1с обсуждения пользователь не авторизован

Обновлено: 06.07.2024

По хорошему при серьезном подходе к автоматизации нужно запрещать неавторизованный вход в программу.
Исключение могут составлять крайне редкие случаи, например, демо-версия конфигурации или конфигурация публичного пользования.

Но как правило, наряду с заведением пользователей в конфигураторе имеет смысл сделать в конфигурации справочник "Пользователи", в котором хранить пользователей, соответствующих пользователям в конфигураторе.
Это дает возможность некоторых вещей, например привязки к пользователю некоторых прав, которыми нельзя управлять с помощью метаданного "Роль", построение системы ограничения прав RLS, привязанной к текущему пользователю, сохранение в справочниках и документах информации об авторах объектов, индивидуальные особенности интерфейса, настроек отчетов, событий и т. д.

Итак. Для выполнения этой задачи в конфигурации требуется сделать нижеперечисленные настройки.

Добавляем в конфигурацию план обмена "РаспределенныеБазы".

Добавляем в конфигурацию иерархический справочник "Пользователи", подчиненный плану обмена "РаспределенныеБазы".

Добавляем в конфигурацию параметр сеанса "ТекущийПользователь" типа "СправочникСсылка.Пользователи".

Добавляем в конфигурацию параметр сеанса "ТекущийУзелРаспределеннойБазы" типа "ПланОбменаСсылка.РаспределенныеБазы".

Добавляем в конфигурацию константу "ЗапретитьЗапускПрограммыНовымПользователям" типа "Булево".

В модуль приложения в процедуру ПередНачаломРаботыСистемы() вставляем код

В модуль внешнего соединения в процедуру ПриНачалеРаботыСистемы() вставляем код

В модуль сеанса, в котором фирма "1С" рекомендует устанавливать параметры сеанса, в процедуру УстановкаПараметровСеанса() вставляем код

Туда же (в модуль сеанса) вставляем процедуру глУстановитьПараметрСеансаТекущийПользователь() и функцию глЕстьДействующиеПользователи()

Собственно все. Теперь программа не запустится, если список пользователей в конфигураторе пустой.

И напоследок немного по логике работы.

Параметр сеанса "ТекущийПользователь" вместо комбинации двух одноименных экспортных переменных "глТекущийПользователь" в модуле приложения и модуле внешнего соединения выбран потому, что к нему можно привяхать RLS, а к глобальной переменной нет.

Константа "ЗапретитьЗапускПрограммыНовымПользователям" создана для того, чтобы при необходимости запретить автоматически программно создавать новых пользователей в справочнике "Пользователи". Может пригодиться в принципе кому-нибудь.

В модуле внешнего соединения проверка авторизованности пользователя выполняется в процедуре ПриНачалеРаботыСистемы(), а не в процедуре ПередНачаломРаботыСистемы() потому, что в модуле внешнего соединения нет события ПередНачаломРаботыСистемы().
Именно поэтому отказаться от запуска программы уже нельзя, но. нужно, поэтому вызываем исключение с заданным текстом ошибки.

В сегодняшней статье я расскажу об уязвимостях сервера 1С в корпоративной сети.

Как показала практика, в инсталляциях с 1С все допускают одни и те же ошибки разной степени серьезности. Я не буду касаться очевидных вещей вроде установки обновлений, но пройдусь по специфике работы сервера приложений под Windows. Например, по возможности бесконтрольно манипулировать базами Microsoft SQL с помощью инструментов 1С.

Исторически так сложилось, что редко когда системные администраторы и программисты 1С работают как одна команда. Чаще всего специалисты по 1С не вникают в тонкости системного администрирования, а сисадмины не стремятся постичь нюансы работы 1С.

И получается инфраструктура с «детскими болячками», очевидными для специалиста по ИБ ― ниже привожу личный ТОП таких проблем.

По умолчанию платформа 1С при установке создает специальную учетную запись с ограниченными правами, под которой работают службы сервера ― USR1CV8. Все идет хорошо, до тех пор пока не становятся нужны ресурсы сети: например, для автоматических выгрузок-загрузок. Учетная запись по умолчанию не имеет доступа на сетевые папки домена, поскольку является локальной.

В своей практике я встречал множество способов решения этой задачи: папки с доступом на запись для группы «Все», сервер 1С под учетной записью с правами администратора домена, явно прописанные в коде учетные данные для подключения сетевого ресурса. Даже запуск сервера 1С под пользовательской сессией как обычное приложение.

