostępem do zapisu są rzadkie. W przeciwieństwie do uruchamiania serwera 1C ze zwykłego konta domeny. Oczywiście z możliwością wykonania dowolnego kodu „na serwerze”.

Jak wie każdy użytkownik 1C, ale nie żaden administrator systemu, w przetwarzaniu 1C istnieją dwa tryby wykonywania procedur: na serwerze i na kliencie. Procedura uruchomiona w trybie „serwerowym” zostanie wykonana w ramach konta usługi serwera aplikacji. Ze wszystkimi jej prawami.

Jeśli serwer 1C działa z uprawnieniami administratora domeny, potencjalny szkodnik będzie mógł zrobić wszystko z domeną. Rozsądnym rozwiązaniem byłoby utworzenie specjalnego konta na podstawie USR1CV8, tylko już w domenie. W szczególności powinna mieć możliwość logowania się tylko do niektórych serwerów w przystawce Użytkownicy i komputery usługi Active Directory.

Konfiguracja logowania tylko do autoryzowanych serwerów.

Dobrym pomysłem byłoby także umożliwienie logowania do serwera wyłącznie w formie usługi, wyłączając możliwość logowania lokalnego (interaktywnego). Można to zrobić poprzez lokalne zasady bezpieczeństwa bezpośrednio na serwerze lub przy użyciu zasad grupy domen.

Przypisywanie uprawnień użytkownika w lokalnej polityce bezpieczeństwa.

To samo dotyczy konta serwera Microsoft SQL. Siwe włosy mogą wzrosnąć z powodu złych nawyków:

uruchom SQL z uprawnieniami administratora komputera lub domeny, aby uzyskać wygodne tworzenie kopii zapasowych;
umożliwiają uruchamianie poleceń wykonywalnych za pośrednictwem procedury składowanej xp_cmdshell do przesyłania kopii zapasowych do zasobów sieciowych w ramach pięknych planów usług.

Łączenie z SQLem

W praktyce regularnie spotyka się łączenie baz danych z serwerem 1C pod użytkownikiem „SA” (superużytkownik w SQL). Ogólnie rzecz biorąc, nie jest to tak straszne, jak się wydaje, ponieważ hasło SA jest zaszyfrowane w pliku 1CV8Rej.lst na serwerze aplikacji. Osoba atakująca może hipotetycznie uzyskać hash – nie zapomnij o uprawnieniach konta serwera – ale odszyfrowanie zajmie dużo czasu, szczególnie jeśli zostanie użyta brutalna siła.

Jednak nadal dobrym pomysłem byłoby zorganizowanie audytu dostępu do tych plików i powiadomienie osób odpowiedzialnych.

Inna sprawa, gdy programiści 1C są „delegowani” do obowiązków DBA. Ponownie, z własnego doświadczenia: za serwer SQL odpowiadali programiści, podobnie jak integracja zewnętrznej strony internetowej z bazami danych 1C. Rezultatem było hasło SA w skryptach witryny.

Dla własnego spokoju warto ustawić złożone hasło do SA lub całkowicie dezaktywować to konto. W SQL należy włączyć uwierzytelnianie domeny w celu zarządzania i utworzyć osobny login dla 1C z uprawnieniami do niezbędnych baz danych.

Jeśli nie chcesz pozostawiać możliwości tworzenia baz danych SQL za pośrednictwem interfejsu 1C, nowy użytkownik będzie miał wystarczającą ogólną rolę publiczny I właściciel_db bezpośrednio w bazie danych 1C.

Można to zrobić poprzez Management Studio lub za pomocą prostego skryptu T-SQL:

UŻYWAĆ UTWÓRZ UŻYTKOWNIKA 1c_user Z HASŁEM = „VeryStrongPassword” UTWÓRZ UŻYTKOWNIKA 1c_user DLA LOGOWANIA 1c_user ZMIEŃ ROLĘ db_owner DODAJ CZŁONKA 1c_user GO

Użytkownicy 1C

Z jakiegoś powodu niewiele osób zwraca uwagę na prawa użytkownika w 1C. Jednak użytkownik z uprawnieniami „Funkcje administracyjne” lub „Administracja” może z łatwością załadować bazę danych .DT przez konfigurator i zabierz go do domu - to zapewni Twojemu kierownictwu niejedną chwilę ekscytującego szczęścia. Dlatego warto złapać pseudonim 1C na szklankę herbaty i wspólnie usiąść nad bazą danych, aby dowiedzieć się, którzy użytkownicy mają takie uprawnienia. A jednocześnie co grozi ograniczeniem ich uprawnień.

