А кто-нибудь знает как сделать так чтобы клиент мог в конфе делать только сохранение и восстановление данных в конфигураторе и больше ни чего. Чтоб даже не мог смотреть конфу. Какие его роли надо задать права?

Настрой ему пакетный режим запуска конфигуратора от имени другого пользователя.
Пользователь делает "нечто". На сервере создается файл-сигнал (константа).
От имени Server Конфигуратор запускается в пакетном режиме и делает свое черное дело. После завершения флаг-сигнал сбрасывается. На сервере должно быть "нечто", периодически проверяющее флаг-сигнал.

Не понял, от имени Server как запускать? Тож командным файлом? Или когда под пользователем делаешь "нечто" и это нечто и есть создание командного файла для запуска конфигуратора от имени Server??? Как обычно всё через одно место делается. Почему административные права в 8.0 не раздробили как в 7.7?

(2) Имя пользователя можно указать в ключах запуска.

И пароль тоже? (:-))
И какой в этом смысл тогда. Если клиент сможет увидеть это всё.

(4) Все это будет лежать на сервере.

Не... не пойдёт. До сервера у них есть доступ. Мне надо чтобы админы периферийных баз из-за своей "продвинутости" не испортили бы базу и не могли назначить себе любые роли.

От админов защититься очень сложно. Только криптографией.
Вообще, это админ должен защищать базу, а не от него нужно защищаться. Паранойя какая-то.

Да это в теории хорошо, когда нормальные админы, и мало подразделений, а когда подразделений больше 15 и админ один другого "умнее", то тут поневоле будешь защищаться от них. Иначе потом приходится такие косяки после них выправлять, что просто удивляешься как такое вообще возможно было сделать. И это к сожалению - реальность.