Пользователи групп отображаются для сведения что они получают доступ групп пользователей
Управление доступом
Расширенная настройка прав доступа
Управление доступом сделали более технологичным, упростили настройку прав для большого числа пользователей.
Ранее права для каждого пользователя устанавливались индивидуально. Теперь права настраиваются для групп доступа. Все пользователи, входящие в группу доступа, получают одинаковые, настроенные для этой группы права.
Появилась возможность детальной настройки прав на добавление и изменение каждого вида документов и справочников в ролях профиля групп доступа.
Пользователям с ограниченными правами теперь можно разрешать создание новых пользователей. Новому пользователю автоматически присвоится группа доступа с профилем Продажи.
Интерфейс управления правами доступа теперь выглядит привычным образом. Устанавливаем права доступа пользователей теперь через включение в группы доступа. Группе доступа устанавливаем свой профиль. Состав профиля настраиваем по ролям. Название профилей соответствуют обновленным разделам в программе.
Группы доступа
Начинается настройка с групп доступа, которые включают набор прав для каждого пользователя.
Группы доступа так же отображаются в списке пользователей. Администратор может видеть права, не открывая карточку пользователя. Особым цветом подсвечивается пользователь, которому не присвоена группа доступа и поэтому он не может входить в программу.
По умолчанию созданы группы доступа соответствующие существующим разделам в программе. Группы доступа могут иметь иерархию. Объединяйте их при необходимости в папки.
Например, в папке Дополнительные группы находятся специальные группы доступа для специалистов.
Назначение группы доступа в этой папке можно прочитать в комментарии.
Можно создавать свои группы доступа и сразу включать в нее пользователей с правами этой группы.
Состав ролей для группы доступа настраивается через профиль группы доступа.
Профили групп доступа
Профиль группы доступа определяет набор ролей для группы доступа. По умолчанию созданы профили с наименованиями, соответствующими обновленным разделам в программе аналогично группам доступа. То есть добавили Склад, переименованный Персонал и Рабочее место старшего кассира, Рабочее место операционного кассира.
Профили могут иметь иерархию и объединятся в группы. Аналогично группам доступа созданы профили в папке Дополнительные профили. Установлено соответствие профиля группе доступа.
Состав профиля настраивается по ролям. Крупные роли разделили на несколько более маленьких. Теперь администратор может более детально настраивать существующие профили пользователей, назначить и исключать дополнительные роли. Для каждого объекта предусмотрена своя роль, позволяющая добавлять или изменять информацию.
Для настройки профиля для конкретных пользователей с учетом ролей:
Профиль готов, определен состав ролей, профиль назначен группе доступа, пользователю установлена группа доступа.
Права при добавлении нового пользователя
При создании нового пользователя ему автоматически присваивается группа доступа с профилем Продажи.
Ранее при создании нового пользователя не назначались никакие профили доступа. Администратор должен был в ручную назначить пользователю профиль доступа.
Создание профиля для сотрудника, добавляющего новых пользователей
Теперь можно назначить пользователю права добавления новых пользователей программы. Таким образом освободить администратора от этой задачи.
Для этого администратор может назначить отдельному сотруднику права на создание пользователей. При этом не давать полный доступ ко всем настройкам.
Создаем дополнительный профиль Добавление и изменение пользователей, в который включаем единственную роль Добавление и изменение пользователей.
Создаем группу с этим профилем и добавляем в него сотрудника, которые отвечает за создание новых пользователей.
Обратите внимание, что у этого сотрудника уже должна быть назначена основная группа доступа, например, Персонал.
Вновь созданный пользователь имеет права на редактирование пользователей в программе, но не может настраивать группы доступа, изменять карточки пользователей с правами работы в программе.
Настройка профилей доступа в типовых прикладных решениях «1С:Предприятие» на базе БСП
Настройка профилей доступа в типовых прикладных решениях на базе БСП. Легасофт.
Любое типовое прикладное решение рассчитано на работу в нем большого количества людей, каждый из которых выполняет в системе определенные функции. Эти функции определяют ограничения доступа к объектам базы, устанавливаемые пользователям.
Задачи разграничения прав доступа являются очень распространенными при работе в типовых прикладных решениях, поэтому разработчики предусмотрели довольно гибкую схему настройки прав пользователей. Она позволяет решить большинство данных задач в режиме предприятия, не прибегая к услугам программистов и изменениям конфигурации.
Набор прав пользователя на самом низком уровне определяется ролями. Раньше роли назначались пользователям напрямую с помощью конфигуратора.
Прикладные решения на базе БСП имеют более гибкую настройку доступа пользователей и возможность пользоваться ей режиме предприятия.
Рассмотрим настройку набора прав пользователя на примере конфигурации Управление торговлей, редакция 11 (11.3.3.205), но будем отмечать различия с другими типовыми прикладными решениями.
Для настройки прав пользователя необходимо зайти в раздел «НСИ и Администрирование» и выбрать пункт «Настройки пользователей и прав».
Примечание: в некоторых конфигурациях раздел может носить наименование «Администрирование» или доступ к нему осуществляется через раздел «Главное», пункт «Еще больше возможностей.
Откроется окно настроек пользователей и прав.
Группа «Пользователи» позволяет создать и настроить пользователей и их вход в систему. Флажок «Группы пользователей» позволяет включить/отключить объединение пользователей в группы.
Группа «Группы доступа» позволяет создать и настроить группы и профили доступа. Флажок «Ограничивать доступ на уровне записей» позволяет включить/отключить настройки доступа к конкретным элементам отдельных справочников. Флажок «Группы доступа партнеров» позволяет включить/отключить гибкую настройку доступа к документам по партнерам. Флажок «Группы доступа номенклатуры» позволяет включить/отключить гибкую настройку доступа к документам по номенклатуре.
Примечание: в других типовых прикладных решениях внешний вид окна настроек пользователей и прав может быть другим: меняется количество групп, их расположение и состав. Но несмотря на это, основные пункты остаются неизменными и общий смысл настроек сохраняется.
Внимание! Установка всех флажков дает возможность максимально гибко настроить права доступа к объектам базы, но включение данных опций (особенно ограничение доступа на уровне записей) замедляет работу системы. Поэтому рекомендуется включать их при необходимости, а не «для галочки».
Опишем порядок настройки прав пользователя.
Шаг 1. Создание групп доступа партнеров и номенклатуры.
Выбираем ссылку «Группы доступа партнеров», откроется список групп доступа партнеров. Группа доступа партнеров представляет собой объект, который объединяет клиентов по смыслу для ограничения/разрешения доступа к ним.
Карточка группы доступа партнеров содержит только наименование.
Соответствие партнеров и групп доступа задается в карточке клиента.
Выбираем ссылку «Группы доступа номенклатуры», откроется список групп доступа номенклатуры. Группа доступа номенклатуры представляет собой объект, который объединяет номенклатуру по смыслу для ограничения/разрешения доступа к ним.
Карточка группы доступа номенклатуры содержит только наименование.
Соответствие номенклатуры и групп доступа задается в карточке номенклатуры.
Примечание: в некоторых прикладных решениях группы доступа партнеров или номенклатуры могут отсутствовать.
Шаг 2. Создание профиля групп доступа.
Выбираем ссылку «Профили групп доступа», откроется список профилей. Профиль представляет собой объект, который агрегирует роли пользователей, группирует их по смыслу.
В списке есть предопределенные профили, разработанные специально для прикладного решения (они помечены желтой точкой), и созданные пользователем. Предопределенные профили нельзя изменять, поэтому для изменения прав пользователя предусмотрено создание новых профилей.
Предположим, для менеджеров по продажам нам необходимо добавить доступ к разделу «Склад» и ограничить доступ к номенклатуре из группы доступа «Бытовая техника». Скопируем профиль «Менеджер по продажам», откроется карточка профиля. На вкладке «Разрешенные действия (роли)» находится список ролей. Роли, входящие в профиль, помечены флажком. Поставим флажок напротив роли «Раздел склад». Также изменим имя профиля на «Менеджер по продажам (дополнительно)».