Prawo do rozładowania bazy danych przysługuje roli Pełne prawa w standardzie 1C: Księgowość 2.0.

Kolejnym ważnym punktem jest uruchomienie przetwarzania zewnętrznego. Jak pamiętamy, w 1C możesz uruchomić kod z uprawnieniami konta serwera. Dobrze, jeśli nie ma uprawnień administracyjnych do systemu, ale nadal warto wykluczyć możliwość uruchomienia takiego przetwarzania dla użytkowników. I nie zapomnij poprosić specjalisty 1C o „wbudowanie” dodatkowych raportów i przetwarzanie w bazie danych. Chociaż nie wszystkie przetwarzanie obsługują osadzanie - ta funkcja zależy od wersji 1C.

Które typowe role nie mają uprawnień do otwierania procesorów zewnętrznych, możesz sprawdzić w konfiguratorze.

Wszystkie te działania nie tylko pomogą chronić przed potencjalnym „szkodnikiem wewnętrznym”, ale staną się także dodatkową przeszkodą dla tych, którzy udają zabiegi 1C.

Jeśli nadal potrzebujesz uruchomić przetwarzanie zewnętrzne, dobrą opcją kontroli i ubezpieczenia byłoby audytowanie ich uruchomienia. 1C nie ma jeszcze standardowego mechanizmu audytu, ale społeczność wymyśliła już kilka obejść. Warto wdrożyć te mechanizmy wspólnie ze specjalistą 1C, a także skonfigurować powiadomienia o zdarzeniach w dzienniku rejestracji bazy danych.

Osobno chciałbym zwrócić uwagę na możliwość skonfigurowania uwierzytelniania użytkowników domeny zamiast uwierzytelniania 1C. I będzie to wygodniejsze dla użytkowników – mniej haseł w ich pamięci zmniejsza ryzyko pojawienia się naklejek na monitorze.

Administrator Klastra

Dlatego użytkownicy nie mogą już wykonywać przetwarzania; konto serwera jest maksymalnie ograniczone. Ale jest coś jeszcze: konto administratora klastra 1C, które nie jest tworzone domyślnie.

Jej brak jest niebezpieczny: każdy, kto posiada laptopa z otwartym dostępem do portów sieciowych serwera (domyślnie TCP:1540) może stworzyć tam własną bazę danych i nie będzie żadnych ograniczeń w prowadzeniu przetwarzania. A złoczyńca będzie mógł uzyskać informacje o bazach danych, pracujących użytkownikach, zmienić parametry klastra, a nawet na siłę zakończyć pracę niektórych użytkowników.

Przykład skryptu PowerShell wydalającego wszystkich użytkowników ze wszystkich baz danych serwera:

$COMConnector = New-Object -ComObject V83.COMConnector $agent = $COMConnector.ConnectAgent("servername") $cluster = $agent.GetClusters() $agent.Authenticate($cluster,"", "") $sessions = $ agent.GetSessions($cluster) Foreach ($sesja w $sessions) ( $agent.TerminateSession($cluster, $session) )

Wspomniano już o zastosowaniu podobnej metody pracy z serwerem 1C w dobrych celach.

Utworzenie administratora klastra nie jest łatwe, ale bardzo proste - wystarczy kliknąć prawym przyciskiem myszy element „administratorzy” w zarządzaniu klastrem 1C, utworzyć nowego administratora, ustawiając login i hasło.

Tworzenie administratora klastra 1C.

Poruszyłem tylko niektóre niedociągnięcia podczas konfigurowania 1C: Enterprise. Do samodzielnej nauki polecam lekturę materiałów, które są nadal aktualne:

dokument dotyczący zagadnień bezpieczeństwa informacji na stronie internetowej ITS;
w społeczności mista.ru.

