Вместо введения
Терминология, использованная в этом тексте, максимально заимствована из окон назначения прав доступа.
Пользователь и объекты
В этом тексте "пользователь" означает конкретного пользователя из справочника "R126 Список пользователей",
"модуль" - конкретный модуль из справочника "R216 Список модулей",
"документ" - конкретный тип документа из справочника "R169 Типы документов",
а "справочник" - конкретный справочник из справочника "R366 Название справочников".
Ключевое слово в этом предложении - конкретный.
Объект - это или модуль, или документ, или справочник.
Это определение перечислением совсем не лишнее, потому что пользователь может наследовать права доступа от объектов.
Все модули создаются по некоторому шаблону с именем "вид модули", который содержит, среди прочего, право доступа к модулю.
Так же все документы создаются по шаблону "вид документы" и все справочники - по шаблону "вид справочники".
Первая ключевая мысль здесь в том, что "вид" - это "все объекты данного вида".
Вторая ключевая мысль в том, что "вид" лежит, если можно так сказать,на уровень глубже каждого созданного из него объекта.
Пользователю могут быть назначены права доступа к любому объекту и любому виду объекта.
Группы
Для удобства назначения и управления правами доступа пользователи могут быть объединены в группы.
Группы могут иметь вложенные группы. Вложенность групп не должна быть больше 5.
Группе могут быть назначены права доступа к любому объекту и любому виду объекта.
Пользователь может быть членом только одной группы.
Есть предопределенная группа "Прочие", членом которой автоматически становится каждый вновь созданный пользователь. Следовательно, если пользователь не назначен ни в какую группу, он остается членом группы "Прочие".
Значения права доступа
Установленное право доступа имеет одно из двух значений: "Запрещено" или "Разрешено".
Применительно к модулю право доступа читается как "использование Запрещено" или "использование Разрешено". Если право доступа к модулю установлено в "использование Запрещено", пользователь не увидит этого модуля в "Дереве модулей".
Изменение права доступа пользователя к модулю вступает в силу при следующей загрузке "Фабиус".
Применительно к документу или справочнику право доступа "Разрешено" разделяется на два вида:
"Только чтение" и "Разрешено". Право "Разрешено" должно читаться как "Разрешены чтение, запись, добавление, удаление".
Если к каким-то документам или справочникам назначено право доступа "Запрещено", то пользователь не сможет открыть их для чтения.
Изменение права доступа пользователя к документу или справочнику вступает в силу при следующей
попытке их открытия.
При создании объекта право доступа к нему пользователя не установлено.
Это утверждение надо пояснить.
Право доступа имеет смысл только для пары пользователь-объект. Вот создан новый объект и пользователь уже может "встретить" его, положим, в "Дереве модулей". Но администратор еще не назначил этому пользователю права доступа "Запрещено" или "Разрешено" к этому объекту. Такое состояние права доступа пользователя к объекту обозначим "Не установлено".
Последовательность проверки прав доступа
При проверке прав доступа просматриваются следующие источники:
1. Пользователь,
2. Группа,
3. Объект,
4. Вид объекта.
Если право доступа пользователя на объект имеют состояние "Не установлено", начинает работать процедура поиска назначенного права доступа:
- пользователь может иметь назначенное право на вид объекта;
- пользователь может быть членом группы, которая может иметь назначенное право на объект;
- пользователь может быть членом группы, которая может иметь назначенное право на вид объекта;
- доступ к объекту может быть назначен для любого пользователя;
- наконец, доступ к виду объекта может быть назначен для любого пользователя.
Процедура ищет назначенное право в определенном порядке, который фактически задает приоритет прав источников.
Вот этот порядок поиска прав:
1. | право доступа пользователя к объекту, |
2. | право доступа пользователя ко всем объектам данного вида, |
3. | право доступа группы пользователя к объекту, |
4. | право доступа группы пользователя ко всем объектам данного вида, |
5. | право доступа к объекту для всех пользователей, |
6. право доступа ко всем объектам данного вида для всех пользователей.
Рассмотрим пример проверки прав доступа пользователя "П" из группы "Г" к справочнику "С".
1. Если право "П" на "С" "Запрещено" или "Разрешено", то выход.
2. Если право "П" на "объект вида справочники" "Запрещено" или "Разрешено", то выход.
3. Если право "Г" на "С" "Запрещено" или "Разрешено", то выход.
