Настройка права доступа в СЭД "Документооборот Проф"

Программное обеспечение СЭД "Документооборот Проф" содержит широкие возможности по настройке прав доступа пользователей. Права доступа пользователей могут быть определены как для объектов метаданных в целом, так и для конкретных значений элементов базы данных. В подсистеме управления правами доступа широко используются такие объекты, как группы пользователей, группы доступа и профили групп доступа. Далее, в этой статье, мы детально рассмотрим все необходимые объекты для настройки прав пользователей. Для настройки прав доступа рекомендуется использовать релиз платформы не ниже 8.2.12.х.

Включение всех возможностей по настройке прав доступа производится установкой флажка "Ограничивать доступ на уровне записей" в форме настройки параметров системы (подсистема "Администрирование системы").

нажмите на картинку для увеличения

Доступ к механизмам управления правами доступа реализован в подсистеме "Администрирование системы" пункт "Права доступа".

Основным объектом установки прав доступа для сотрудников является справочник "Группы доступа сотрудников". Каждый элемент справочника "Группы доступа сотрудников" содержит в следующие объекты:

• Список сотрудников и/или групп пользователей
• Список видов доступа (для разграничения прав на уровне записей базы данных)
• Список значений видов доступа (конкретных значений видов доступа)

Кроме того, каждая группа доступа содержит ссылку на элемент справочника "Профиль групп доступа". Поведение группы доступа полностью зависит от указанного в ней профиля, ниже, в этой статье, мы подробно рассмотрим настройку профиля группы доступа, а потом вернемся к настройке групп доступа.

Справочник "Профили групп доступа" предназначен для создания готовых подборок разрешенных пользователям действий. Данные разрешения можно разделить на две группы:

• Разрешения, определяемые на уровне ролей из структуры метаданных конфигурации. Роли метаданных определяют доступность видов объектов конфигурации и доступность определенных действий пользователей. Например, роль "Использование отчетов" позволяет пользоваться отчетами конфигурации. Кроме того, на уровне определения ролей можно открыть доступ к работе пользователя в режиме web-клиента или тонкого клиента, возможность использования сканера и т.д.
• Разрешения, определяемые на уровне записей базы данных (Record Layer Security). Данные разрешения применяются к конкретным значениям (справочникам, документам) базы данных. Данные разрешения являются некими "разрезами-ограничителями" при доступе к базе данных. Такие разрешения разделены на виды, например вид доступа по грифам доступа, вид доступа по корпоративным папкам и т.д.

Общий вид элемента справочника "Профили групп доступа" приведен на рисунке ниже. Этот и другие рисунки в статье сделаны на основании демо-базы СЭД "Документооборот Проф" поставляемой вместе с продуктом. Обратите внимание на зеленую кнопку панели инструментов ролей. Нажатие на неё переключает варианты отображения списка ролей

На рисунке выше приведен пример профиля "Стандартный доступ". Для данного профиля (элемент справочника "Профили групп доступа") доступен набор ролей, выделенных в списке слева зеленым цветом. Красной рамкой на рисунке обведены определенные в СЭД "Документооборот Проф" виды доступа на уровне записей базы данных. На сегодня доступен следующий набор видов доступа на уровне записей базы данных:

• Виды документов
• Корпоративные папки
• Организации
• Шаблоны бизнес-процессов
• Грифы доступа
• Пользователи

Список видов доступа в профиле можно заполнить вручную либо нажать на кнопку "Заполнить виды \ Заполнить все" в командной панели списка "Виды доступа". Если список видов доступа пуст, то считается, что для данного профиля не применяется ограничение на уровне базы данных.
Важно! Если какой-либо вид доступа не указан в списке, то считается, что у пользователей нет ограничений по этому виду доступа и доступ по неуказанным видам разрешен. В дальнейшем это может затруднить корректировку прав доступа, поэтому рекомендуется сразу указывать все виды доступа и затем, при необходимости, в группах доступа явно указывать разрешение на доступ к какому либо виду. Все необходимые виды доступа для организации доступа к документам можно заполнить по кнопке "Заполнить виды \ Доступ к документам".