Praca w programie 1C umożliwia różnym użytkownikom przypisywanie funkcjonalnego dostępu do dokumentów i katalogów baz danych. Na przykład:

Jeśli użytkownik pracuje jako księgowy, wówczas w 1C przypisano mu odpowiednią rolę, która pozwala mu dodawać, zmieniać, usuwać dokumenty i katalogi dotyczące działalności gospodarczej.
Jeśli użytkownik 1C pracuje tylko z raportami i przeglądami danych z bazy danych, powiedzmy menedżerowi, wówczas otrzymuje uprawnienia do odczytu danych.
Użytkownik, który może pracować ze wszystkimi obiektami programu 1C - Administrator, ma pełne prawa i otrzymuje nieograniczony dostęp do pracy z bazą danych w 1C.

Prawa dostępu można jedynie konfigurować Administrator– Użytkownik 1C, któremu przypisano Pełne uprawnienia.

Ustawianie praw dostępu w 1C 8.3 Rachunkowość 3.0

W 1C: Księgowość, wydanie 8. 3.0 dostępne są 4 główne profile do pracy z programem:

Administrator;
Księgowy;
Główny księgowy;
Synchronizacja z innymi programami;
Tylko do odczytu.

Aby zrozumieć zasadę ustawiania uprawnień w 1C, przejdźmy do konfiguratora. Analizując obiekty konfiguracyjne zobaczymy specjalną gałąź Role, który zawiera listę wszystkich możliwych dostępów do danych bazy danych określonych przez programistów 1C:

Każda rola odpowiada zestawowi możliwości pracy z obiektami konfiguracyjnymi, są to:

Czytanie;
Dodatek;
Przeprowadzanie;
Anulowanie;
Redagowanie;
Usuwać.

Jeśli otworzysz daną rolę, to dla każdego obiektu możesz zobaczyć, co można zrobić z każdym obiektem konfiguracyjnym:

Ważne jest, aby wiedzieć, że użytkownikowi 1C można przypisać dowolny zestaw ról z listy określonej przez programistów. Jednocześnie, jeśli w jakiejś roli nie da się zmienić obiektu, ale w innej roli dodanej do tego użytkownika jest to możliwe, to wynikające z tego uprawnienia użytkownika będą „zmienne”. Role się uzupełniają. Aby obiekt nie mógł zostać zmieniony przez użytkownika, żadna z przypisanych do niego ról nie powinna mieć opcji „Zmień”.

Konfigurowanie praw dostępu w 1C 8.3 Księgowość

Konfigurowanie praw dostępu w 1C 8.3 odbywa się w sekcji Administracja – Ustawienia użytkowników i praw:

Otworzy się okno Ustawienia użytkownika i uprawnień:

Rozważmy możliwości skonfigurowania dostępu w 1C.

Jak utworzyć nowego użytkownika w 1C 8.3

Domyślnie ustawia się program 1C Logowanie do programu jest dozwolone, Pokaż na liście wyboru i zaloguj się do programu przy użyciu loginu i hasła ustawionego w 1C. Hasło możesz ustawić samodzielnie lub zasugerować ustawienie go programowi. Z reguły hasło określone przez program 1C spełnia poważniejszy poziom weryfikacji i trudniej jest wybrać takie hasło podczas hakowania systemu.

Musisz zapamiętać hasło! Jeśli hasło zostanie utracone, tylko Administrator może je ponownie zresetować. Jeśli hasła zostaną utracone i nie będziesz mógł wejść do bazy danych, będziesz musiał „zhakować” wejście do bazy danych.

Specjaliści wykorzystują do tego edytor HEX i w odpowiednich miejscach zmieniają informacje odpowiedzialne za pracę z użytkownikami. Jest to możliwe, ale nie wskazane.