Доступ на уровне записей настраивается на вкладке «Ограничения доступа». Она содержит таблицу настроек доступа к элементам базы. Колонка «Вид доступа» содержит вид объектов, к которым настраивается доступ. Колонка «Значения доступа» содержит 4 варианта:
Возможность задания исключений в группе доступа или в профиле реализована для более тонкой настройки, так как один профиль может участвовать в нескольких группах доступа.
Как мы видим у нас выбран режим «Все разрешены, исключения назначаются в группах доступа». Оставим его без изменения, будем настраивать доступ к номенклатуре в группе доступа.
Запишем профиль, для этого необходимо нажать «Записать из закрыть».
Шаг 3. Создание группы доступа.
Выбираем ссылку «Группы доступа», откроется список групп. Группа представляет собой объект, который позволяет назначить профиль пользователю или группе пользователей.
Создадим новую группу доступа.
Выберем наш профиль и зададим имя группы аналогично профилю «Менеджер по продажам (дополнительно)». После этого на вкладке «Участники группы» зададим пользователей, которым необходимо применить данный профиль.
Вкладка «Ограничения доступа» аналогична такой же вкладке профиля. Если ограничения задаются в группах доступа, их можно переопределить в конкретной группе.
Зададим для групп номенклатуры запрещенное значение «Бытовая техника».
Запишем группу доступа, для этого необходимо нажать «Записать из закрыть».
В принципе, на этом настройка прав доступа пользователей закончена. Мы создали новый профиль, группу доступа для него и добавили в группу нужных пользователей. Но часто бывают обратные случаи, когда необходимо включить нового пользователя в уже существующие группы. Делать это для каждой группы не очень удобно. Поэтому рассмотрим настройку прав доступа из карточки пользователя.
Настройка прав доступа пользователя
Выбираем ссылку «Пользователи», откроется список пользователей.
В левой половине окна отображаются группы пользователей, в правой – сами пользователи. Флажки внизу позволяют настраивать отображение списка.
Для настройки прав пользователя откроем его карточку. Нас интересует ссылка «Права доступа».
Откроется окно настроек прав доступа пользователя. Вкладка «Группы доступа» позволяет включить пользователя в нужные группы доступа, исключить из них при необходимости, а также быстро отредактировать группу доступа.
Нам необходимо выбрать группы, которые мы хотим назначить пользователю.
Кнопка «Отчет по правам доступа» формирует таблицу, в которой отображается список видов объектов базы и права доступа к ним пользователя.
Вкладка «Разрешенные действия (роли)» содержит список ролей пользователя без возможности изменения.
Группы доступа, профили групп доступа и права пользователей в 1С ЗУП 3.1
Права, роли, профили групп доступа и группы доступа позволяют настроить права пользователей в 1С Предприятие 8.3. Права пользователя в 1С 8.3 – это набор действий, которые он может совершать над справочниками, документами, отчётами и настройками. С этими понятиями очень важно разобраться, если с программой будут работать несколько пользователей и каждому их них необходимо назначить соответствующие права.
В статье описано, как правильно распределить права между пользователями программы 1С ЗУП 3.1, чтобы каждый из них мог работать в рамках свой компетенции и должностных инструкций. Материал статьи не предполагает каких-то специальных компьютерных знаний.
Профили и группы доступа в 1С ЗУП 3.1
Для разграничения прав доступа в 1С Предприятие 8.3 используются «Права», «Роли», справочники «Пользователи», «Группы доступа» и «Профили групп доступа».
Право и Роль
Права и роли – это некие разрешённые действия (Чтение, Просмотр, Удаление, Проведение и т. д.) над константами, справочниками, документами и другими объектами конфигурации. Каждое право представляет собой единицу действия из списка возможных. Минимальным интегратором прав выступает роль. Каждая роль состоит из совокупности определённых прав. Права и роли создаются в конфигураторе. Пользователь не может изменять их состав.
Как и в прежних версиях 1С Предприятие 8 пользователя можно зарегистрировать в режиме конфигуратор и там же назначить ему нужные роли. Однако в 1С ЗУП 3.1 предусмотрено около нескольких сотен доступных ролей (в карточке пользователя они перечислены на закладке «Прочие»: «Конфигуратор > Администрирование > Пользователи»).