Заходим на сервер по RDP, видим такое окно и получаем нервный тик.

Конечно, «захардкоженые» пароли и сетевые ресурсы с анонимным доступом на запись встречаются редко. В отличие от работы сервера 1С из-под обычной доменной учетной записи. Разумеется, с возможностью выполнить произвольный код «на сервере».

Как известно любому 1С-нику, но не любому системному администратору, в обработках 1С есть два режима выполнения процедур: на сервере и на клиенте. Запущенная в «серверном» режиме процедура будет выполнена под учетной записью службы сервера приложений. Со всеми ее правами.

Если сервер 1С работает с правами администратора домена, то потенциальный вредитель сможет сделать с доменом что угодно. Разумным выходом станет создание специальной учетной записи ― по мотивам USR1CV8, только уже в домене. В частности, ей стоит разрешить вход только на определенные серверы в оснастке «Пользователи и Компьютеры Active Directory».

Настройка входа только на разрешенные серверы.

Не лишним будет и разрешить вход на сервер только в качестве службы, отключив возможность локального (интерактивного) входа в систему. Сделать это можно через локальные политики безопасности непосредственно на сервере, либо с помощью доменных групповых политик.

Назначение прав пользователя в локальной политике безопасности.

Все то же самое касается и учетной записи сервера Microsoft SQL. Седых волос может прибавиться от вредных привычек:

запускать SQL с правами администратора компьютера или даже домена для удобного резервного копирования;
включать возможность запуска исполняемых команд через хранимую процедуру xp_cmdshell для переноса резервных копий на сетевые ресурсы через красивые планы обслуживания.

Регулярно в практике встречается подключение баз данных к серверу 1С под пользователем «SA» (суперпользователь в SQL). Вообще, это не так страшно как звучит, ведь пароль от SA захэширован в файле 1CV8Reg.lst на сервере приложений. Хэш злоумышленник получить гипотетически может ― не забываем про права учетной записи сервера ― но расшифровка окажется долгой, особенно если использовать брутфорс.

Но все же не лишним будет настроить аудит доступа к этому файлу с уведомлением ответственных лиц.

Другое дело, когда программистам 1С «делегируют» обязанности DBA. Опять же, из личного опыта: сервер SQL был в зоне ответственности программистов, как и интеграция внешнего сайта с базами 1С. Итогом был пароль SA в скриптах сайта.

Для собственного успокоения стоит поставить на SA сложный пароль или вовсе деактивировать эту учетную запись. На SQL тогда нужно включить доменную аутентификацию для управления и создать для 1С отдельное имя входа с правами на необходимые базы.

Если вы не хотите оставить возможность создавать базы SQL через интерфейс 1С, то новому пользователю хватит общей роли public и db_owner непосредственно в базе 1С.

Это можно проделать через Management Studio или простым скриптом T-SQL:

Правам пользователей в 1С почему-то мало кто уделяет внимание. А ведь пользователь с правами «Административные функции» или «Администрирование» запросто выгрузит базу в .DT через конфигуратор и унесет домой ― это подарит не одно мгновение волнительного счастья вашему руководству. Поэтому стоит поймать на рюмочку чая 1С-ника и посидеть совместно над базой, чтобы узнать, какие пользователи имеют подобные права. А заодно ― чем грозит понижение их полномочий.

Право выгрузить базу у роли Полные Права в типовой 1С: Бухгалтерии 2.0.

Следующий важный момент ― запуск внешних обработок. Как мы помним, в 1С можно запускать код с правами учетной записи сервера. Хорошо, если она не имеет административных прав на систему, но все равно стоит исключить возможность запуска подобных обработок для пользователей. И не забудьте попросить специалиста по 1С «встраивать» дополнительные отчеты и обработки в базу. Хотя не во всех обработках поддерживается встраивание ― эта возможность зависит от версии 1С.

Проверить, какие типовые роли не имеют прав на открытие внешних обработок, можно в конфигураторе.

Все эти действия не только помогут защититься от потенциального «внутреннего вредителя», но и станут дополнительной преградой на пути вирусов-шифровальщиков, маскирующихся под обработки 1С.

Если все же необходим запуск внешних обработок, то неплохим вариантом контроля и подстраховки будет аудит их запуска. Штатного механизма аудита у 1С пока нет, но в сообществе уже придумали несколько обходных маневров. Внедрять эти механизмы стоит в паре со специалистом 1С, также как и настраивать уведомления о событиях в журнале регистраций базы.

Отдельно отмечу возможность настройки доменной аутентификации пользователей вместо аутентификации 1С. И пользователям будет удобнее ― меньше паролей в их памяти снижает риск появления стикеров на мониторе.

Итак, пользователи теперь не могут запускать обработки, учетная запись сервера максимально ограничена. Но есть и еще кое-что: учетная запись администратора кластера 1С, которая не создается по умолчанию.

Ее отсутствие опасно: любой человек с ноутбуком при открытом доступе к сетевым портам сервера (по умолчанию это TCP:1540) может создать там свою базу, и ограничений на запуск обработок не будет. А еще злодей сможет получить информацию по базам данных, по работающим пользователям, изменить параметры кластера и даже принудительно завершить работу определенных пользователей.

Пример скрипта на PowerShell, изгоняющего всех пользователей изо всех баз сервера:

Использование подобного способа работы с сервером 1С в благих целях уже упоминалось в одной из предыдущих статей.

Создать администратора кластера не просто, а очень просто ― достаточно щелкнуть правой кнопкой на пункте «администраторы» в управлении кластером 1С, создать нового администратора, задав логин и пароль.

Создание администратора кластера 1С.

Я коснулся лишь части недоработок при настройке 1С: Предприятия. Для самостоятельного изучения рекомендую почитать до сих пор не потерявшие актуальность материалы:

Поделитесь в комментариях своими нестандартными решениями и курьезами при работе с системой 1С: Предприятие.

Описанная ситуация требует проверки:

наличия подключаемого пользователя в справочнике Пользователи ;
даты регистрации сервиса Обсуждения;
работы пользователя в 1С после регистрации сервиса Обсуждения .

В качестве участников обсуждения можно добавить только тех пользователей, которые работали с информационной базой после ее регистрации на сервере взаимодействия.

Наличие подключаемого пользователя в справочнике «Пользователи»

Проверьте наличие подключаемого к обсуждению пользователя в справочнике Пользователи : раздел Администрирование — Настройки программы — Настройки пользователей и прав — ссылка Пользователи .

Возможно, пользователя Рома в справочнике нет или он введен в программу иначе, например, Иванов Роман. Если это так, введите наименование пользователя в поисковой строке правильно.

Определение даты регистрации сервиса Обсуждения

Дату регистрации сервиса можно посмотреть в электронной почте того, кто регистрировал сервис Обсуждения. Письмо от имени 1С:Диалог ИТ о регистрации с кодом доступа для подключения сервиса.

Дата регистрации сервиса Обсуждения — 15 мая 2019 г.

Проверка работы в 1С подключаемого пользователя после регистрации сервиса

Для проверки работы в 1С подключаемого пользователя нужно открыть Журнал регистрации : раздел Администрирование — Настройки программы — Обслуживание — ссылка Журнал регистрации — кнопка Установить отбор :

После применения настроек по кнопке Применить и закрыть в окне просмотра будет отражены действия пользователя за данный период.

После выхода из отпуска, когда он начнет работать в базе, указанного пользователя можно будет включать в список участников обсуждения.

См. также:

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе БухЭксперт8 на 14 дней бесплатно

Карточка публикации

(3 оценок, среднее: 5,00 из 5)

Данную публикацию можно обсудить в комментариях ниже.
Обратите внимание! В комментариях наши кураторы не отвечают на вопросы по программам 1С и законодательству.
Задать вопрос нашим специалистам можно по ссылке >>

Все комментарии (1)

Спасибо большое! Как всегда все понятно и доходчиво!

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Вы можете задать еще вопросов

Доступ к форме "Задать вопрос" возможен только при оформлении полной подписки на БухЭксперт8

Вы можете оформить заявку от имени Юр. или Физ. лица Оформить заявку

Нажимая кнопку "Задать вопрос", я соглашаюсь с
регламентом БухЭксперт8.ру >>

Как не попасть в ловушку, работая с контрагентами из ЕАЭС

[17.11.2021 запись] Практический переход на ФСБУ 6 и ФСБУ 26 в 1С

Переход на ФСБУ 6/2020 «Основные средства» в 1С по альтернативному алгоритму

Изменения в 2021 году, о которых нужно знать бухгалтеру

[11.10.2021 запись] Учет ОС по-новому: ФСБУ 6/2020, ФСБУ 26/2020, ФСБУ 25/2018

[29.10.2021 запись] Пообъектный учет ОС и подходы к определению и пересмотру СПИ

В данной публикации рассмотрен новый инструмент работы в 1С — сервис Обсуждения , который позволит внутри программы связываться пользователям онлайн, обсуждать рабочие моменты по документам, отчетам, справочникам и общаться на свободные темы.

Разработчики делают все, чтобы нам с вами было удобно работать в программе, а 1С стала самодостаточным инструментом и для работы, и для общения, и даже для отдыха!

Назначение сервиса Обсуждения

С выходом Платформы 8.3.18 в ноябре 2020 возможности сервиса Обсуждения расширены:

Для использования сервиса требуется подключение к сети Интернет. Рассмотрим подробно возможности сервиса, варианты его настройки и примеры использования:

Настройка сервиса Обсуждения

Даже пользователи, не подключенные к интернет-поддержке, смогут пользоваться этим классным инструментом, выполнив небольшую настройку в программе.

Настройка сервиса Обсуждения .

Шаг 2. В отрывшейся форме настройки укажите электронный адрес почты.

Доступ к электронной почте должен быть у того, кто настраивает сервис Обсуждения . На этот электронный адрес приходит Код регистрации .

Подключение может выполняться через:

сервер 1С:Диалог (рекомендуется);
локальный сервер взаимодействия 1С.

БухЭксперт8 рекомендует использовать подключение к сервису Обсуждения через 1С:Диалог .

1С:Сервер взаимодействия ;
Java 8+ (64-bit) ;
PostgreSQL 9.5+ ;
Ring .

Шаг 3. После получения Кода регистрации укажите его в форме подключения сервиса.

Шаг 4. Завершение регистрации выполните по кнопке Зарегистрироваться .

Подключенный сервис Обсуждения выглядит следующим образом.

Центр оповещений

После настройки сервиса Обсуждения на панели инструментов 1С появляется новая кнопка (иконка «колокольчик»), которая работает как Центр оповещений .

В Центре оповещений отображаются уведомления, на которые пользователю необходимо отреагировать:

Центр оповещений позволяет:

переключаться по темам обсуждения;
очищать старые оповещения в форме, чтобы они не накапливались.

Как из Центра оповещений перейти к обсуждению темы?

Переход зависит от вашего участия в обсуждении темы.

Настройка сервиса

Настройка сервиса Обсуждения делится на настройку пользователем получения уведомлений в 1С и настройку оборудования по кнопке настройки (иконка «шестеренка»).

Порядок получения уведомлений настраивается по кнопке «колокольчик»:

Варианты получения уведомлений предопределены:

Техническая часть настройки сервиса выполняется по специальной кнопке «шестеренка».

Внутри формы настраиваются:

Разработчиками предусмотрено получение уведомлений и при незапущенной 1С! Для этого в форме настройки по ссылке установить на компьютер ставится специальное приложение 1С:Оповещение и запуск .

После установки и запуска приложения оповещения будут приходить пользователям даже при отключенной 1С.

Как начать обсуждение

Пошаговая инструкция создания новой темы обсуждения:

Шаг 1. На панели инструментов вызовите форму Обсуждения одним из способов:

Шаг 2. В открывшемся окне оповещений нажмите кнопку + Новое .

Если в поле Поиск по темам и пользователям набрать новую тему обсуждения и нажать на кнопку + Новое — тема не сохранится. Ее придется набирать заново, поэтому предварительно это поле не заполняем.

Шаг 3. В открывшейся форме введите тему обсуждения в поле Тема . В списке Участники добавьте пользователей.

Ввод новых пользователей осуществляется вручную в поле Введите имя участника . Поиск пользователя начинается сразу за вводом пользователя в строке. Участники обсуждения отображаются по наименованию пользователя, введенному в программу.

Данный шаг следует повторить для каждого добавляемого участника обсуждения.

Посмотреть активных пользователей можно в разделе Администрирование — Обслуживание — ссылка Активные пользователи .

Шаг 4. После заполнения темы и участников обсуждения нажмите на кнопку ОК .

Можно переходить к обсуждению темы.

Как происходит обсуждение

После создания темы рабочая часть окна Обсуждения будет поделена на 3 части:

Для отправки информации выбранным пользователям нажмите кнопку «самолетик».

Навигация в обсуждении

По завершению обсуждения можно сделать отметку о закрытии темы, изменив название: Новогодний корпоратив. (закрыта): кнопка Еще — Изменить тему .

После нажатия на кнопку OK название темы отобразится с учетом внесенных изменений.

По команде Покинуть обсуждение можно выйти из темы. Участник, покинувший тему, больше не будет видеть ее в 1С, но сама тема бессрочно сохраняется на сервере взаимодействия.

Удобной командой навигации является также команда Получить ссылку : ссылку на обсуждаемую тему можно передать пользователям по электронной почте.

В удобное для них время по указанной ссылке они войдут в тему и примут участие в обсуждении.

Добавление участников обсуждения

Добавить новых участников обсуждения можно по специальной кнопке.

В открывшейся форме для добавления нового участника обсуждения используется стандартная кнопка + (Добавить) .

По первым введенным буквам в строке ввода программа отобразит нужного пользователя для добавления. Также добавить нового участника обсуждения можно из списка пользователей по ссылке Показать все .

Если пользователь не внесен изначально в список, он не может добавить себя в список участников обсуждения темы. Внести его может пользователь, создавший тему, или любой из подключенных участников обсуждения.

Выход из обсуждения

Выйти из обсуждения темы можно по кнопке Еще — Покинуть обсуждение .

Программа попросит подтвердить выход по кнопке Да :

После этого обсуждение будет удалено из Центра оповещений .

Обсуждения, привязанные к документу или справочнику

Как начать обсуждение

Пользователь может создавать обсуждения, привязанные к документу, элементу списка или какому-либо иному объекту данных 1С. Чтобы начать обсуждение, привязанное к объекту, нужно выполнить следующие действия:

Шаг 2. В поле Кого оповестить ведите имя пользователей, к которым обращаетесь.

Поиск пользователя начинается сразу вслед за вводом в строке. Данный шаг следует повторить для каждого добавляемого пользователя (если их несколько).

Как происходит обсуждение

Пошаговая инструкция по ответу на оповещение.

Шаг 1. Войдите в Центр оповещений . При открытии будет доступна ссылка на объект с темой обсуждения.

Шаг 2. Перейдите по указанной ссылке. В форме обсуждения напишите ответ.

Шаг 3. Отправьте ответ по кнопке «самолетик».

После перехода по ссылке Центра оповещений уведомление на оповещение автоматически удаляется.

Добавление участника обсуждения

В форме объекта добавить в список новых участников обсуждения может любой из участников. Для этого в графе Кого оповестить вручную добавляются нужные пользователи.

Главный бухгалтер, Денис Рябчиков и Светлана Добья включены в список участников обсуждения.

Новые возможности сервиса Обсуждения

Новые возможности сервиса стали доступны с Платформы 8.3.18. Все пользователи, кто работает на новых платформах, теперь в сервисе Обсуждения могут делать видеозвонки, обмениваться файлами и картинками в чате обсуждения.

Рассмотрим новые интерфейсные возможности подробнее.

Загрузка фото участников обсуждения

Использование фотографий делает обсуждение более комфортным.

Видеозвонок в обсуждении

На новых платформах для сервиса Обсуждения реализована возможность программно начать видеоконференцию. Для этого предусмотрены специальные команды:

Видеоконференции доступны ;
Получить максимальное количество участников видеоконференции ;
Начать видеоконференцию .

А еще можно устраивать видеозвонки непосредственно по значку «видеокамера».

Максимальное количество одновременных подключений — 10. Для проведения видеозвонков необходимо проверить настройки видео и звука.

Для вставки картинок в обсуждение используется комбинация клавиш Shift+In.

По специальной кнопке Очистить в форме оповещений скрываются все уведомления.

Кнопка Очистить появляется при наличии более 2 оповещений.

1С становится не просто «трудовой повинностью», но и чатом общения, где теперь можно обсудить все производственные и жизненные вопросы:

как отметить корпоратив;
что подарить сотруднику на день рождения;
как распланировать текущие задачи на день и назначить ответственных за них, а также многое другое.

БухЭксперт8 рекомендует использовать сервис Обсуждения всем своим подписчикам.