Jak skonfigurować prawa dostępu w oparciu o standardowe profile w 1C 8.3

Każdemu użytkownikowi (Administracja – Ustawienia użytkowników i uprawnień – Użytkownicy) przypisane są Prawa Dostępu z listy profili znajdującej się w konfiguracji. Na przykład dla księgowej S.B. Petrova. przypisz profil Księgowego:

Tutaj możemy przenieść ustawienia na nowego użytkownika od użytkownika już pracującego w 1C: ustawienia funkcjonalności, ustawienia raportów wewnętrznych itp., aby nie tracić czasu i wpisywać wszystko ręcznie:

Zaznaczamy ustawienia przeniesienia na nowego użytkownika Księgowa Petrova od użytkownika Administrator:

Przesyłanie ustawień osobistych, ustawień drukowania i Ulubionych:

Naciśnij przycisk. W formularzu wyboru ustawień wybierz opcję „Kopiuj i zamknij”. Wszystkie ustawienia nowego użytkownika z konta Administrator zostały przeniesione.

Konfigurowanie praw dostępu poprzez dodawanie nowych profili w 1C 8.3

Tworzymy nowy profil z ograniczonym dostępem do katalogów i dokumentów. Profile grup dostępu – Utwórz:

Wygodne jest utworzenie nowego profilu dla podsystemów 1C. Przykładowo dla uprawnień Księgowego możemy wyróżnić następującą funkcjonalność:

Odbicie wynagrodzeń w rachunkowości;
Czytanie podatków i składek;
Wzajemne rozliczenia z pracownikami;
Spersonalizowana księgowość;
Księgowość płacowa:

Według książki Tylko wybrane role wyświetlona zostanie lista wybranych ról użytkowników. Księgowość personelu można ustawić osobno dla profilu HR.

Jak skonfigurować dodatkowe prawa dostępu do istniejących profili standardowych w 1C 8.3

Możesz dodać funkcjonalność do konkretnego użytkownika 1C z wybranym profilem. Na przykład dla użytkownika Petrov w profilu Księgowego polecenie nie jest dostępne Wszystkie funkcje, ale możemy dodać go do tego użytkownika. Przejdź do Administracja – Ustawienia użytkowników i uprawnień – Profile grup dostępu. Książka Utwórz – tryb Wszystkie funkcje – dodaj uprawnienia Tryb „Wszystkie funkcje”:

Dodajemy nowy profil do księgowej S.B. Petrova:

Konfigurowanie dodatkowych praw dostępu do poszczególnych dokumentów i katalogów w 1C 8.3

To ustawienie umożliwia pracę z rozszerzeniem konfiguracyjnym. Załóżmy, że musisz skonfigurować dostęp użytkownika 1C do dowolnego zestawu dokumentów i podręczników. Zestaw tych dokumentów i podręczników może być inny - programiści 1C nie są w stanie zapewnić wszystkich opcji odpowiednich ról, których użytkownicy mogą potrzebować w praktyce. Co więcej, prośby o dostęp do danych mogą być zupełnie nadzwyczajne.

W 1C 8.2 musieliśmy usunąć zakaz edycji z konfiguracji i dodać nową rolę do obiektów Role, przypisując dostęp do niezbędnych katalogów i dokumentów, w związku z czym pojawiły się trudności z kolejną aktualizacją 1C. Takie konfiguracje nie były już automatycznie aktualizowane, więc na taką przyjemność mogli sobie pozwolić tylko użytkownicy organizacji zatrudniających programistów 1C.

W 1C 8.3, ze względu na pojawienie się nowej możliwości pracy z aplikacjami konfiguracyjnymi, możemy zrealizować nasze zadanie polegające na ograniczeniu praw użytkowników bez usuwania zakazu edycji z głównej konfiguracji i pozostawiania jej całkowicie standardowej. Przyjrzyjmy się teraz, jak to zrobić:

W celach informacyjnych Użytkownicy Wprowadźmy dodatkowy atrybut „Access_Sale_Products”, który przyjmie wartości „Tak” lub „Nie”.

Przejdź do Administracja – Ustawienia ogólne – Dodatkowe szczegóły i informacje. Umożliwiamy pracę z „Szczegółami i informacjami z ogólną listą wartości”:

Otwarcie hiperłącza Dodatkowe szczegóły.

W lewej kolumnie list obiektów konfiguracyjnych znajdziemy Użytkownicy i kliknij przycisk. Dodać. Wypełnij formularz, który się otworzy, jak pokazano poniżej. Nowy atrybut będzie miał dwie wartości: „Tak” i „Nie”. Połączmy wartości w grupę „Dostęp”. Wypełnij zakładkę Główne:

Wypełnij zakładkę Wartości:

Teraz uzupełnijmy te informacje naszym użytkownikom.