С таким огромным количеством доступных ролей очень трудно разобраться. К тому же для непосвящённого многие названия ролей мало о чём говорят. В такой ситуации подбирать роли в конфигураторе для пользователя очень трудоёмкая задача. Однако на пользовательском уровне в 1С ЗУП 3.1 она легко решается с помощью справочников «Профили групп доступа» и «Группы доступа».
Справочник «Профили групп доступа»
Каждый элемент справочника «Профили групп доступа» является интегратором ролей. Ссылка на этот справочник находится по адресу «Администрирование > Настройка пользователей и прав > Группы доступа > Профили групп доступа». Разработчики уже описали в нём наиболее востребованные профили.
В справочнике можно создавать свои собственные профили, но в большинстве случаев в этом нет необходимости. Предопределённые профили уже содержат необходимые наборы допустимых для них ролей (разрешённые действия). Заметим, что табельщик обладает минимальным набором разрешённых действий. Но даже для его описания потребовалось около 50 ролей, рисунок.
Элементы справочника «Профили групп доступа» устанавливаются в качестве подходящего значения в реквизите «Профиль» справочника «Группы доступа».
Справочник «Группы доступа»
Смысл и назначение этого справочника состоит в том, что в нём перечисляются пользователи (участники), которые будут обладать всеми правами закреплённого в нём профиля группы доступа.
Чтобы открыть этот справочник, надо перейти по ссылкам «Администрирование > Настройка пользователей и прав > Группы доступа > Группы доступа». Одна группа доступа с названием «Администраторы» в нём предустановлена. Остальные создаются по мере необходимости пользователями с полными правами.
Один и тот же «Профиль группы доступа» может быть назначен разным «Группам доступа». Напротив, у любой «Группы доступа» может быть только один «Профиль группы доступа». Во многих случаях в качестве наименования группы доступа удобно указывать название закреплённого за ней профиля группы доступа, рисунок.
На закладке «Участники группы» необходимо перечислить пользователей из одноимённого справочника. При подборе следует руководствоваться тем, что группа доступа обычно корреспондирует с должностными обязанностями её участников. Чем выше должность, тем больше прав. У любой группы доступа может быть произвольное количество участников, рисунок.
Взаимосвязь описанных объектов конфигурации наглядно проиллюстрирована на следующем рисунке.
В общем случае один и тот же пользователь может быть участником нескольких групп доступа.
Описание профилей групп доступа в 1С ЗУП 3.1
Из сказанного выше следует, что права пользователя определяются профилем группы доступа, участником которой он является. Осталось разобраться чем различаются между собой профили групп доступа. Например, из названия профилей 1С ЗУП 3.1 не понятно, чем конкретно различаются их роли.
К сожалению, их описания в конфигурации не приводятся. Если же судить по наименованию, то можно предположить, что пользователь с профилем «Кадровик» в отличие от «Кадровика (без доступа к зарплате)» имеет какой-то доступ к зарплате. Но, в какой степени совершенно не ясно. Другой вопрос: вправе ли расчётчик работать с кадровыми документами?
Для тех, у кого имеется подписка на 1С ИТС ПРОФ могут ознакомиться с описанием профилей групп доступа, данным фирмой 1С. Оно опубликовано здесь, но оно очень краткое. В авторской статье приводится более подробное описание профилей групп доступа. Вместе с этим, чтобы не исказить описания, данные фирмой 1С, в статье они отмечены специальным шрифтом.
Администратор
Пользователь с профилем «Администратор» вправе выполнять всё, что предусмотрено типовым функционалом. Для этого у такого пользователя должны быть включены роли «Администрирование», «Администратор системы» и «Полные права».
Аудитор
Просмотр всех данных программы, но без возможности их изменения, 1C.
Для просмотра аудитору доступны все разделы за исключением раздела «Администрирование». Он может просматривать кадровые и расчётные документы и формировать отчёты. Регламентированную отчётность аудитор вправе только просматривать. Раздел «Настройка» тоже виден аудитору, но здесь он может только просматривать существующие настройки.
