1с 77 отключить контроль прав

Обновлено: 05.07.2024

В начале далекого уже сегодня 2007 года у меня возник проект, в котором стояла задача разработки системы контроля прав для конфигурации на платформе 1С:Предприятие 7.7. Стоял выбор - полностью перерабатывать конфигурацию заказчика или сделать что-то универсальное.

"Универсальное решение для любой конфигурации 7.7 ? Без подписок на события и т.п.? Не смешите меня - такое невозможно сделать!" - именно эти слова коллеги пробудили во мне спортивный интерес и практически "на спор" была разработана Система управления правами для 1С:Предприятие 7.7

Система построена на базе небезызвестного компонента 1С++, который в то время как раз "обзавелся" функциями перехвата событий. И по сегодняшний день в платформе 1С:Предприятие 8 нет подписок на события формы - а в 1С++ они работали уже тогда!

История разработки

Как и положено универсальному инструменту главным условием при разработке системы стало не трогать саму конфигурацию, в которой предполагалось управлять правами. Нужно было обойтись минимальными изменениями, скажем, одной строкой кода в глобальном модуле. И это получилось!

Конечно же, разработка не была простой. Потребовалось "разобрать на запчасти" все возможные события платформы, побороться с особенностями не только модальных, но и весьма специфических (как оказалось) окон. Таких как, например, выбор периода для журнала.

Желающим ознакомиться с ходом разработки можно заглянуть в файл whatsnew.txt - там описано много нетривиальных проблем, которые пришлось решать прямо по ходу проекта. Был задействован целый ряд инструментов - и DynamicWrapper для вызова WinAPI процедур, и компонента UsersDef.dll для управления пользователями прямо из пользовательского режима.

Возможности Системы

Достоинства этой Системы управления правами по сравнению с типовым механизмом такие.

Помимо "фич" есть и просто полезные инструменты, облегчающие труд по работе с правами.

Порядок установки и запуска

Чтобы попробовать Систему самому, достаточно выполнить лишь несколько несложных действий. Работу можно производить на любой конфигурации. Перед тем, как выкладывать эту Систему сюда я проверял ее на первой попавшейся конфигурации - типовом "Бухучете для Украины" (релиз 281). На всякий случай уточню, что все действия по настройке производятся в Windows от имени администратора - я не проверял, как поведет себя Система при работе с ограниченными правами.

Итак по порядку.

Шаг 1. Подготовка файлов

Берем любую конфигурацию для платформы 7.7. Скачанный архив разворачиваем в папку ИБ с сохранением иерархии архива.

Файл dynwrap.dll из каталога ИБ переносим в папку \Windows\System32 и регистрируем в системе командой

Шаг 3. Доработка конфигурации

Доработка конфигурации выполняется за 1 минуту. Если у вас в конфигурации уже используется FormEx и 1C++, тогда действительно понадобится добавить всего одну строку в глобальный модуль. Если нет, то полный текст "вставки" будет выглядеть так:

Еще одна микродоработка связана с тем, что у некоторых объектов при проверке права открытия формы окно все же "мелькает" на экране. Во избежание этого был доработан механизм "подмены" формы на свою. Ему требуется, чтобы в метаданных была пустая обработка с именем "ОшибкаДоступа_Тихо" и модулем из 3-х строк:

Благодаря подмене "проблемных" форм объектов на эту форму окна даже не мелькают (если нельзя открывать форму объекта).

Вот и все доработки. Теперь можно запускать 1С:Предприятие.

Шаг 4. Загрузка прав из существующих наборов

Вместе с предприятием сразу откроется обработка "Управление доступами". Она откроется только один раз - при первом запуске - и сформирует файл для хранения прав (файл \Security\mdsec.mdb в каталоге ИБ). Если что-то пойдет не так - можно просто удалить этот файл - при следующем запуске Система создаст его снова и откроет форму обработки. Безусловно, открыть обработку можно и вручную.

В форме обработки "Управление доступами" нажмите кнопку [Импорт объектов и прав]. При этом

будет загружена структура метаданных вплоть до форм и именованных реквизитов на них
проанализированы права доступа текущего пользователя к объектам и такие же права будут загружены в Систему
набор прав будет превращен в группу пользователей, а текущий пользователь помещен в эту группу

С этого момента можно уже полноценно работать в системе.