„Księgowy Pietrowa” – Nie:

„Administrator” - Tak:

Wszystkie niezbędne działania w bazie danych 1C 8.3 zostały zakończone, teraz będziemy pracować Rozszerzenie konfiguracji.

Wchodzimy do konfiguratora bazy danych: Konfiguracja – Rozszerzenia konfiguracji:

Zgodnie z książką dodajemy nowe rozszerzenie konfiguracyjne. +:

Zgadzamy się z domyślnymi danymi rozszerzenia lub ustalamy własne:

Otwórz konfigurację rozszerzenia za pomocą książki. :

Teraz przeniesiemy dane niezbędne do pracy z głównej konfiguracji. Utworzone rozszerzenie konfiguracji „Rozszerzenie 1” jest nadal puste:

W głównej konfiguracji znajdziemy w dokumentach – dokument Sprzedaż towarów i usług oraz przekazujemy formularz, z którym będziemy pracować. Przykładowo do rozszerzenia konfiguracyjnego dodamy „ProductsDocumentForm” klikając na nazwę formularza i klikając go prawym przyciskiem myszy. myszy. Z rozwijanego menu wybierz polecenie „Dodaj do rozszerzenia”:

Otwórz formularz w rozszerzeniu konfiguracji i utwórz przetwarzanie zdarzeń Przed nagraniem. Podczas tworzenia modułu obsługi zdarzeń program 1C 8.3 poprosi Cię o wskazanie, gdzie utworzyć kod programu. Wybierz: Utwórz na kliencie i procedurę na serwerze bez kontekstu:

Po utworzeniu zdarzenia w pustej komórce zdarzeń „BeforeRecord” zobaczymy procedurę przetwarzania zdarzenia przypisaną przez program 1C 8.3: „Ext1_BeforeRecord”:

Przejdź do modułu formularza i wstaw następujący kod programu:

Aktualizujemy zmiany i uruchamiamy bazę danych w trybie użytkownika w celu sprawdzenia wprowadzonych zmian. Zaloguj się jako użytkownik Księgowa Petrova i edytuj dokument Sprzedaż towarów i usług, kliknij przycisk. Zanotować:

Dla administratora edycja dokumentu nie będzie stanowić problemu.

Podany kod programu można umieścić w rozszerzeniu konfiguracyjnym 1C 8.3 dla dowolnego dokumentu i podręcznika, co pozwoli nie zmieniać standardowej konfiguracji, ale jednocześnie rozwiąże problem dostępu do obiektów bazy danych dla różnych użytkowników.

Jak zapewnić dostęp do wersji raportu z indywidualnymi ustawieniami innym użytkownikom w 1C 8.3 ZUP, zobacz nasz film:

W tym artykule przyjrzę się, jak pracować z użytkownikami w:

utwórz nowego użytkownika;
konfigurować uprawnienia – profile, role i grupy dostępu;
jak skonfigurować ograniczenia praw na poziomie rekordu () w 1C 8.3 - na przykład według organizacji.

Instrukcje nadają się nie tylko do programu księgowego, ale także do wielu innych zbudowanych w oparciu o BSP 2.x: 1C Trade Management 11, Zarządzanie wynagrodzeniami i personelem 3.0, Zarządzanie małymi firmami i inne.

Jeśli interesuje Cię konfigurowanie uprawnień z punktu widzenia programisty, przeczytaj.

W interfejsie programu 1C zarządzanie użytkownikami odbywa się w sekcji „Administracja”, w pozycji „Konfigurowanie użytkowników i praw”:

Aby utworzyć nowego użytkownika w 1C Accounting 3.0 i przypisać mu określone prawa dostępu, w menu „Administracja” znajduje się pozycja „Ustawienia użytkownika i praw”. Chodźmy tam:

Listą użytkowników zarządza się w sekcji „Użytkownicy”. Tutaj możesz utworzyć nowego użytkownika (lub grupę użytkowników) lub edytować istniejącego. Listą użytkowników może zarządzać wyłącznie użytkownik z uprawnieniami administracyjnymi.