Обычно этот профиль включают в группу доступа аудиторов. В то же время его целесообразно включать и в группу доступа тех руководителей организации, которым по служебным обязанностям нужны данные этой программы, но работать с ней они не умеют или не должны.
Табельщик
Просмотр и изменение документов учета времени, 1C.
Ссылки на журналы, которые содержат документы изменению учёта времени располагаются в разделах «Зарплата» и «Настройка». Раздел «Зарплата» содержит две ссылки: «Табели» и «Индивидуальные графики работы», рисунок.
Раздел «Настройка» тоже содержит две ссылки: «Графики работы сотрудников» и «Персональные настройки», рисунок.
Остальные объекты табельщик вправе просматривать, но изменять их он не сможет. Кадровые документы имеют сведения о плановых начислениях. Однако табельщику они не отображаются и увидеть он их не может. Например, в документе «Приём на работу» ему отобразятся только две закладки «Главное» и «Трудовой договор». Закладка «Оплата труда» отображаться не будет, рисунок.
Табельщик имеет возможность формировать некоторые кадровые отчёты и отчёт «Табель учёта рабочего времени (Т-13)».
Кадровик (без доступа к зарплате)
От кадровика отличается тем, что просмотр и изменение планового ФОТ недоступны, 1C.
Кадровики без доступа к зарплате лишены возможности просматривать плановые начисления и способ расчета аванса. Они также не могут напечатать и приказ о приеме, так как в нём отображаются начисления. Однако в отличие от табельщика кадровики без доступа к зарплате могут создавать новые и корректировать существующие кадровые документы.
Кроме этого «Кадровик (без доступа к зарплате)» имеет возможность формировать все «Кадровые отчёты», редактировать справочники «Физические лица» и «Сотрудники». А вот прав на редактирование справочников «Организации», «Подразделения», «Должности» и тех, что относятся к воинскому учёту, у него нет.
Профиль «Кадровик (без доступа к зарплате)» предназначен для тех пользователей, которые не должны видеть плановых начислений (оклады, надбавки и другое).
Кадровик
Просмотр и изменение сведений о сотрудниках в части данных кадрового учета, включая плановый ФОТ, а также кадровых документов. Просмотр справочников структуры предприятия, 1C.
У «Кадровика» в дополнение к правам, которые имеются у «Кадровика (без доступа к зарплате)», появляется право назначать, добавлять и изменять в регистраторах по учёту кадров плановые начисления, рисунок.
То есть «Кадровик» имеет возможность не только видеть плановые начисления, но и изменять их. Данный профиль целесообразно применять там, где не делают секрета о начислениях работникам.
Старший кадровик
От кадровика отличается тем, что ему доступно изменение справочников структуры предприятия и настроек кадрового учета, 1C.
У «Старшего кадровика» дополнительно к правам, которые имеются у «Кадровика», появляется возможность редактирования справочников «Организация», «Подразделения», «Должности» и справочников, относящихся к воинскому учёту. Кроме этого старшие кадровики вправе изменять штатное расписание.
Относительно доступа к перечисленным ниже объектам, можно отметить следующее.
Расчетчик
Просмотр и изменение документов расчета и выплаты зарплаты, взносов, сведений о сотрудниках (в части, влияющей на расчеты), 1C.
Пользователь с профилем «Расчётчик» имеет возможность просматривать кадровые документы без возможности редактирования кадровой информации. А вот изменять в них плановые начисления он имеет право. Например, оклад, установленный кадровиком, расчётчик может изменить или добавить какое-то ещё плановое начисление.
Самостоятельно создавать кадровые документы расчётчик не может. Но он вправе задать новый или изменить существующий график работы списку сотрудников.
Перечисленные ниже ссылки не отображаются в интерфейсе пользователя с профилем «Расчётчик», так как он не вправе работать с соответствующими объектами конфигурации.
Другими словами, расчётчик не вправе осуществлять какие-либо настройки. Он работает с уже готовыми настройками.
Старший расчетчик
От расчетчика отличается тем, что доступно изменение настроек расчета зарплаты, начислений и удержаний, 1C.