Учтите, что права доступа к новым объектам по умолчанию не выдаются! Для реквизитов формы придется давать права вручную, ведь в классической платформе 7.7 не существует прав на формы и их реквизиты.

Заключение

Если запустить Систему не получится - попробуйте еще раз детально изучая каждый шаг, описанный выше. Если неполучится и после этого - пишите в комментариях, будет разбираться.

Просьба не "бежать" устанавливать Систему сразу на боевой базе. Да, она уже достаточно отлажена, но падения платформы еще возможны.

Чтобы "проникнуться" результатами работы Системы сразу после установки сделайте вот что. Откройте любой документ/элемент справочника, найдите там какое-то поле ввода или кнопку (только обязательно с установленным идентификатором!). В обработке управления правами доступа попробуйте установить право и, не закрывая "подопытную" форму, нажать на объект для которого изменили права. Работает? Таки неправ был коллега - бывает и такое! ;)

Код 1C v 8.х

Синтаксис:
Код 1C v 8.х
Параметры:
<Право> (обязательный)
Тип: Строка. Название права доступа.
<Объект метаданных> (обязательный) — Объект метаданных.
<Пользователь/Роль> (необязательный)
Тип: ПользовательИнформационнойБазы, Метаданные.Роли.Роль
Возвращаемое значение:
Тип: Булево. Истина - право доступа к объекту установлено; Ложь - в противном случае.
Описание:
Показывает установку права доступа к объекту метаданных для текущего пользователя.
Вызов метода всегда требует административных прав, если явно указан третий параметр - Пользователь/Роль, права которого проверяются. Если пользователь не указан, то проверяются права текущего пользователя, и для этого наличие административных прав не требуется.
Примечание:
Права доступа к объектам метаданных устанавливаются при конфигурировании ролей

Синтаксис:
Код 1C v 8.х
Параметры:
<Наименование права> (обязательный)
Тип: Строка. Наименование запрашиваемого на объект права, например "Read".
<Объект метаданных> (обязательный)
Объект метаданных, права на доступ к которому проверяются.
<Список полей> (обязательный)
Тип: Строка. Список полей объекта базы данных, права на доступ к которым проверяются. Поля указываются списком, через запятую. Могут присутствовать имена табличных частей, реквизитов табличных частей, в последнем случае поле описывается как <Имя табличной части>.<Имя реквизита табличной части>.
<Пользователь/Роль> (необязательный)
Тип: ПользовательИнформационнойБазы, Метаданные.Роли.Роль. Указывает пользователя или роль, для которых нужно определить доступность права. При этом возвращается значение права так, как оно определено в конфигурации.
Возвращаемое значение:
Тип: ПараметрыДоступа.
Описание:
Позволяет получить права текущего пользователя на заданный объект метаданных с указанием полей.

Разместил: E_Migachev Версии: | 8.x | Дата: 14.09.2012 Прочитано: 46681

Еще в этой же категории

Ограничение доступа на уровне записей RLS 6
Когда требуется более тонкая настройка доступа, на помощь приходит механизм RLS - Record Level Security. Конфигурации системы «1С:Предприятие» 8 изначально позиционировалась как программа для многофирменного учета, и один из первых возникающих воп Право на изменение и право на редактирование - в чем отличие? 6
В чем собственно отличие? Кратко: Изменение - определяет возможность/невозможность вообще изменить объект. Редактирование - несет интерактивный смысл. Подробнее: Интерактивные и основные права Все права, поддерживаемые системой 1С:Предпри Отключение Пользователей встроенными в платформу функциями 5
Нужно создать ярлыки(в любой папке щелкните правой клавишей мыши - Создать - Ярлык) с командами: Отключение или Завершение работы пользователей: Для Файлового варианта: " C:Program Files1cv81bin1cv8.exe" ENTERPRISE /F путь к базе /N и Сравнение ролей доступа 4
Порядок простых действий для казалось бы сложной операции по сравнению ролей в 1С 8. 1) Открываете Роль1 в ее панели выбираете подменю Действия - Вывести список- сохраняете в Новый1.mxl 2) Открываете Роль2 в ее панели выбираете подменю Действия - В Как программно создать нового пользователя или скопировать настройки существующего? 4
Часто встречаю вопросы касаемые программного создания и настройки прав пользователей. В этот статье я приведу примеры для Обычного и Управляемого приложений, которые программно создают пользователя в конфигураторе и в режиме Предприятие (справочн Посмотреть все в категории Пользователь, роль доступа, интерфейс