Stwórzmy grupę użytkowników o nazwie „Księgowość”, w której będzie dwóch użytkowników: „Księgowy 1” i „Księgowy 2”.

Aby utworzyć grupę, kliknij przycisk zaznaczony na powyższym obrazku i wprowadź nazwę. Jeżeli w bazie informacji znajdują się inni użytkownicy, którzy nadają się do roli księgowego, możesz od razu dodać ich do grupy. W naszym przykładzie ich nie ma, więc klikamy „Zapisz i zamknij”.

Teraz utwórzmy użytkowników. Umieść kursor na naszej grupie i kliknij przycisk „Utwórz”:

W pełnej nazwie wpiszemy „Księgowy 1”, nazwa logowania zostanie ustawiona na „Księgowy1” (tak się wyświetli po wejściu do programu). Hasło będzie wynosić „1”.

Upewnij się, że checkboxy „Pozwolono na logowanie do programu” i „Pokaż na liście wyboru” są zaznaczone, w przeciwnym razie użytkownik nie będzie widział siebie podczas autoryzacji.

Uzyskaj 267 lekcji wideo na 1C za darmo:

Pozostaw „Tryb uruchamiania” jako „Auto”.

Konfigurowanie praw dostępu - role, profile

Teraz musisz określić „Prawa dostępu” dla tego użytkownika. Ale najpierw musisz to zapisać, w przeciwnym razie pojawi się okno z ostrzeżeniem, jak pokazano na powyższym obrazku. Kliknij „Nagraj”, a następnie „Prawa dostępu”:

Wybierz profil Księgowego. Profil ten jest standardowy i skonfigurowany z podstawowymi uprawnieniami wymaganymi przez księgowego. Kliknij „Nagraj” i zamknij okno.

W oknie „Użytkownik (tworzenie)” kliknij „Zapisz i zamknij”. Tworzymy także drugiego księgowego. Dbamy o to, aby użytkownicy byli aktywni i mogli pracować:

Należy pamiętać, że ten sam użytkownik może należeć do kilku grup.

Wybraliśmy uprawnienia dostępu dla księgowych spośród tych, które domyślnie były zawarte w programie. Są jednak sytuacje, w których konieczne jest dodanie lub usunięcie jakiegoś prawa. W tym celu istnieje możliwość stworzenia własnego profilu z zestawem niezbędnych praw dostępu.

Przejdźmy do sekcji „Profile grup dostępu”.

Załóżmy, że musimy pozwolić naszym księgowym na przeglądanie wpisu księgowego.

Tworzenie profilu od podstaw jest dość pracochłonne, dlatego skopiujmy profil „Księgowy”:

I dokonajmy w nim niezbędnych zmian - dodajmy rolę „”:

Nadajmy nowemu profilowi inną nazwę. Na przykład „Księgowy z dodatkami”. I zaznacz pole wyboru „Wyświetl dziennik rejestracji”.

Teraz musimy zmienić profil użytkowników, których stworzyliśmy wcześniej.

Ograniczanie praw na poziomie nagrywania w 1C 8.3 (RLS)

Zastanówmy się, co to znaczy ograniczać prawa na poziomie rekordu lub, jak to nazywają w 1C, RLS (zabezpieczenie poziomu rekordu). Aby skorzystać z tej możliwości należy zaznaczyć odpowiednie pole:

Program będzie wymagał potwierdzenia akcji i poinformuje Cię, że takie ustawienia mogą znacznie spowolnić system. Często konieczne jest uniemożliwienie niektórym użytkownikom przeglądania dokumentów określonych organizacji. Właśnie w takich przypadkach istnieje ustawienie dostępu na poziomie rekordu.

Przechodzimy ponownie do sekcji zarządzania profilami, dwukrotnie klikamy profil „Księgowy z dodatkami” i przechodzimy do zakładki „Ograniczenia dostępu”:

„Typ dostępu” wybierz „Organizacje”, „Wartości dostępu” wybierz „Wszystkie dozwolone, wyjątki przypisane są w grupach dostępu”. Kliknij „Zapisz i zamknij”.