У «Старшего расчётчика» в дополнение к правам, которые имеются у «Расчётчика», появляются права по изменению следующих настроек.
Кадровик-расчетчик
Объединяет права кадровика, расчетчика и табельщика, 1C.
Здесь добавить нечего: три в одном. Данный профиль целесообразно использовать там, где один пользователь одновременно выступает в трёх лицах: табельщиком, кадровиком и расчётчиком.
Старший кадровик-расчетчик
Объединяет права старшего кадровика, старшего расчетчика и табельщика. Последние два профиля реализованы для удобства настройки программы в небольших организациях, где один пользователь может отвечать за все участки учета, 1C.
Здесь необходимо уточнение. Действительно старший кадровик-расчётчик вправе настраивать «Начисления», «Удержания», «Показатели расчёта зарплаты» и др. Но он не имеет права настраивать «Расчёт зарплаты» и «Кадровый учёт». Справедливо, по крайней мере, для релиза 3.1.4.167.
Открытие внешних отчетов и обработок
Все пользователи, в том числе аудиторы и табельщики, вправе работать с внешними отчётами и обработками. Однако в целях безопасности по умолчанию возможность использования внешних отчётов и обработок отключена. Если отчёт (обработка) получены из надёжных источников, то актуализировать возможность работы с внешними отчётами и обработками можно следующим образом.
От имени администратора запустить зарплатную программу в пользовательском режиме. На системной панели перейти по ссылке «Главное меню > Сервис > Параметры». В открывшейся форме актуализировать флаг «Отображать команду “Все функции”» и нажать на «ОК».
Затем перейти по ссылке «Главное меню > Все функции > ветка Константы». На ветке «Константы» найти константу «Использовать дополнительные отчёты и обработки» и щёлкнуть по ней. Откроется одноимённая форма, рисунок.
Устанавливаем в ней одноимённый флаг. После этого в разделах «Кадры», «Зарплата», «Выплаты», «% налоги и отчётность» и «Отчётность, справки», в подразделе «Сервис» отобразятся ссылки «Дополнительные отчёты» и «Дополнительные обработки».
Управление датами запрета изменения
Чтобы установить дату запрета изменения документов прошлых периодов необходимо перейти по ссылкам «Администрирование > Настройки пользователей и прав > Даты запрета изменения», рисунок.
Пользователи, у которых не отображается раздел «Администрирование» означает, что они не вправе заниматься настройкой даты запрета изменения документов прошлых периодов.
Синхронизация данных с другими программами
Этот профиль позволяет настраивать режим обмена данными. В дальнейшем в соответствии с сделанными настройками обеспечивается обмен между зарплатной и бухгалтерскими программами. По умолчанию роли этого профиля доступны только администраторам: «Администрирование > Синхронизация данных».
Следует помнить, что профили «Открытие внешних отчётов и обработок», «Управление датами запрета» и «Синхронизация данных с другими программами» не самодостаточны. Это означает, что, если сформировать группу доступа с любым из этих профилей и подключить пользователя только к ней, то при попытке им открыть программу, получим сообщение.
Оно свидетельствует о том, что у созданной группы доступа не подключены обязательные роли, делающие её самодостаточной.
Заключение
Плановые начисления вправе назначать не только пользователи с профилями «Расчётчик» и выше, но и пользователи с профилями «Кадровик» и выше. А вот удержания ни плановые, ни разовые кадровики назначать не имеют права.
Доступность к настройкам «Кадровый учёт» и «Расчёт зарплаты» имеется только у пользователей с полными правами. Старший кадровик-расчётчик не имеет таких прав.
В целях разграничения прав пользователей, как правило, вполне хватает предустановленных профилей. При необходимости можно создавать новые профили. При этом для создания самодостаточного профиля в него следует включить некоторые обязательные роли такие, как «Запуск тонкого клиента», «Базовые права» и т. п. На практике проще сделать копию наиболее близкого по правам профиля, а затем его отредактировать нужным образом.
Понравилась статья? Поделитесь с друзьями. Напишите отзыв.