Оказывается, 1С:Предприятие 7.7 не выполняет проверок прав доступа со стороны программного кода – все проверки выполняются только в интерактивном (пользовательском) режиме. Поэтому для защиты необходимо полностью закрыть любые возможности для выполнения любого поступающего извне программного кода, что вполне обеспечивают средства администрирования 1С (и системы Windows NT/2000/XP).

Откроем в Конфигураторе информационную базу и зайдем на вкладку Права. Дважды щелкнем на название имеющегося набора прав (или создадим новый набор). Из контекстного меню при клике на корневом элементе появившегося «дерева» выберем единственный пункт «Свойства». В списке перечислены потенциально опасные действия пользователей. Рассмотрим некоторые из них.

Настройка: Административные функции

Уберите эту галочку, и пользователи не смогут под своим паролем изменять конфигурацию (файл конфигурации MD).

Настройка: Использование в качестве OLE Automation сервера

Информационную базу можно «поюзать» через механизм OLE. Закройте для Темного Пользователя еще одну дверь, которая позволила бы ему видеть и изменять в информационной базе все.

Настройка: Использование любых Внешних Отчетов и Обработок

Уберите эту галочку, и Темные Пользователи не смогут запускать программный код 1С в виде привнесенных извне отчетов и обработок (файлов ert). Эта возможность тоже, независимо от прав, позволяет делать с информационной базой практически все.

Настройка: Использование общих Внешних Отчетов и Обработок

Общие внешние отчеты и обработки находятся в папке ExtForms. На эту папку, разумеется, необходимо установить права доступа «только на чтение». Иначе Темные Пользователи положат в эту папку нужные им обработки, и выполнят произвольный программный код.

Настройка: Использование функций в табло и формульном калькуляторе

Малоизвестная возможность, но она тоже позволяет «сделать все», не имея никаких других прав.
Откройте пункт меню Сервис-Табло. Наберите в появившемся Табло (засветите в него) следующий программный код:

Если в каталоге информационной базы лежит внешний отчет Тест.ert, то он будет открыт и выполнен, независимо от установленных у пользователя прав на выполнение Внешних Отчетов и Обработок. Аналогичная возможность имеется для калькулятора, если в меню Сервис-Параметры, на вкладке Общие, Темный Пользователь установил для него формульный режим.

Методы ОткрытьФорму/ОткрытьФормуМодально

Аналогичная уязвимость может существовать для конфигураций: если они выполняют встроенную функцию 1С наподобие

не проверяя пользовательские права, то Темный 1С-ник может сделать с информационной базой опять же все, что захочет, ибо для него информационная база полностью открыта. Поэтому закройте в систему и эти «врата», и у Темного 1С-ника будет меньше шансов выполнить свое черное дело.

Защита таблицы

Для защиты таблиц от Темного Пользователя в 1С:Предприятие имеется встроенный метод Защита(), который позволяет отключить возможность копирования таблицы, в том числе через буфер обмена.

ОбработкаЯчейкиТаблицы

Темный 1С-ник может занести в поле Расшифровка таблицы совсем не то, что предусматривал разработчик.
Например, "Отчет.КарточкаСчета". Таким способом, он может открыть "неположенный" ему по должности отчет.

Блокируем чтение и изменение таблиц данных

Информационную базу (особенно, в DBF-варианте) злоумышленник может скопировать и унести целиком, ибо в сжатом виде она может «весить» совсем немного. После этого, злоумышленник может просто удалить папку с паролями, и получить к своей копии базы полный, ничем не ограниченный доступ.

SQL-вариант информационной базы тоже может быть скопирован, но для этого надо знать имя сервера и пароль пользователя sa (или логин и пароль dbo). Как же узнать эту информацию? Она хранится (в зашифрованном виде) в файле DBA информационной базы, и поддается расшифровке при помощи небольшой «хакерской» утилиты (название не помню).

Впрочем, во многих случаях пароль sa назначен пустым, или представляет собой любимое многими администраторами значение 123. Чтобы выяснить этот факт, достаточно воспользоваться сетевым сканером безопасности, который выявит в вашей сети эти и подобные огрехи. Удачным сканером безопасности является программа x-spider.

Однако, про утилитку, извлекающую из информации о подключении логины и пароли, Темные Пользователи, разумеется, уже знают, поэтому пустой или не пустой пароль sa - особой роли уже не играет. Факт в том, что при любом пароле Темные Пользователи могут делать с информационной базой 1С все, что угодно: копировать всю базу, а также изменять или удалять отдельные записи. Правда, это придется делать на более низком уровне (правкой таблиц информационной базы), но ничего невозможного или сверхсложного в этом нет. Таблицы есть таблицы, просматривать и редактировать их можно небольшими утилитами или скриптами (в т.ч. из комплекта Microsoft Office), а связи между элементами данных прописаны в текстовом файле DD/DDS.

Защита при помощи сервера терминалов

Поэтому, пожалуй, единственным способом защититься от подобных атак является запрет запуска в пользовательском сеансе 1С других программ, за исключением 1С:Предприятие (это может быть реализовано, например, на сервере терминалов). Защита от запуска посторонних программ реализуется при помощи ключа реестра RestrictRun (или соответствующих настроек в групповой политике домена).

Строковые параметры с именами в виде чисел по возрастанию указывают, запуск каких программ необходимо разрешить (запуск остальных будет запрещен), например:

При экспериментах разрешите себе запуск regedit.exe.

Прописывайте полные пути, иначе Темный Пользователь сможет назвать именем 1cv7s.exe произвольный софт.

Скрываем кнопку Пуск и Рабочий стол

Пример программы, которая скрывает кнопку Пуск (вместе с панелью задач) и рабочий стол.
Чтобы от панели задач не оставалась «дырка» в окне Windows, включите ее (панели задач) автоскрытие.

Компилятор – Delphi 6.
Имя файла – HideStartButton.dpr.

Скомпилированные примеры кода приведены в конце этой статьи.

Блокируем окна «Открыть» и «Сохранить как», а также меню Пуск

Пример программы, которая блокирует окна «Открыть» и «Сохранить как», а также запрещает открытие меню кнопки Пуск по нажатию Ctrl-Esc и кнопки Windows.

Компилятор – Delphi 6.
Имя файла – HookCreateWindow.dpr.

Скомпилированные примеры кода приведены в конце этой статьи.

Автозапуск примеров

Автозапуск примеров из меню "Пуск-Программы-Автозагрузка" может быть отключен Темным пользователем удерживанием при старте клавиши Shift. Поэтому, автозапуск необходимо поместить "поглубже" в реестр.

Для их автозапуска для всех пользователей -

(однако, будьте с этим осторожны, чтобы не заблокировать все себе).

Ключ /i отключает окна с вопросами и заставляет программу "заснуть".

Это не самый лучший способ оставить программу в памяти, но он работает (не хотелось усложнять примеры). Другой вариант сделать то же самое - запустить их как службу (если вы, конечно, знаете, как это проделать).

Автозапуск примеров для текущего пользователя

Блокируем нажатия Windows-E и Windows-R

Они открывают, соответственно, проводник и окно «Запуск программы», которые позволят Темному Пользователю сделать свое черное дело.
Ключ реестра NoWinKeys блокирует горячие клавиши Windows:

Отключение запуска диспетчера задач по Ctrl-Alt-Del

Еще одна лазейка для Темного Пользователя.
Ключ реестра DisableTaskMgr блокирует диспетчер задач:

Блокируем изменение программных файлов 1С:Предприятие

Патчинг программных файлов 1С:Предприятие позволяет исключить проверки паролей на файл метаданных, на внешние отчеты и обработки и на пользовательский сеанс 1С:Предприятие (фактически, пользователь может заходить под любой учетной записью, не указывая пароль).