Teraz wracamy do sekcji „Użytkownicy” i wybieramy np. użytkownika „Księgowy 1”. Kliknij przycisk „Prawa dostępu”:

Za pomocą przycisku „Dodaj” wybierz organizację, której dane będzie widział „Księgowy 1”.

Uważać na! Stosowanie mechanizmu rozdzielania praw na poziomie rekordu może mieć wpływ na działanie programu jako całości. Uwaga dla programisty: istota RLS polega na tym, że system 1C dodaje do każdego żądania dodatkowy warunek, żądając informacji, czy użytkownik może przeczytać te informacje.

Inne ustawienia

Sekcje „Kopiowanie ustawień” i „Kasowanie ustawień” nie budzą żadnych wątpliwości, ich nazwy mówią same za siebie; Są to ustawienia wyglądu programu i raportów. Na przykład, jeśli ustawiłeś piękny wygląd katalogu „Nomenklatura”, można go powielić innym użytkownikom.

Jeśli masz nowego pracownika lub zainstalowałeś nową, czystą bazę danych konfiguracji 1C 8.2, będziesz musiał utworzyć nowego użytkownika.

Jeżeli baza danych jest czysta to warunkiem poprawnego działania programu jest utworzenie przynajmniej jednego użytkownika z pełnymi uprawnieniami.

Jeśli w bazie danych nie ma ani jednego użytkownika, a pracownicy pracują bez uprawnień, często pojawiają się błędy w programie. Dodajmy nowego użytkownika do bazy danych konfiguracji demonstracyjnej dla 1C Enterprise Accounting 2.0.

Uruchom 1C i wybierz tryb uruchamiania konfiguratora:

Jeżeli Twoja baza danych nie jest pusta, to aby dodać nowych użytkowników musisz zalogować się do konfiguratora jako użytkownik z pełnymi uprawnieniami. Wybierz i kliknij „OK”. Jeżeli baza danych będzie pusta, od razu zostaniesz przeniesiony do konfiguratora.

Z menu Administracja wybierz opcję „Użytkownicy”.

Pojawi się lista użytkowników. Kliknij dodaj.

W wyświetlonym oknie musisz ustawić nazwę użytkownika. W razie potrzeby możesz ustawić dla niego hasło. Hasło można również ustawić dla użytkownika, logując się do bazy danych w trybie korporacyjnym dla tego użytkownika i klikając „Opcje użytkownika” w menu Narzędzia.

Możesz uniemożliwić użytkownikowi zmianę hasła i usunąć je z listy wyboru podczas uruchamiania programu. Usunięcie z listy wyboru może być konieczne, gdy użytkownik wykorzystywany jest np. do wymiany danych.

Możesz odznaczyć pole wyboru 1C: Uwierzytelnianie przedsiębiorstwa i umieścić je w Uwierzytelnianiu systemu operacyjnego, wybierając użytkownika systemu Windows, pod którym pracownik pracuje na komputerze. W takim przypadku użytkownik zostanie automatycznie określony na podstawie tego, na jakim komputerze i pod jakim użytkownikiem systemu Windows pracownik loguje się do programu.

Gdy wszystko zostanie wypełnione, przejdź do zakładki „Inne”.

Tutaj musisz wybrać dostępne role użytkowników. W przypadku pustej bazy danych wymagana jest rola „Pełne prawa”. Rola ta obejmuje wszystkie pozostałe z listy za wyjątkiem roli „Użytkownik”. Jeśli jest na nim obecny, musisz go również zaznaczyć.

W przypadku aktywnej bazy danych musisz zdecydować, jakie role przypisać użytkownikowi. Brak ról dla użytkownika to w istocie brak pewnych uprawnień w programie, tj. ograniczanie dostępu do wykonywania niektórych operacji.

Tutaj możesz przypisać pracownikowi główny interfejs. Interfejs dobierany jest w oparciu o role użytkownika i zadania, które wykonuje w przedsiębiorstwie. Aby mieć czystego użytkownika bazy danych z pełnymi uprawnieniami, należy zainstalować pełny interfejs.

Domyślny język jest ustawiany przez system operacyjny i nie trzeba go wybierać. Gdy wszystko zostanie wypełnione, kliknij „OK”.