В профиле группы доступа мы определяем набор ролей и видов доступа. На основании одного профиля доступа можно создать произвольное количество групп доступа сотрудников. Всем сотрудникам, включенным в группы доступа, будут доступны роли, указанные в списке ролей профиля. В случае, если в профиле указаны виды доступа, то в группах доступа необходимо будет определить к  каким значениям этих видов будет открыт (или закрыт) доступ.

Вернемся в группу доступа. Группа доступа в обязательном порядке содержит ссылку на один из профилей доступа. Рассмотрим группу доступа созданную по профилю "Стандартный доступ". 

В составе пользователей этой группы доступа указана группа пользователей (из справочника "Группы пользователей") "Все пользователи", таким образом, все пользователи системы документооборота получают весь набор разрешающих ролей, которые указаны в профиле доступа "Стандартный доступ". При настройке прав доступа на реальных предприятиях можно не устанавливать профиль "Стандартные пользователи" всем пользователям предприятия, а создать более детальную настройку по своим группам пользователей.

В форме группы доступа сверху справа мы видим список заданных в профиле видов доступа. Для каждого вида доступа можно указать два варианта разрешения доступа:

• Доступ разрешен только указанным в списке
• Доступ разрешен всем, кроме указанных в списке

Справа внизу формы расположен список конкретных значений доступа, выбираемых из значений соответствующих справочников.

Обратите внимание на то, что мы установили полные запреты на доступ по всем видам документов (список конкретных разрешенных значений пуст), а также по всем организациям, грифам доступа и корпоративным папкам. Доступ к этим объектам мы будем определять в дальнейшем более гибко, не для всех пользователей сразу, а для конкретных пользователей или небольших групп пользователей.

Если пользователь входит в различные группы доступа, то при попытке получить доступ к документам или другим объектам системы будет проанализирован доступ каждой группы и если хотя бы по одной группе пользователь проходит проверку, то доступ к объекту разрешается. Например, пользователь присутствует в трех группах доступа, и если набор ролей и набор значений по видам доступа  удовлетворяет составу реквизитов запрашиваемого документа,  то пользователь получает доступ.  Упрощенная схема проверки доступа приведена на рисунке ниже.

Важно! Внутри каждой группы доступа проверка на предоставление доступа осуществляется по всем видам доступа, если набор значений какого-либо вида доступа не удовлетворяет соответствующему реквизиту документа, то доступ по этой группе не предоставляется. Например, в какой-либо группе доступа указано, что доступ предоставляется к документам всех юридических лиц (вид доступа "Организации") и видам документов "входящий" и "исходящий", а проверяемый документ имеет тип "внутренний", в таком случае доступ к документу предоставлен не будет, хотя проверка по виду доступа "Организации" прошла успешно. Тем не менее, доступ к этому документу может быть предоставлен, если значения видов доступа из другой группы доступа этого пользователя полностью удовлетворит набору реквизитов документа.

На основе одного профиля можно создать множество различных групп доступа с разным набором пользователей и разными значениями видов доступа. На рисунке ниже схематически приведена зависимость объектов конфигурации СЭД "Документооборот Проф".

Из приведенного рисунка видно, что на основании одного профиля групп доступа создано три группы доступа. Все роли профиля и все виды доступа присутствуют в группах доступа. В группах доступа установлены конкретные значения на разрешение и запрещение доступа к объектам организаций и грифам доступа корпоративных документов. Например, в группе доступа №1 установлено разрешение на доступ к документам ООО "Первое" и ООО "Второе", а также доступ к документам с грифом "Общие", к документам с грифом "Конфиденциально" доступ в этой группе запрещен. В группе доступа №2 установлено разрешение на доступ к ООО "Третье" (доступ к другим организациям и грифам документов в этой группе не приведен на рисунке). Пользователь может одновременно входить в различные группы доступа. В приведенном рисунке пользователь входит в 1 и 2 группу доступа, при этом проверка прав доступа осуществляется для каждой группы в отдельности и пользователь получит доступ к документам ООО "Первое" и ООО "Втрое" имеющих гриф доступа "Общие" И доступ к документам ООО "Третье".

Важно! Если вы создаете группу доступа с уменьшенным количеством видов доступа, то происходит следующее: созданные на основе такого профиля группы доступа будет подвергаться меньшему набору  проверок. Соответственно пользователи получат больше прав. Например, если в приведенной выше схеме "Группа доступа №2" использует проверку только по виду доступа "Организации" и не использует проверок по другим видам доступа то, если мы установим значение  вида доступа по организации как ООО "Второе"  (в той группе, где на рисунке установлено ООО "Третье"), то мы откроем доступ пользователю ко всем документам ООО "Второе" вне зависимости от того, какие виды доступа настроены в "Группе доступа №1", соответственно пользователь получит доступ к конфиденциальным документам ООО "Второе", хотя в "Группе доступа №1" доступ к ним запрещен.

Рассмотрим доступ к корпоративным документам более подробно. Доступ к документам ограничен набором ролей и видов доступа. Например, если у пользователя есть роль "Корпоративные документы: Изменение всех документов" для которой разработчики системы в конфигураторе не установили дополнительных проверок и ограничений по видам доступа, то пользователи, входящие в группы доступа, созданные на основе профиля с этой ролью, получат доступ ко всем корпоративным документам, вне зависимости от конкретных значений установленных видов доступа. Но такие права есть не у всех ролей. Например, роль "Корпоративные документы: Чтение адресованных пользователю" содержит различные проверки по видам доступа.

Полный список ролей для доступа к корпоративным документам:

• Корпоративные документы: Создание новых
• Корпоративные документы: Чтение всех документов
• Корпоративные документы: Чтение адресованных пользователю
• Корпоративные документы: Изменение всех документов
• Корпоративные документы: Изменение адресованных пользователю
• Корпоративные документы: Полный доступ к своим документам
• Корпоративные документы: Полный доступ ко всем документам
• Корпоративные документы: Редактирование корпоративных папок
• Корпоративные документы: Подготовка к подписи (документ "Подпись документов")
• Корпоративные документы: Подписание (документ "Подпись документов")

Из названий ролей вытекают и действия, которые разрешаются пользователям.

Важно! Для того, что бы пользователь смог воспользоваться новыми ролями, потребуется перезапуск его сеанса.

Большинство ролей, работающих с документами, имеют следующий набор проверок видов доступа - доступ пользователю разрешен, если:

• есть разрешение на организацию (любую из списка в документе)
• есть разрешение на вид документа
• есть разрешение на гриф доступа документа
• есть разрешение на корпоративную папку
• ИЛИ пользователь входит в список получателей документа, или список пользователей документа, или является автором документа, или является сотрудником, зарегистрировавшим документ.

Вернемся к нашей группе доступа и рассмотрим еще один вариант организации доступа. 

Доступ к корпоративным папкам

В СЭД "Документооборот Проф" реализован механизм настройки прав доступа по конкретным значениям доступа. Рассмотрим данный вид доступа в форме группы доступа. Если выделить в группе доступа строку с видом "Корпоративная папка", то появится следующая надпись о том, что права доступа настраиваются не через группу доступа, а через специальную команду "Права доступа", доступную в справочниках "Корпоративные папки" и "Пользователи".

Данный вид доступа (называемый "Права по значениям доступа") позволяет более гибко назначить права доступа к корпоративным документам. Администраторы системы могут установить права на разрешение или запрещение чтения, изменения, добавления и удаления корпоративных документов в соответствующих корпоративных папках.

На рисунке ниже показан пример настройки прав доступа для корпоративной папки "Персонал". Из рисунка видно, что мы явно разрешили доступ к документам в этой папке одному пользователю и запретили действия с документами в этой папке другому. При этом права на другие корпоративные папки остались неизменными.

Посмотреть все установленные у пользователя права по значениям доступа можно через форму справочника "Пользователи" как показано на рисунке ниже.

Обратите внимание на то, что в этой же форме пользователя можно посмотреть все действующие на данный момент роли (выделен зеленым цветом). Список ролей не доступен для редактирования и формируется автоматически после добавления пользователя в группы доступа.

Важно! В отличие от обычного разграничения по видам доступа, доступ через права на значения доступа позволяет установить не только общую доступность или недоступность, но и определить доступные действия, например, можно разрешить чтение документов в корпоративной папке и одновременно запретить их изменение или удаление.

Права доступа к корпоративным бизнес-процессам настраиваются практически также, как и права доступа к корпоративным документам.

Если пользователю доступна роль "Бизнес-процессы: Чтение адресованных пользователю", то он получает возможность чтения всех бизнес-процессов, в которых он участвует как исполнитель либо  выступает контролером или инициатором бизнес-процесса. Остальные права доступа к бизнес-процессам определяются следующим набором ролей:

• Бизнес-процессы: Чтение бизнес-процессов всех пользователей
• Бизнес-процессы: Изменение бизнес-процессов всех пользователей
• Бизнес-процессы: Создание и запуск бизнес-процессов
• Бизнес-процессы: Полный доступ автора к своим процессам
• Бизнес-процессы: Редактирование шаблонов процессов

Из названий ролей вытекают и действия, которые доступны пользователям. Среди видов доступа СЭД "Документооборот Проф" есть вид "Шаблоны бизнес-процессов". Данный вид ограничивает доступ пользователей к бизнес-процессам на основании того, к какому шаблону они принадлежат. Если пользователю в одной из групп доступа разрешен доступ к определенному шаблону бизнес-процесса, то ему будет разрешен и доступ к бизнес-процессам этого типа.

Другие роли, реализованные в системе:

• Отчеты: Формирование отчетов
• Архив: Работа с архивными документами
• Контрагенты: Создание и изменение
• Прочее: Поиск информации
• Прочее: Использование сканера
• Задачи: Чтение задач всех пользователей
• Задачи: Изменение и выполнение задач всех пользователей
• Задачи: Изменение и выполнение своих задач
• Форум: Модерирование сообщений
• Форум: Чтение и создание сообщений
• Новости: Размещение и редактирование

Существует еще одна роль "Базовые права пользователя СЭД". Рекомендуется назначить данную роль всем пользователям системы. Данная роль обеспечивает базовые права пользователей в системе СЭД "Документооборот  Проф". Включение соответствующих ролей в профиле доступа приведет к автоматическому включению этих ролей для пользователей групп доступа, в которых указан этот профиль.

Важно! Назначенные пользователю через "Конфигуратор" роли будут перезаписаны ролями, определенными в профилях доступа.

После настройки прав доступа необходимо сформировать записи во внутренних регистрах учета прав. В случае, если ваша база данных работает на базе клиент-сервера, то обновление наборов прав доступа происходит автоматически, если используется файловый режим, то необходимо вручную запускать данную обработку либо запустить отдельный сеанс для обработки регламентных заданий.

На рисунке выше показана гиперссылка формы настройки прав доступа, нажатие на которую производит к запуску регламентного задания обновления наборов прав доступа.

Примеры настройки прав доступа

Рассмотрим примеры организации доступа в демо-базе СЭД "Документооборот Проф". В демо-базе создан ряд  профилей доступа. Список таких профилей показан на рисунке ниже:

Рассмотрим профили более подробно:

• Профиль "Администратор" является предопределенным профилем, пользователи всех групп доступа в которых используется данный профиль, будут автоматически иметь роль "Полные права".
• Профиль "Ролевой профиль: Модерирование форума и размещение новостей".

Данный профиль не имеет ограничений по видам доступа, профиль открывает доступ к следующим ролям:

• Новости: Размещение и редактирование
• Форум: Модерирование сообщений
• Форум: Чтение и создание сообщений

Профиль "Стандартный доступ" открывает доступ к следующим ролям:

• Запуск веб-клиента
• Запуск толстого клиента
• Запуск тонкого клиента
• Корпоративные документы: Полный доступ к своим документам
• Корпоративные документы: Создание новых
• Задачи: Изменение и выполнение своих задач
• Бизнес-процессы: Создание и запуск бизнес-процессов
• Бизнес-процессы: Полный доступ автора к своим процессам
• Отчеты: Формирование отчетов
• Форум: Чтение и создание сообщений
• Прочее: Поиск информации
• Прочее: Вывод на принтер, в файл, в буфер обмена
• Прочее: Использование сканера
• Прочее: Использование дополнительных отчетов и обработок
• Контрагенты: Создание и изменение
• Корпоративные документы: Чтение адресованных пользователю
• Корпоративные документы: Изменение адресованных пользователю

Профиль "Стандартный доступ" также включает возможность настраивать права доступа по следующим видам доступа:

• Виды документов
• Корпоративные папки
• Организации
• Шаблоны бизнес-процессов
• Пользователи
• Грифы доступа

Профиль "Подписание корпоративных документов". Профиль открывает доступ к следующим ролям:

• Корпоративные документы: Подписание (документ "Подпись документов")
• Корпоративные документы: Подготовка к подписи (документ "Подпись документов")

Профиль "Ролевой профиль: Полный доступ к бизнес-процессам всех пользователей". Данный профиль не имеет ограничений на уровне базы данных, профиль только открывает доступ к следующим ролям:

• Бизнес-процессы: Чтение бизнес-процессов всех пользователей
• Бизнес-процессы: Изменение бизнес-процессов всех пользователей
• Бизнес-процессы: Создание и запуск бизнес-процессов

Профиль "Чтение всех документов". Данный профиль не имеет ограничений на уровне базы данных, профиль только открывает доступ к следующим ролям:

• Базовые права пользователя СЭД
• Корпоративные документы: Чтение всех документов

Профиль "Доступ к документам". Данный профиль предназначен для ограничения доступа по следующим видам:

• Виды документов
• Грифы доступа
• Корпоративные папки
• Организации
• Пользователи

Рассмотрим примеры использования профилей. Предположим, что для определенных пользователей нам нужно включить возможность подписывать корпоративные документы. Для этого мы создадим группу доступа "Группа с возможностью подписания корпоративных документов". Укажем в этой группе двух сотрудников.

Поскольку мы хотим дополнительно разграничить доступ по сотрудникам, т.е. один сотрудник не должен видеть документы подписания другого сотрудника, то нам потребуется вид доступа с названием "Пользователи".
Остановимся более подробно на составе видов доступа данной группы (и, соответственно, профиля).

Раньше мы рассматривали группы доступа с одинаковым составом видов доступа:

• Грифы доступа
• Виды документов
• Организации
• Корпоративные папки
• Пользователи

В случае группы доступа "Группа с возможностью подписания корпоративных документов" мы имеем немного другой состав видов доступа. Пример приведен на рисунке ниже:

В данной группе всего два вида доступа:

• Пользователи
• Корпоративные папки

Первый вид доступа используется при проверке принадлежности документа "Подписание документов" к сотруднику. Второй вид накладывает ограничения по значениям доступа к корпоративным папкам.

Важно! В поле значений вида "Пользователи" может быть не указан ни один пользователь, тем не менее, данное поле автоматически расширяется текущим пользователем системы. Соответственно проверка при доступе к документу проводится по значению текущего пользователя, если необходимо, то вы можете также добавить туда и других пользователей.

Теперь два указанных в группе доступа сотрудника смогут создавать и проводить документы "Подписание документов" и, тем самым, устанавливать признак "Подписан" у корпоративных документов. Необходимо понимать значение роли "Базовые права пользователя СЭД". В случае, если данная роль включена в профиле доступа не имеющим проверки по видам доступа (в рассмотренном выше профиле или, например, в профиле "Ролевой профиль: Модерирование форума и размещение новостей") то можно получить на первый взгляд неожиданный эффект – доступ на чтение документов станет доступен пользователям групп этих профилей. Эффект объясняется тем, что в этих профилях вы не стали указывать проверки по видам, но включили роль "Базовые права СЭД" которая имеет доступ на чтение с ограничением по видам, так как виды в группе не указаны, то открылся полный доступ к документам. Поэтому не включайте роль "Базовые права пользователя СЭД" в профили, в которых не предусмотрена проверка документов по видам доступа.

Сотрудники предприятия, не включенные в эту группу доступа, не только не смогут создавать или редактировать документы "Подписание документов", они вообще не увидят в своем интерфейсе пункта "Подпись документов".

Пример подсистемы "Актуальные документы" для сотрудников, указанных в списке группы доступа приведен слева, а справа приведен вид подсистемы для остальных сотрудников.

Теперь давайте ограничим доступ по виду корпоративных документов. Для этого нам необходимо настроить вид доступа "Виды документов". Значениями вида доступа "Виды документов" являются элементы справочника "Виды корпоративных документов". Обычно пользователям, выполняющим определенные работы, связанные с ведением документооборота, не требуется, а зачастую и мешает, доступ ко всему объему информации. Давайте рассмотрим ограничение доступа к видам корпоративных документов. В начале статьи мы создали группу пользователей "Стандартные пользователи", включили в неё всех сотрудников, но запретили им доступ ко всем видам документов, заметив, что далее мы будем открывать доступ более узким группам пользователей. Теперь такой момент наступил.

Создадим группы доступа на основании профиля "Доступ к документам". Назовем группу доступа "Доступ к Исходящим, Входящим не конфиденциальным документам всех организаций". Пример приведен на рисунке ниже.

В значениях видов доступа группы доступа укажем:

• Виды документов - Только указанным в списке  {"Входящий", "Исходящий"}
• Грифы доступа - Только указанным в списке {"Стандартный"}
• Организации - Всем, кроме указанных в списке
• Корпоративные папки - Только указанным в списке {Список определяется по значениям доступа}
• Пользователи - Только указанным в списке {<пусто>}, проверяется только текущий пользователь

Важно! Необходимо различать группы доступа и группы пользователей. Группа пользователей просто включает в себя некий состав пользователей, облегчая дальнейшее управление ими, группа пользователей не устанавливает ни каких параметров кроме принадлежности пользователей группе, а группа доступа описывает доступ по определенному профилю для списка пользователей. В список пользователей группы доступа могут быть включены как конкретные пользователи, так и группы пользователей.

Теперь создадим группу доступа для разрешения доступа к конфиденциальным документам ЗАО "Альфа-Трейд Холдинг" (здесь и далее приведены гипотетические названия предприятий и других объектов).

Используем профиль "Доступ к документам". В значениях группы доступа укажем:

• Виды документов - Только указанным в списке  {"Входящий", "Исходящий", "Внутренний"}
• Грифы доступа - Только указанным в списке {"Конфиденциально"}
• Организации - Только указанным в списке {ЗАО "Альфа-Трейд Холдинг"}
• Корпоративные папки - Только указанным в списке {Список определяется по значениям доступа}
• Пользователи - Только указанным в списке {<пусто>}, проверяется только текущий пользователь

Проверим работоспособность созданных прав доступа. Зайдем в систему под администратором с полными правами доступа и создадим новый корпоративный документ с видом "Входящий", грифом доступа "Конфиденциально", организацией ЗАО "Альфа-Трейд Холдинг" (указана в списке на закладке "Принадлежность"). Для примера назовем документ "Конфиденциальный входящий для ЗАО "Альфа-Трейд Холдинг"". Теперь войдем в систему под нашим пользователем и откроем "Навигатор". На рисунке ниже мы видим, что пользователю стал доступен недавно созданный конфиденциальный документ.

Если мы исключим пользователя из группы доступа "Доступ к конфиденциальным документам ЗАО "Альфа-Трейд Холдинг", то данный документ исчезнет из списка документов в "Навигаторе". Внимательный читатель заметит, что на приведенном рисунке пользователю доступны некоторые корпоративные документы, не попадающие ни под один рассмотренный вид доступа. Но мы уже упоминали, что доступ к документам по большинству ролей осуществляется по следующему набору проверок - доступ пользователю разрешен, если:

• есть разрешение на организацию (любую из списка в документе)
• есть разрешение на вид документа
• есть разрешение на гриф доступа документа
• есть разрешение на корпоративную папку
• ИЛИ пользователь входит в список получателей документа, или список пользователей документа, или является автором документа, или является сотрудником, зарегистрировавшим документ.

На приведенном рисунке у пользователя открыт доступ как раз по проверке на то, что этот пользователь указан в документах (например, входит в список получателей, список пользователей или является автором, регистратором документа). Исходя из вышесказанного, получается, что есть простой способ открыть доступ к нужному корпоративному документу, без анализа того в какие группы доступа входит конкретный сотрудник – нужно просто указать его в составе пользователей документа. Это может оказаться полезным при необходимости быстро открыть доступ к необходимому документу какому-либо сотруднику предприятия.

Возможные проблемы с правами доступа и пути их решения

Поскольку права доступа конкретного пользователя зависят от многих параметров, то корректная настройка прав доступа может оказаться достаточно сложной задачей. Мы рекомендуем проводить настройку прав доступа на копии базы данных и, лишь убедившись в том, что все настроено корректно, переносить настройки в рабочую базу данных.

Для облегчения настройки прав доступа мы приводим список наиболее вероятных проблем и путей их решения.

Проблема 1: Пользователь не может войти в базу данных

Решение: Необходимо убедиться, что пользователю назначена роль "Запуск толстого" или "Запуск тонкого", или "Запуск веб-клиента" не в конфигураторе, а именно в настройках профилей групп доступа. Пользователь должен быть включен в одну из групп доступа построенную на профиле с включенной ролью, разрешающей запуск программы. Если вы включили роль в  конфигураторе, то она может быть автоматически перезаписана (снята) согласно настройкам профилей групп пользователей.

Проблема 2: Объекты (документы) не появляются в списке "Навигатора"

Решение: Проверьте разрешения на все виды доступа в группе доступа. Если, например, вы разрешили доступ в группе по двум видам документов, но в той же группе доступа указали, что доступ ко всем организациям закрыт, то доступа к этим документам не будет. Все значения видов доступа в одной группе проверяются по условию "И". Так же не забудьте открыть доступ к нужным корпоративным папкам через команду "Права доступа" справочника "Корпоративные папки".

Проблема 3: В "Навигаторе" присутствуют документы, доступ к которым мы закрыли

Решение: Возможно, доступ к документам остается открытым, так как доступ открыт через другие группы доступа. Например, существует группа доступа с профилем, в котором указан только один вид доступа "Организации", соответственно провозится проверка только по организациям. Участники такой группы получат доступ ко всем видам, грифам доступа, корпоративным папкам этой организации, даже если в других группах для них существуют ограничения. Другой причиной может быть то, что в этих документа пользователь указан напрямую. Т.е. он является автором, регистратором, указан в списке получателей или в списке пользователей на закладке "Принадлежность". В таком случае он также получает доступ к документу вне зависимости от того, какие ограничения указаны группах доступа.

Проблема 3: Списки доступных объектов не изменяются и не реагируют на изменение прав доступа.

Решение: Выйдите и повторно зайдите в систему под именем соответствующего пользователя, также перезаполните наборы прав доступа, нажав на гиперссылку "Обновить наборы прав доступа" в форме настройки прав. Данная процедура перезаполнит нужные регистры сведений служебной информацией. В системе также присутствует служебная обработка "Инициализация прав доступа". Данная обработка находится в подсистеме "Администрирование системы" в  верхней панели "Сервис", пункт "Сервисные механизмы". Запуск данной обработки удаляет служебную информацию о правах доступа и их зависимостях, позволяя начать настройку прав с нуля.

Проблема 4: Проводим настройку доступа, но у пользователей не отключается полный доступ

Возможно, вы не отредактировали группу доступа,  созданную при инициализации системы. При инициализации системы создается группа "Пользователи с полным доступом". Для облегчения освоения системы в неё по-умолчанию добавляются все пользователи. В дальнейшем состав этой группы нужно отредактировать либо удалить группу полностью.

Проблема 5: В списках объектов появились элементы вида <объект не найден>

Решение: Сообщения вида <объект не найден> могут появляться не только при нарушении целостности базы данных, такие сообщения могут являться следствием настройки прав доступа. Появление такого текста в списке на месте реквизита может означать, что доступ к объекту существует (он виден в списке объектов), но при этом у текущего пользователя нет прав на доступ к данному значению реквизита объекта.

Проблема 6: В списке закладок "Навигатора" показаны все закладки, без учета ограничений

Решение: Если в "Навигаторе" показываются все закладки, сформированные по справочнику "Виды корпоративных документов", то это может означать следующее – в одной из групп доступа установлен доступ по виду доступа "Виды документов" как "Всем, кроме указанных в списке", при этом список запрещенных значений пуст.

По вопросам настройки прав доступа, зарегистрированные пользователи СЭД "Документооборот Проф" могут обратиться на линию технической поддержки, указав в письме максимально подробную информацию о том, какие настройки профилей и групп доступа уже сделаны и какие именно существуют проблемы с доступом сотрудников к базе данных.