4. Если право "Г" на "вид справочники" "Запрещено" или "Разрешено", то выход.
5. Если "С" предоставляет "Всем пользователям" право "Запрещено" или "Разрешено", то выход.
6. Если "вид справочники" предоставляет "Всем пользователям" право "Запрещено" или "Разрешено", то выход.
7. Доступ "П" к "С" "Не установлен", "П" не имеет доступа к "С".
Как видно из примера, как только "П" встречает первое определенное значение права доступа к "С", это право назначается "П" и процедура проверки права доступа завершается .
Если на всех этапах проверки состояние права доступа остается в значении "Не установлено",
то "П" не получает доступа к "С".
В действительности, проверка прав доступа группы зачастую сложнее, чем в примере.
Так если "П" является членом группы "Г3", которая вложена в группу "Г2", вложенную в "Г1", то шаги 3 и 4 примера развернутся в следущие ниже.
Сначала для "Г3":
3 Если право "Г3" на "С" "Запрещено" или "Разрешено", то выход;
4 Если право "Г3" на "Все справочники" "Запрещено" или "Разрешено", то выход;
потом для "Г2":
3 Если право "Г2" на "С" "Запрещено" или "Разрешено", то выход;
4 Если право "Г2" на "Все справочники" "Запрещено" или "Разрешено", то выход;
и наконец для "Г1":
3 Если право "Г1" на "С" "Запрещено" или "Разрешено", то выход;
4 Если право "Г1" на "Все справочники" "Запрещено" или "Разрешено", то выход.
Таким образом, для вложенных групп наибольший приоритет имеет та группа, в которую "вложен" пользователь, и приоритет назначения права доступа от группы пользователю уменьшается с уменьшением уровня вложенности группы.
Инструментарий
Окна назначения прав можно открыть двумя способами:
1. Через "Дерево модулей" по пунктам "я Администратор", "Настройки", "Права доступа".
2. Через "Главное меню" по пунктам "Сервис", "Права доступа".
В приведенных рисунках пункты "Модули", "Справочники", "Документы", "По пользователям" взяты в красную рамку, чтобы обратить внимание на то, что права доступа могут быть назначены разными путями в зависимости от того, что удобней взять за основу - модуль, справочник, документ или пользователя.
Есть четыре вида окна назначения прав:
1. "Редактор дерева модулей",
2. "Справочники",
3. "Документы",
4. "Права доступа пользователей / групп пользователей".
Первые три окна берут за основу объект, а четвертое окно - пользователя. Две основы, объект или пользователь, приводят к тому, что удобнее разделить пояснения к окнам также на два вида
Окна назначения прав доступа к объектам
Вид окон представлен на рисунках ниже.
Каждое окно для удобства пояснений условно разделено на четыре области: красную, зеленую, синюю, желтую.
Красная - список объектов.
Зеленая - информация о выбранном объекте.
Синяя - инструменты назначения прав доступа к объекту или виду объекта для всех пользователей.
Желтая - пользователи (или группы) с правом на доступ к указанному в зеленой области объекту.
Окно "Редактор дерева модулей"
Зеленая область - информация о выбранном модуле.
В поле "Модуль" отображается внутреннее имя модуля.
В поле "Номер" - номер экземпляра модуля, поскольку может быть несколько модулей одной функциональности. Например, "Экспедиция N1" и "Экспедиция N2".
В поле "Список экземпляров" - список экземпляров модуля в алфавитном порядке.
В поле "Название" - общее название модуля.
Кнопка "<-->" скрывает или показывает красную область.
Красная область - список модулей.
Модуль выбирается одним кликом мыши, далее можно сменить выбор, используя клавиши стрелок "вверх", "вниз". Все экземпляры одного модуля выделяются желтым цветом, как только выбирается один из экземпляров. Модули, имеющие частные особенности, выделяются красным цветом.
Синяя область - разрешение на доступ к модулю для всех пользователей.
Заголовок "Доступ к объекту по умолчанию" группы радиокнопок "Запрещен", "Разрешен", "Не установлен" правильно должен выглядеть как "Доступ к объекту для всех пользователей".
Как правило, право доступа всех пользователей к модулю "Не установлено". Вы можете произвести революцию в правах доступа пользователей, выбрав радиокнопку "Разрешен" - все пользователи, для которых нет явного запрета на этот модуль на уровне пользователя или группы, увидят этот модуль в своем "Дереве модулей" при следующей загрузке "Фабиус".
