Права доступа в 1С:Документообороте: как не открыть лишнее и не закрыть нужное

19 июня 2026 · infolimp.ru

Два уровня — и оба важны

В отличие от большинства конфигураций на 1С, 1С:Документооборот использует два независимых уровня контроля доступа:

• Платформенный уровень (роли) — стандартные роли конфигуратора, определяющие, какие объекты метаданных пользователь может открыть в принципе. Без роли «Пользователь» или «Руководитель» интерфейс попросту недоступен.
• Прикладной уровень (политики доступа) — правила внутри самого приложения: какие папки, виды документов и бизнес-процессы доступны конкретной группе пользователей.

Типичная ошибка при первой настройке: роли конфигуратора выданы, и на этом работа считается завершённой. На самом деле платформенная роль — это пропуск в здание, а политики доступа — ключи от конкретных кабинетов.

Три самых частых ошибки настройки

1. Права выданы «слишком высоко»

Если предоставить группе пользователей право на изменение в корневой папке документов, это право унаследуется всеми вложенными папками. Через месяц выяснится, что отдел закупок видит финансовые документы, которые никто не собирался им открывать.

Для конфиденциальных структур документов рекомендуется начинать с запрета на верхнем уровне и явно открывать нужные папки — это снижает риск случайной утечки. В менее чувствительных структурах допустима обратная логика: разрешение по умолчанию, явный запрет там, где нужно.

2. Пользователь в нескольких группах с конфликтующими правами

На уровне политик папок и видов документов 1С:Документооборот суммирует права из всех групп пользователя по принципу логического ИЛИ: если хотя бы одна группа даёт право на чтение папки, пользователь его получит. Это важно понимать: запрет в одной группе на прикладном уровне не перекрывает разрешение из другой группы.

Исключение — механизм грифов: там логика обратная. Если на документе установлен гриф, его видят только члены групп, явно включённых в список допуска по этому грифу. Отсутствие в списке = запрет, и никакие права папки это не меняют.

Проблема возникает, когда нового сотрудника добавляют в общую группу «Все сотрудники» с широким доступом, не проверив, что именно эта группа разрешает.

3. Гриф доступа не установлен

Для конфиденциальных документов в 1С:Документообороте есть механизм «грифов доступа» — пометок вроде «Для служебного пользования» или «Конфиденциально». Если гриф установлен, документ виден только тем, чья группа явно включена в список допуска по этому грифу. Документы без грифа видны всем, у кого есть доступ к данной папке и виду документа — гриф как дополнительный барьер не действует. Частая ситуация: гриф случайно установлен, и автор сам не может найти своё письмо в общем журнале.

Как диагностировать конкретную проблему

Когда пользователь жалуется «не вижу документ» или «не могу изменить», последовательность проверки такая:

1. Проверьте роль: в настройках пользователя (Администрирование → Пользователи) убедитесь, что назначена хотя бы одна роль с правами на работу с документами. Без этого политики доступа не помогут.
2. Проверьте группы: в каких группах состоит пользователь? Какие права у каждой из этих групп на нужную папку или вид документа?
3. Проверьте гриф: открыт ли конкретный документ — есть ли на нём гриф, и входит ли группа пользователя в список допуска?
4. Используйте встроенный отчёт по правам: большинство версий 1С:ДО содержат инструмент диагностики в разделе «Настройка и администрирование», который показывает эффективные права выбранного пользователя. Точное название зависит от версии конфигурации — ищите в подменю раздела администрирования.

Перед выдачей прав всегда спрашивайте: «Что именно этому человеку нельзя видеть?» — а не «Что ему нужно разрешить?». Модель «запрет по умолчанию» надёжнее, чем ручное добавление ограничений после того, как доступ уже выдан.

Двухуровневая модель 1С:Документооборота — не усложнение, а гибкость. Она позволяет одной конфигурацией покрыть холдинг с разными политиками в подразделениях. Но эта гибкость требует понимания, какой уровень за что отвечает — иначе вместо контроля получаем лотерею.