Чтобы заблокировать вход с непредусмотренных программных файлов 1С:Предприятие, можно проверять при старте системы значение КаталогПрограммы(). Данный каталог необходимо разместить на сервере и защитить от изменения пользователями. Если каталог программы отличается от требуемого, то необходимо завершать пользовательский сеанс (возможно, с отправкой уведомления администратору).

При терминальном доступе данной проблемы не существует (конечно, при условии, что права терминального пользователя не позволяют ему патчить программные файлы).

Если с программой 1С работает большое число людей, то периодически приходится отслеживать операции, совершенные сотрудниками. Благо вышеуказанная утилита позволяет выполнять подобные операции. Ведь ее разработчики создали особый инструмент, который записывает изменения, появляющиеся при редактировании документов. Он называется журнал регистрации. Что дает возможность посмотреть, кем делались правки, какие недочеты исправлены.

Где находится журнал регистрации ошибок в 1С?

Проверять работу коллег можно разными методами. Например, для этого используется меню «Администрирование». Именно оно содержит пункт «Обслуживание», перейдя в которое пользователь обнаружит «Журнал регистрации»:

Также можно зайти из общего меню, воспользовавшись опцией «Все функции»:

Вдобавок открыть вышеупомянутый журнал можно из конфигуратора. Достаточно перейти на вкладку «Администрирование», пролистать пункты, найти «Журнал регистрации»:

Но намного разумнее использовать функцию «Избранное». Что ускорит нахождение (открытие) журнала. Поэтому данную опцию рекомендуется использовать при частых проверках действий сотрудников.

Кстати, файл с записанными данными может располагаться в каталоге «1Cv8Log» или отдельной папке на сервере. Это зависит оттого, какой тип баз используется. Первое обычно характерно для файловых систем. Второе – для клиент-серверных баз.

Как открыть журнал регистраций в 1С?

Чтобы отслеживать действия сотрудников недостаточно найти вышеупомянутый журнал, его нужно открыть. Сделать подобное несложно, но иногда он оказывается внушительных размеров. Из-за чего 1С показывает не все записи, а несколько последних. Понятно, что при таком подходе ничего проверить не удастся. Поэтому данную проблему следует незамедлительно устранить, выставив правильные фильтры.

Кстати, сверху устанавливается интервал (период), за который необходимо просмотреть информацию. Слева отмечаются события, имеющие особую важность (представляющие повышенный интерес). А справа можно выбрать следующие данные:

• Список событий;
• Перечень пользователей;
• Приложения;
• Компьютеры;
• Завершенные сеансы.

А вот в разделе «Данные» обычно выставляется список документов, которые нужно отслеживать. В «Транзакциях» можно просматривать записанные операции. Пункт «Прочие» позволяет искать информацию по серверам.

Как выключить журнал регистраций?

Ведение журнала требует много системных ресурсов. Поэтому некоторые организации стараются его отключить. Конечно, это не совсем верное решение. Поскольку тогда невозможно отслеживать правки, ошибки, сбои. Но если сервер не обладает достаточной мощностью, приходится поступать именно так. Благо выключить опцию несложно.

Для чего необходимо предоставить пользователю монопольный режим, перейти в конфигуратор. В нем следует выбрать меню «Администрирование» и пункт «Настройка журнала регистрации».

Затем придется отыскать опцию «Не регистрировать», нажать ее, подтвердить решение. После сделанных манипуляций запись исправлений, изменений, правок остановится.

Как выгрузить журнал регистраций

Данная функция будет полезна в тех случаях, когда сервер недостаточно мощный. Поскольку она меньше нагружает компьютер. Именно поэтому администраторы некоторых организаций предпочитают работать в таком формате. Ведь чтобы выполнить выгрузку журнала необходимо сформировать отчет и нажать соответствующую кнопку в интерфейсе 1С.

Также проверять полученные данные можно при помощи специальной консоли. Обычно она находится на установочном диске. Если у администратора нет доступа к нему, разумно воспользоваться интернетом, посетив официальный сайт разработчика программы.