В синей области размещены три кнопки - "Заимств.", "Сброс", "Общий".
При нажатии кнопки "Заимств." появляется запрос
и далее окно выбора модуля, права доступа к которому для всех пользователей будут заимствованы.
Выбор завершается нажатием клавиши "Ввод".
Кнопка "Сброс" устанавливает права доступа к модулю для всех пользователей в состояние "Не установлено".
При нажатии кнопки выдается запрос:
Наиболее эффектна кнопка "Общий". При ее нажатии в группе радиокнопок имена полей меняют цвет на красный, а заголовок меняет текст на "ДОСТУП КО ВСЕМ ОБЪЕКТАМ ДАННОГО ВИДА", что, конечно, должно пониматься как "Доступ ко всем модулям для всех пользователей".
Если вспомнить пример назначения прав доступа пользователю "П" из группы "Г" для справочника "С", то действие синей области охватывает пункт 5 и пункт 6, когда используется кнопка "Общий".
Желтая область - право доступа пользователя / группы к модулю.
Область содержит две одинаковые вкладки - "Группы" и "Пользователи". Каждая вкладка содержит два списка - "Доступ запрещен", "Доступ разрешен" - для пользователей и групп. Экранными кнопками ">" ">>" "<<" "<" пользователи или группы переносятся из одного списка в другой. Таким образом назначаются права доступа к выбранному модулю, или экземпляру модуля.
Если выделить какой-либо модуль в красной области и затем перемещаться по списку модулей вверх-вниз, используя стрелки вверх-вниз клавиатуры, то содержимое желтой области будет меняться в соответствии с назначенными правами доступа пользователей или групп, в зависимости от активной вкладки, к выделенному модулю.
Все изменения, произведенные в желтой области, сохраняются сразу без каких-либо дополнительных запросов.
Выход из окна "Редактор дерева модулей" - как обычно, клавишей "Esc" клавиатуры.
Окно "Справочники"
Зеленая область - выбранный справочник.
В отличие от окна "Редактор дерева модулей" здесь поле "Наименование" представлено выпадающим списком, который можно использовать для выбора справочника.
Красная область - список справочников.
В отличие от окна "Редактор дерева модулей" выбор справочника происходит по двойному клику мыши.
Синяя область - разрешение на доступ к справочнику для всех пользователей.
Все то же, что и для окна "Редактор дерева модулей". При нажатии кнопки "Заимств." предлагается, понятно, выбрать справочник, разрешения которого будут заимствованы.
Желтая область - право доступа пользователя / группы к справочнику.
Разрешение-запрещение доступа к справочнику производится переносом пользователя (группы) из поля списка "Доступ запрещен" в поле списка "Доступ разрешен" и наоборот кнопками ">", ">>", "<", "<<".
В поле списка "Доступ разрешен" вкладки "Пользователи" ("Группы") пользователь (группа) с правом доступа "Только чтение" выделяется желтым. Изменить право доступа можно тремя способами:
1. Выделить пользователя (группу) мышью и нажать кнопку "Чтен" или "Полн".
2. Правой клавишей мыши сделать клик на выбранном пользователе (группе) и выбрать нужный пункт выпадающего меню.
3. Выделить пользователя (группу) мышью и нажать "Shift+Ctrl+R" или "Shift+Ctrl+W" на клавиатуре.
Окно "Документы"
Все так же, как и в окне "Справочники".
Окно "Права доступа пользователей / группы пользователей"
Окно "Права доступа пользователей / групп пользователей"
Внимание:
1. Пользователь с кодом 1 всегда имеет права администратора.
2. Права могут быть назначены только существующему пользователю (группе). Добавить нового пользователя (группу) в этом окне нельзя.
3. Права могут быть назначены только пользователями с отметкой "Права администратора". Назначить пользователю "Права администратора" в этом окне нельзя. Пользователь с именем "АДМИНИСТРАТОР" может не иметь отметки "Права администратора".
4. Не рекомендуется назначать права администратора обезличенному пользователю "АДМИНИСТРАТОР". Правильнее давать "Права администратора" пользователям с уникальным именем (фамилией), чтобы изменения, вносимые администраторами, могли быть персонифицированы в журнале регистрации.
5. Будьте осторожны и внимательны - изменения прав сохраняются сразу без каких-либо дополнительных извещений.
Зеленая область - выбранный пользователь (группа).
В отличие от других окон, клавиша "<-->" (в зеленой области) циклично меняет содержимое красной области: группы и пользователи, только пользователи, только группы.
Красная область - выбор пользователя (группы).
В дереве групп правой клавишей мыши может быть вызвано всплывающее меню:
То же для списка пользователей:
Все пункты всплывающих меню работают, если использовать мышь и не работают, если использовать клавиатуру.
Выбирая пользователя (группу) в красной области, применяйте двойной клик мышью или "Ввод" на активной строке пользователя. Убедитесь, что выбранный пользователь (группа) отобразились в зеленой области.
Синяя область - разрешение на доступ ко всем объектам вида, указанного в активной вкладке желтой области, для выбранного пользователя (группы).
Желтая область - назначение права доступа пользователя (группы) к объектам вида, указанного на активной вкладке.
Последовательно выбирая вкладки "Модули", "Документы", "Справочники" и используя на каждой вкладке экранные кнопки ">", ">>", "<", "<<" для переноса объектов из списка "Доступ запрещен" в список "Доступ разрешен" или наоборот, пользователю (группе) назначаются права доступа к объекту или списку объектов. Кнопка "Чтен" используется для замены права "Полный доступ" на право доступа "Только чтение" к объектам вида "Документы", "Справочники" из списка "Доступ разрешен". Строка объекта списка "Доступ разрешен" с правом пользователя (группы) "Только чтение" выделяется желтым цветом. Кнопка "Полн" служит для замены права пользователя "Только чтение" на право "Полный доступ".
Внимание:
Видимые права доступа пользователя (группы) к объектам списков "Доступ запрещен", "Доступ разрешен" являются итоговыми правами доступа пользователя (группы).
Поясним примером. Администратор ...
1. Используя кнопку "Общий" синей области окна "Справочники", назначает право доступа "Разрешен" для всех пользователей на все справочники.
2. Создает новую группу "Г".
3. Открывает окно "Права доступа пользователей / группы пользователей", выбирает группу "Г" в красной области и вкладку "Справочники" в желтой . Администратор видит все справочники в списке "Доступ разрешен". Обратите внимание, он еще не использовал кнопки ">", ">>", "<", "<<" для назначения прав группе "Г" на справочники, а она уже получила доступ ко всем справочникам, потому что доступ был разрешен ранее в окне "Справочники" для всех пользователей на все справочники. Списки "Доступ запрещен", "Доступ разрешен" отражают итоговое значение прав. См. "Последовательность проверки прав доступа", п.6.
4. Далее выбирает радиокнопку "Только чтение" синей области. В результате весь список "Доступ разрешен" желтеет, потому что права выбранной группы выше прав всех пользователей, а списки доступа отражают итоговое значение прав. См. "Последовательность проверки прав доступа", п.4.
5. Используя клавиши "<<" ">>", переносит целиком список справочников из "Доступ разрешен" в "Доступ запрещен" и обратно в "Доступ разрешен". В результате список "Доступ разрешен" теряет желтый цвет, потому что права выбранной группы на перечисленные в списке справочники выше прав выбранной группы на все справочники, а списки доступа отражают итоговое значение прав. См. "Последовательность проверки прав доступа", п.3.
Обратите внимание, что вид списка "Доступ разрешен" для группы "Г" в шагах 3 и 5 примера одинаков, но сила прав группы в шаге 3 и шаге 5 различна.
Общие рекомендации по установке прав доступа:
1. По функционалу каждого пользователя устанавливаете доступ к тем или иным модулям.
2. Ко всем документам даете доступ всем пользователям! Если кому-то не положено смотреть какой-то документ, то у него точки входа все-равно не будет, т.к. не будет доступа к модулю, где этот документ встречается в "дереве". А попасть в произвольный документ можно только в модуле "Главная книга", к которому доступ только "у избранных."
3. К справочникам доступ должен быть дан тоже всем пользователям обязательно, только к некоторым он должен быть "только для чтения". Критических справочников, где нужно ограничивать доступ на запись, не много - это различные классификаторы: сотрудники, контрагенты, изделия, рецептуры, цены, банк.реквизиты (R13, R11, R71, R14, R02).