Роли - это набор прав, которыми наделяются пользователи. Роли выдаются не под пользователей, а под функционал.
Прежде чем работать с ролями, сначала добавим роли. Для этого нам понадобится конфигуратор. В окне «Конфигурация» раскрываем раздел «Общие», правой кнопкой мыши нажимаем на «Роли» и выбираем меню «Добавить».
В свойствах указываем имя (оно не должно содержать пробелы), и синоним (он может содержать пробелы).
Для созданной роли «Базовый функционал» установим все права. Для этого в меню «Действия» выбираем пункт «Установить все права». Однако, важно понимать, что с архитектурной точки зрения, выдача всех прав является ошибочным решением.
Важно понимать, что данные права будут относиться ТОЛЬКО к уже созданным объектам, а чтобы они распространялись и на новые объекты, в этом же окне необходимо поставить галочку на «Устанавливать права для новых объектов».
Роль создана, теперь создадим пользователя. В меню конфигуратора выбираем пункт «Администрирование» -> «Пользователи». В открывшемся окне, во вкладке «Основные» заполним поля «Имя» и «Полное имя» (я назвал пользователя - Администратор). А во вкладке «Прочие» поставим галочку на ранее созданную роль «Базовый функционал».
*Забегая вперёд, я создал ещё одного пользователя, с именем Руководитель, не описывая это в статье, так как принцип создания тот же, только права я ему пока не выдал.
Теперь по принципу создания роли «Базовый функционал» создадим роль с именем Администрирование, для пользователя Руководитель. Но с разницей на то, что на этот раз мы не дадим все права, а снимем все права. И также снимаем все галочки внизу окна роли.
Теперь через окно «Конфигурация», в разделе Общие -> Роли, через меню «Все роли» откроем все роли. И в открывшемся окне права на администрирование и администрирование данных дадим роли «Администрирование», тогда как у роли «Базовый функционал» права на администрирование заберем.
Далее, как мы ранее выдавали права пользователю, через раздел «Прочее», пользователю Администратор мы дадим права только согласно роли «Администрирование», а руководителю дадим права «Базовый функционал».
Что мы получили на выходе? Пользователь с именем «Руководитель» может открыть конфигуратор, но ничего не может изменить в конфигураторе, а пользователь «Администратор» не может открыть клиент 1С:Предприятие.
Для пользователя «Администратор» можно изменить способ входа в информационную базу. Для этого в стартере нажимаем кнопку «Настройка», и в открывшемся окне ставим галочку на «Отображать в виде дерева», нажимаем «ОК».
Всё в том же стартере нажимаем правой кнопкой мыши на «Информационные базы», выбираем меню «Добавить». В открывшемся окне выбираем пункт «Создание новой группы». Нажимаем «Далее», даём название новой группы, затем перетаскиваем информационную базу в созданную группу.
Снова в стартере нажимаем кнопку «Добавить», и в открывшемся окне выбираем пункт «Добавление в список существующей информационной базы». На следующем шаге даём название базы, и там где нужно выбрать тип расположения информационной базы, указываем путь до существующей базы, в которую нужно войти, и нажимаем «Далее». На следующем шаге будет поле с названием «Дополнительные параметры запуска», туда пишем /UsePrivilegedMode - для пользователями с правами на администрирование этот дополнительный параметр позволяет запускать клиент в режиме привилегированного сеанса, в котором не выполняется проверка прав доступа и ограничений доступа к данным. Следовательно пользователь Руководитель с таким параметром войти в базу не сможет, так как не имеет прав на администрирование.
Информацию о параметрах входа можно посмотреть в конфигураторе в меню «Справка» -> «Содержание справки»