Как восстановить журнал регистраций

Если оборудование, программное обеспечение или сам журнал работает некорректно, приходится выполнять восстановление данных. В большинстве случае помогает простой перенос содержимого папки 1Cv8Log в другой каталог ИБ. Иначе нужно обращаться к логам и искать причину возникших проблем.

Как правило, они образуются после неквалифицированного вмешательства в работу 1С, попыток оптимизировать размер журнала, неправильных настроек. Поэтому желательно регулярно делать копию ИБ, да и все восстановительные мероприятия должен проводить опытный специалист.

Как сократить журнал регистраций?

Даже располагая мощным сервером и запасом места на диске, необходимо оптимизировать объем журнала. Иначе уже через пару лет он разрастется до внушительных размеров. Но делать это нужно аккуратно и через конфигуратор.

Для начала следует отыскать опцию «Настройка журнала регистрации», которая расположена в меню «Администрирование»:

Затем необходимо выполнить приведенную ниже инструкцию:

• Удаляем данные, которые устарели и не нужны;
• Устанавливаем период разделения журнала. Оптимально выставлять значение «День». Это позволит перемещать или архивировать неактуальные сведения без лишних усилий.

Как выполнить очистку журнала регистраций?

Администратору поможет кнопка «Сократить». Достаточно открыть конфигуратор, применить инструкцию, размещенную чуть выше. Что позволит моментально очистить журнал. Хотя стоит сказать, что данный способ неединственный.

Опытные пользователи могут открыть папку 1Cv8Log, найти нужные файлы, удалить их вручную. Однако тут надо быть аккуратным. Иначе нарушится работа 1С. Поэтому перед очисткой рекомендуется выполнить архивирование журнала.

Как добавить программно запись в журнал?

Иногда требуется записать в текущий журнал не только действия сотрудников, но и иные значимые события. Сделать это можно при помощи специальных команд, встроенных в функционал 1С. Для чего отлично подойдет опция «ЗаписьЖурналаРегистрации()» с набором параметров:

После ввода определенных комбинаций, программа начнет записывать десятки фоновых задач, работу коллег, собственные ошибки (сбои). Поэтому администратору больше не придется неотрывно сидеть за монитором. Достаточно периодически проверять журнал регистрации.

Как вернуть старый формат журнала регистраций?

Необходимость возврата к старой версии журнала может появиться, если сервер слабый. Ведь пользователи со временем обязательно начнут замечать, что обновленная программа 1С работает медленнее. А все из-за наличия файла lgd в каталоге 1Cv8Log, но огорчаться не стоит.

Вернуть старый формат не проблема. Достаточно выполнить следующие действия:

1. Отыскать, открыть 1Cv8Log;
2. Удалить скопившиеся файлы;
3. Создать файл типа 1Cv8.lgf.

Кстати, вышеупомянутую инструкцию необходимо проделывать для каждой имеющейся базы отдельно.

Как перенести журнал регистраций в отдельную базу?

Такая необходимость возникает, например, при переносе информационной базы с одного компьютера на другой. Если вместе с ней не переместить журнал регистраций, то в дальнейшем записанные данные будет невозможно проверить. Придется полностью очищать журнал. А это означает, что сведения удалятся безвозвратно.

Конечно, перенос 1Cv9Log тоже имеет нюансы. Например, при файловом варианте достаточно скопировать вышеуказанный объект и добавить его в соответствующую директорию на новом сервере. Это самый простой способ.

В случае если используется клиент-серверная база, придется немного повозиться. Сначала необходимо отыскать на сервере 1Cv8Reg, затем открыть этот файл. В нем следует вписать правильный идентификатор ИБ (с указанием ID), сохранить изменения. Только после выполнения данных действий папку 1Cv8Log можно перетаскивать в новую директорию.

Хотя если сделать что-то не получается, лучше обратиться к специалистам 1С, заказав соответствующую услугу. Это позволит оперативно устранить неисправность, сбой, проблему. А также сэкономит нервы и деньги. Ведь доработка 1С стоит недорого.

Читайте также: