Вход | Регистрация

1С:Предприятие ::

Метки: 

Сотрудники видят все документы, хотя прав у них нет

Я
   BeeZoom
 
14.03.18 - 13:38
Здравствуйте!

Не могу понять, как заставить работать права доступа. ЖКК читала, видео смотрела, гугл перелопатила. Не едут лыжи (((

Вот пробую на одной папке. Есть папка внутренних документов "Договоры", есть подразделение "Договорное". В правах к папке указываю только их. Захожу под пользователем из другого подразделения и все договоры прекрасно вижу.

В настройках доступа в разрезах подразделения есть. У всех пользователей, кроме админа, стоят полномочия по умолчанию. В локальных админах никто не прописан. Но все видят всё! Это как так?

Куда порыть, подскажите, пожалуйста, умные люди!!!

Платформа (8.3.11.2899)
Документооборот 8 КОРП, редакция 2.1 (2.1.11.5)
 
  Рекламное место пустует
   BeeZoom
 
1 - 14.03.18 - 13:40
(1) Обновление прав, как я понимаю, происходит сразу (флаг отложенного обновления снят). Ну и флаг "Ограничивать права доступа" стоит, конечно.
   Фрэнки
 
2 - 14.03.18 - 13:44
(1) и даже те видят, которые входят в указанное Подразделение? Может просто перепутали смысл, когда вместо разрешенных нужно указать запрещенных?
   BeeZoom
 
3 - 14.03.18 - 13:45
(2) да, те тоже видят
   Serg_1960
 
4 - 14.03.18 - 14:02
Может быть у Вас RLS (ограничений на уровне записей базы данных) не включен в  базе?
   BeeZoom
 
5 - 14.03.18 - 14:11
(4) мммм... может быть.
А где проверить? В настройках не вижу https://image.ibb.co/j9GgZc/image.png
   Serg_1960
 
6 - 14.03.18 - 14:15
Самая первая - "Ограничивать права доступа". Раньше она называлась "Использовать ограничение прав доступа"
   BeeZoom
 
7 - 14.03.18 - 14:16
(6) она-то стоит. я во (2) сообщении написала
   Serg_1960
 
8 - 14.03.18 - 14:30
Вот, нашёл ссылку, не знаю читали ли Вы это довольно подробное и ясное объяснение:
http://www.doc-lvv.ru/2016/09/prava-dostupa-v-1sdokumentooborot-21.html
   Serg_1960
 
9 - 14.03.18 - 14:34
Там подчеркнуто, что пользователи видят папки, если есть хотя бы одно разрешение и нет ни одного запрещения. вышестоящие общие настройки могут им предоставлять такие разрешения.
   BeeZoom
 
10 - 14.03.18 - 14:43
(8) спасибо большое! да, Лушникова читала вдоль и поперек, очень толково и подробно пишет. Всё делала по его инструкциям.

Но не получается. Пробовала двумя способами:

1. в права на папку добавила только одно подразделение, остальных вообще нет https://image.ibb.co/kGH5uc/image.png

2. в права на папку для одного подразделения сделала "всё разрешено", а для другого "всё запрещено" https://image.ibb.co/iYq8Ec/image.png

Не работает... человек из 2го подразделения все равно видит все документы в этой папке и даже может редактировать их.
 
 
   Фрэнки
 
11 - 14.03.18 - 15:11
(10) вы можете сколько угодно раз запрещать в самой папке, но у пользователей просто список ролей перекрывает этот устанавливаемый запрет. Вот и все. Они не админы, конечно, но что-то там у всех вредное для этих настроек
   Serg_1960
 
12 - 14.03.18 - 15:28
В какой-то мере согласен с вышесказанным. Если уж переходить на уровень управления правами доступа, то нужно создавать права изначально (создавать группы, наделять их правами и т.д.) А у самих пользователей - удалять из списка все роли. То есть: если уж делать доступ - то делать его по полной программе и на пользователях, у которых изначально нет доступа к этим данным.
   BeeZoom
 
13 - 14.03.18 - 15:28
(11) Вроде, всё нормально там.

В политиках указан только нужный отдел https://image.ibb.co/e5wC7x/image.png

В группах Канцелярия и Пользователь ни у кого нет доступа к нашему подразделению https://image.ibb.co/fFTg0H/image.png

Где еще можно проверить?
   BeeZoom
 
14 - 14.03.18 - 15:29
(12) группы есть, см (13)
   BeeZoom
 
15 - 15.03.18 - 06:46
по-прежнему прошу помощи!
   BeeZoom
 
16 - 16.03.18 - 12:07
Проблема решена. Если кому интересно :)

Никакие настройки прав не работали из-за того, что кто-то добавил в стандартные полномочия "Пользователя" роль "Выполняющие потоковое сканирование". А это такая роль опасная)) почти как полные права. Как только убрали ее - все заработало.

Как нашла? В документообороте есть отчет "Неограниченные права", который показывает всех, у кого есть полные права к объектам. Там видно какие роли у каких полномочий дают эффект.

Всем добра и тёплой весны ;)
   BeeZoom
 
17 - 16.03.18 - 12:08
Почему текст в (16) выделился как код о_О
   Фрэнки
 
18 - 16.03.18 - 19:38
(17) Почему выделился не очень понятно - видимо из-за нового сервера, т.е. сайт на новом сервере.

По проблеме: хорошо. Я смотрел на этот отчет, но на практике его не использовал - необходимости такой не возникало. Но вот что проблема была в добавлении в профиль Пользователь лишней роли, какой-то лишней - я об этом и написал в (11). Единственно, что в решении ДО-КОРП было принято заменить понятие "профиль" на "полномочия". А проблема ровно та же.

Интересно, а в полномочия можно влезть в режиме работы Предприятие или это в конфигурации пришлось разрешить внесение изменений? Просто я не заметил сходу где там Полномочия редактируются.
   BeeZoom
 
19 - 20.03.18 - 07:30
(18) нда.. слово "роль" меня, видимо, и ослепила)) не сразу сообразила. Я, честно говоря, изучаю права доступа уже месяц, но все равно до сих пор путаюсь во всех этих "ролях/полномочиях/группах/профилях")) логика не цепляет. Наверное, только зубрежка поможет.

А полномочия можно редактировать прямо из клиента, да. Раздел "Настройка и администрирование" / Права доступа / Полномочия (ну или через "Все функции / справочник Полномочия"). Открывается список полномочий, заходишь в какой-нибудь и флажками вешаешь/снимаешь роли для него.

Скрины:
https://image.ibb.co/d3UNXx/1.png
https://image.ibb.co/iAWfKc/2.png


Список тем форума
Рекламное место пустует   Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует