1С настройки пользователя: Администрирование пользователей 1С: настройка прав, отключение

Настройки пользователя 1с 8.2 — очень удобная функция, которая позволяет сделать программу максимально комфортной в работе. Однако прежде чем сделать это, нужно внести самих пользователей в программу.

Для добавления нового пользователя в 1С Бухгалтерия 8.2 заходим в программу через конфигуратор. В конфигураторе открываем верхнее меню администрирование и выбираем первый пункт «Пользователи». 

Открывается новое окно «Список пользователей». Здесь при помощи пиктограммы «Добавить» (зеленый плюсик) вносим нового пользователя и, если нужно, задаем для пользователя пароль. На закладке «Прочие» выбираем права для пользователя, нажимаем OK. Теперь он есть в списке и для него можно сделать настройки пользователя 1с 8.2. 

Для этого выходим из Конфигуратора и переходим в саму программу 1С Бухгалтерия. Теперь при входе в 1С нам нужно выбрать введенного пользователя и ввести его пароль, если он был задан. Настройки пользователя 1с 8.2 вызываются из верхнего меню «Сервис». Открывается новое окно с именем  пользователя.

Внизу в окне «Настройки»  нажимаем на плюсик на пункте «Основные значения для подстановки в документы». Здесь нам нужно внести основные настройки пользователя 1с 8.2, которые будут подставляться в документы. В данной вкладке указывается:

1. основная валюта взаиморасчетов – устанавливаем рубли
2. основная единица по классификатору – штуки
3. основная организация – нужно установить вашу организацию, если вы ведете учет сразу в нескольких организациях, выбирайте ту, с которой чаще всего работаете
4. основная ставка НДС – выбираем 18%
5. основное подразделение – выбираете подразделение, с которым постоянно работаете
6. основной ответственный – основной пользователь программы
7.  основной склад – нужно выбираете тот склад, который чаще всего будет использоваться на предприятии
8. основной тип цен покупки и продажи – указываются основные цены, по которым будет осуществляться покупка и продажа ценностей.

Далее в панели функций можно выбрать текущую страницу меню, которая будет показываться при запуске. Выбираете ту, с которой чаще всего работаете. Например, если вы бухгалтер по работе с банком, выбирайте закладку «Банк».

Здесь же, в нижней части окна настройки пользователя 1с 8.2, устанавливаются и другие параметры, которые облегчают работу конкретному пользователю.

На второй закладке окна «Адреса и телефоны» можно указать электронный адрес пользователя.

Подобным образом устанавливаются настройки пользователя 1с 8.2 для всех лиц, которые работают с программой.

Администрирование пользователей 1С: настройка прав, отключение

Программные продукты на основе платформы 1С имеют множество функций, как профильных, так и прикладных, то есть административных. Профильный функционал (конечно, в зависимости от предназначения решения) касается таких сфер, как закупка товаров, их продажа, складской, оперативный и управленческий учет, бухгалтерию, CRM, а в случае комплексных решений – и все вместе.

Естественно, что один сотрудник не в состоянии контролировать все бизнес-процессы организации, пусть они даже и автоматизированы. Поэтому администраторам систем 1С приходиться иметь дело с десятками и сотнями пользователей, работающими с определенным функционалом системы. Каждому из них приходится настраивать особые права, чтобы в их распоряжении были одновременно и все, и только нужные им документы, функции и отчеты. И вот тут мы начинаем рассматривать прикладной или административный функционал решений 1С, в который как раз и входит настройка прав доступа пользователей. Стоит отметить, что если работа с любым из видов функционала вызывает вопросы, можно обратиться на линию информационно-технической поддержки и заказать в 1С консультацию.

Настройки пользователя 1С 8.3

За права пользователей в 1С 8.3 отвечают специальные объекты структуры конфигурации – «Роли». В большинстве типовых конфигураций уже есть определенный список созданных стандартных ролей. Ими вы сможете пользоваться при создании учетных записей и настройке прав доступа для них. Если же стандартный набор вам не подходит, то его можно изменить или добавить свои роли.

Рис.1 Роли

Каждому пользователю могут быть назначены несколько ролей, отвечающих за конкретные права. Для того чтобы настроить права пользователей 1С нужно узнать, какие роли у них есть сейчас. Эту информацию можно получить двумя путями:

• 
  Через конфигуратор. Данный вариант подойдет для любых конфигураций;
• 
  В некоторых конфигурациях через режим «Предприятие».

Запускайте конфигуратор вашей базы 1С под именем пользователя с полными правами и откройте меню «Администрирование» -> «Пользователи». Чтобы узнать права у конкретного пользователя, необходимо нажать на строчку с его фамилией двойным кликом и перейти на вкладку «Прочие». Галочкой будут отмечены те роли, которые доступны пользователю. Чтобы добавить определенную роль или убрать ее, измените отметки и нажмите «ОК».

Рис.2 Как узнать права у конкретного пользователя
Рис.3 Роли доступные пользователю

Если после анализа вы поняли, что стандартные роли не смогут полностью удовлетворить требования к разграничению прав, то необходимо их изменить. Для этого найдите нужную роль в дереве конфигурации и откройте ее двойным щелчком. В левой части открывшегося окна вы увидите перечень всех объектов конфигурации. В правой части галками отмечены те действия, права на которые заложены в этой роли, применительно к выбранному объекту слева.

Рис.4 Изменение ролей

Вы можете не только давать и убирать разрешения на определенные действия с объектами конфигурации, ставя и снимая галки. Помимо этого в платформу 1С встроен очень удобный механизм, отвечающий за ограничение прав пользователей на уровне записей – RLS. Он позволяет задавать условие, только при выполнении которого пользователь будет видеть данные информационной базы. С помощью RLS права пользователей в 1С 8.3 могут быть настроены так, что, например, каждый конкретный кладовщик будет видеть информацию только по своему складу.

Еще один способ добавить права на какой-либо объект пользователю, не изменяя стандартные роли – создать новую роль. Для этого нажмите на кнопку «Добавить», находясь в ветке конфигурации «Роли», и назовите новый объект. В открывшемся окне слева найдите нужные объекты конфигурации, а справа установите нужные права и ограничения. После сохранения новой роли необходимо обновить конфигурацию, зайти в список пользователей и добавить новую роль определенным пользователям.

Операции с пользователями в 1С

Созданием пользователей и раздачей прав ответственность администратора информационной базы 1С не ограничивается. Сотрудники могут меняться, обязанности перераспределяться, и на все эти изменения администраторы должны быстро реагировать. Если сотрудник, выполнявший определенные функции в 1С, уволился, то необходимо отключить пользователя 1С, чтобы бывшие коллеги не пользовались учетной записью. В этом нам поможет список пользователей, который можно открыть в конфигураторе в меню «Администрирование».

Рис.5 Операции с пользователями в 1С

Открыв настройки пользователя 1С, необходимо снять галки, отвечающие за нахождение имени сотрудника в списке выбора и аутентификацию. Таким образом, вы запретите входить под фамилией ушедшего сотрудника и сохраните настройки прав доступа, на случай, если сотрудник вернется. Также эти настройки пригодятся, если все полномочия передадут новому сотруднику – вам не придется заново настраивать роли.

Полностью удалять пользователя не рекомендуется еще и из-за того, что в системе в различных документах есть ссылки на ответственного пользователя. Если удалить запись, то появятся битые ссылки и недопонимание, кто создал конкретные документы, что может привести к неразберихе. Намного эффективнее отключить пользователя 1С от входа в систему, а в некоторых случаях снять полностью права (роли). Также в некоторых компаниях существует практика помечать неактивных пользователей определенным значком в поле «Имя», например: «*ИвановаТП».

В некоторых случаях администратору 1С может понадобиться срочно «выкинуть» пользователей из базы 1С. Это можно сделать двумя способами:

1. 
   Через режим «Предприятие» от пользователя с административными правами. Поддерживается не всеми конфигурациями;
2. 
   Через сервер приложений с помощью консоли кластера серверов 1С.

Чтобы воспользоваться первым вариантом, необходимо зайти в «НСИ и администрирование», открыть «Обслуживание» и запустить форму «Активные пользователи». Мы увидим перечень активных пользователей и сверху кнопку «Завершить», нажатие на которую позволит принудительно завершить сеансы пользователей. Кроме этого, в этом перечне можно увидеть имя компьютера и время начала работы, что поможет отследить зависшие сеансы.

Рис.6 НСИ и администрирование

Второй вариант отключения активных пользователей требует большего внимания и ответственности, так как чаще всего консоль кластера размещают на сервере приложений. Если у вас есть доступ к этой панели управления сервером, то завершить сеанс пользователя можно следующим путем:

1. 
   Открываем консоль кластера;
2. 
   Проходим в список информационных баз и открываем сеансы нужной нам;
3. 
   Находим в списке нужного пользователя;
4. 
   Вызываем контекстное меню, нажатием правой кнопки мыши, там будет функция – «Удалить».

Рис.7 Второй вариант отключения активных пользователей

В платформе 1С разработчиками заложен удобный механизм настройки прав и управления пользователями. Поэтому описанные возможности доступны владельцам всех конфигураций, даже написанных самостоятельно. Еще одним преимуществом является нетребовательность к наличию глубоких знаний системы 1С. Любой ответственный и внимательный администратор в состоянии справиться с этими операциями, а в случае возникновения вопросов получить консультации в рамках сопровождения 1С.

Настройка 1C 8.3

08.01.2019

Вопрос с правами доступа возникает в связи с необходимостью ограничить права пользователя в 1С (или группы пользователей), что подразумевает под собой запрет на совершение каких-либо действий с определенными объектами, например, их просмотр, запись, редактирование и т.д. Или, наоборот – из-за необходимости дать (расширить) права пользователей в 1С, что в реальности чаще всего следует за сообщением системы о нарушении прав доступа (например, недостаточно прав для просмотра) и обращением пользователя в техническую поддержку 1С с просьбой об этом.

Для того чтобы разграничить права доступа, в 1С 8.3 существуют специальные объекты конфигурации – роли. По сути роль – это метаданные, разнообразие и количество которых зависит от конфигурации. Как правило, ролей довольно много и в них легко запутаться. Стоит помнить, что одна лишняя назначенная роль может открыть доступ к объектам нежелательным пользователям.

Права доступа в 1С на примере Бухгалтерии государственного учреждения ред.2.0

Чтобы внести коррективы в правила доступа и изменить права на просмотр того или иного раздела или на любое другое действие, необходимо зайти в «Настройки пользователей и прав», что можно сделать при включенном пользовательском режиме на вкладке «Администрирование».

Для создания пользователя либо его настройки необходимо перейти по одноименной гиперссылке «Пользователи» на вкладке «Настройки пользователей и прав».

В данном окне настроек заводятся основные представления пользователя в интерфейсе программы 1С, назначаются разрешения и пароли для входа в пользовательский режим 1С: Предприятия 8.3.

Основные роли в программе настраиваются в конфигураторе, но для удобства в 1С реализован механизм «Профилей групп доступа». Для назначения групп доступа, к которым будет относиться конкретный пользователь необходимо в справочнике «Пользователи» открыть карточку сотрудника и перейти по гиперссылке «Права доступа».

Перед вами откроется список записей справочника «Профили групп доступа». Флажками отмечаются те, права которых пользователю будут доступны.

Так же, если в программе ведется учет по нескольким организациям имеется возможность ограничить доступ на уровне записей. Это расширенная настройка, позволяющая максимально гибко настраивать права доступа к справочникам, документам и другим данным программы 1С в предусмотренных разрезах. Для ее включения необходимо перейти в раздел «Администрирование» – «Настройки пользователей и прав» и в поле «Ограничивать доступ на уровне записей» поставить флажок. Так же, для объединения пользователей в группы, назначения прав по группам пользователей, выполняющих однотипные функции, необходимо поставить флажок в поле «Расширенная настройка прав доступа».

После включения данных флажков в программе, в справочнике пользователя изменится интерфейс и настройки Прав доступа по одноименной гиперссылке «Права доступа».

В группы доступа входят определенные пользователи, а самим группам соответствуют профили групп доступа, которые объединяют роли. Для их настроек необходимо перейти в «Администрирование» – «Настройки пользователей и прав» – «Профили групп доступа». Перед нами откроется окно справочника «Профили групп доступа», где мы можем настроить уже имеющиеся записи, либо создать новые. Справочник профилей групп доступа содержит в себе перечень ролей, который будет доступен пользователю при его назначении. Доступные роли профиля отмечаются флагами.

Далее для разграничения доступа на уровне записей необходимо перейти на вкладку «Ограничение доступа» и настроить ограничения по видам и значениям доступа.

Описание прав пользователей доступно на вкладке «Описание» у предопределенных профилей групп доступа, если же группа доступа создается, становится доступным окно «Комментарии», где пользователь описывает назначение данной группы.

В программе реализован механизм Персональной настройки пользователей – копирование пользовательских настроек между учетными записями, управление настройками отчетов, внешнего вида программы и прочими настройками, а так удаление настроек у всех или выбранных пользователей. Данные настройки можно произвести, перейдя в «Администрирование» – «Настройки пользователей и прав» — «Копирование настроек», «Настройки пользователей», «Очистка настроек».

Так же, в программе 1С реализован механизм позволяющий установить запрет изменения данных прошлых периодов. Данные настройки можно произвести, перейдя в «Администрирование» – «Настройки пользователей и прав». После установки флажка в поле Дата запрета изменения станет активна гиперссылка «Настроить».

Перейдя по данной гиперссылке, мы попадем в окно настроек «Даты запрета изменения данных».  В данном окне есть возможность отключения даты запрета, установка общей даты для всех пользователей и отдельно по каждому пользователю. Так же, есть возможность выбора способа указания даты запрета: по разделам, разделам и объектам, и общей дате.

В разных конфигурациях 1С интерфейс настройки прав может меняться, но суть одна и та же!

Настройка ролей в конфигураторе (для программистов 1С)

Для того чтобы добавить или настроить роли в конфигуратор, в первую очередь необходимо снять конфигурацию с поддержки для возможности редактирования и добавления ролей, либо воспользоваться механизмом расширения конфигурации 1С.

В ролях указывается, какие объекты и при каких условиях будут доступны пользователю, которому они доступны. Откройте любую роль, и вы увидите две вкладки: «Права» и «Шаблоны ограничений».

На первой вкладке отображается список объектов конфигурации и назначенные для данной роли права на них.

При разрешении совершения каких-либо действий с объектом, есть возможность указать ограничение доступа к данным. Данный механизм называется RLS и позволяет настроить права на уровне записей. Он достаточно интересный, но при активном его использовании может снизиться производительность.

В нижней части формы роли можно настроить автоматическую установку прав:

• для новых объектов (разрешающие права)
• на реквизиты и табличные части (права наследуются от объекта – владельца)
• на подчиненные объекты (права назначаются с учетом прав на родительские объекты)

Права можно назначить как на отдельные объекты, так и на всю конфигурацию в целом. В любой роли на вкладке «Права» выберите пункт с названием конфигурации. Справа отобразятся все возможные для нее роли. Здесь содержатся режимы запуска программы, «Все функции», административные и другие права. При нажатии на любое право, внизу отобразится его описание.

В заключение хотелось бы отметить, что фирма 1С в качестве разработчика позаботилась о наличие широких возможностей для администраторов в части редактирования прав в своих программных решениях. И если на первый взгляд эти инструменты могут показаться сложными и избыточными, то в дальнейшем, особенно при попытке построить эффективную схему доступа в условиях многоуровневой, разветвленной структуры персонала на предприятии или в организации, становится ясно, что функционал программы вполне соответствует реальным потребностям.

Настройка пользователей и их прав доступа в 1С:Бухгалтерия 8.3 (редакция 3.0)

Настройка пользователей и их прав доступа в 1С:Бухгалтерия 8.3 (редакция 3.0)

2016-12-01T13:37:17+00:00

Правильная настройка списка пользователей и их прав доступа в базу 1С:Бухгалтерия 8.3 (редакция 3.0) является необходимой при любом количестве людей, работающих с программой. Даже если с ней работаете только вы!

Такая настройка позволяет в дальнейшем ответить на такие вопросы, как «Кто внес те или иные изменения в базу», «Как дать к базе доступ только на просмотр для проверяющего», «Кто позволил помощнику изменить настройки учетной политики» и подобные им.

В третьей редакции такая настройка, на мой взгляд, стала проще и интуитивно понятнее. Сегодня я расскажу, как лучше настроить пользователей и их права. Постараюсь рассмотреть наиболее общий случай.

Итак, будем настраивать следующих пользователей:

• Администратор: пользователь, который обладает полными правами на базу и не имеет никаких ограничений. Не нужно использовать этого пользователя для ежедневной работы. Пароль от администратора следует давать программистам и администраторам, которые нам настраивают или обновляют базу. Так как под этим пользователем будут работать только они — мы в дальнейшем всегда сможем в журнале регистрации отделить их изменения в базе от работы других пользователей. Это бывает полезно в случае «разбора полётов».

• Главный бухгалтер: пользователь, который обладает правами не меньшими, чем администратор, но является самостоятельной ролью со своим паролем. Под этим пользователем будете работать вы сами.

• Бухгалтер: если у вас есть помощники или другие бухгалтеры в подчинении, то этот пользователь подойдет для них. Какие ограничения накладывает эта роль:
  • Запрет на изменение параметров учета.
  • Запрет на изменение учетной политики.
  • Запрет на изменение плана счетов.
  • Запрет на редактирование списка пользователей.
  • Запрет на настройку счетов учета номенклатуры.
  • Запрет на удаление помеченных на удаление элементов.
  • Запрет на смену даты запрета изменения данных.

• Проверяющий: этот пользователь будет обладать только правами на просмотр базы. Ничего менять в ней он не сможет.

Начнём.

Администратор

1. Зайдите в раздел «Администрирование» и выберите там пункт «Настройки пользователей и прав» ( у вас другое меню? ):

2. В открывшейся панели выберите пункт «Пользователи»:

3. По умолчанию, пользователь «Администратор» уже должен быть в этом списке. Сделайте двойной щелчок на нём, чтобы открыть его настройки.

4. Сделайте настройку, как на рисунке ниже. Пароль придумайте сами — его нужно повторить два раза. Обращаю ваше внимание, что у каждого из пользователей должен быть свой пароль. Осталось нажать «Записать и закрыть». Готово!

Главный бухгалтер

1. Вернитесь в список пользователей и нажмите кнопку «Создать» на панели инструментов.

2. Откроется окно с новым пользователем. Укажите настройки как показано ниже, только пароль придумайте свой.

3. Нажмите кнопку «Дискета», чтобы сохранить изменения, а затем кнопку «Права доступа».

4. В окне настройки прав укажите галки рядом с пунктами «Администратор» и «Главный бухгалтер». Осталось нажать кнопку «Записать». Готово!

Бухгалтер

1. Вернитесь в список пользователей и нажмите кнопку «Создать» на панели инструментов.

2. Откроется окно с новым пользователем. Укажите настройки как показано ниже, только пароль придумайте свой.

3. Нажмите кнопку «Дискета», чтобы сохранить изменения, а затем кнопку «Права доступа».

4. В окне настройки прав укажите галки рядом с пунктом «Бухгалтер». Осталось нажать кнопку «Записать». Готово!

Проверяющий

1. Вернитесь в список пользователей и нажмите кнопку «Создать» на панели инструментов.

2. Откроется окно с новым пользователем. Укажите настройки как показано ниже, только пароль придумайте свой.

3. Нажмите кнопку «Дискета», чтобы сохранить изменения, а затем кнопку «Права доступа».

4. В окне настройки прав укажите галки рядом с пунктом «Только просмотр». Осталось нажать кнопку «Записать». Готово!

Мы молодцы, на этом всё 

Кстати, подписывайтесь на новые уроки…  

С уважением, Владимир Милькин (преподаватель школы 1С программистов и разработчик обновлятора).

Как помочь сайту: расскажите (кнопки поделиться ниже) о нём своим друзьям и коллегам. Сделайте это один раз и вы внесете существенный вклад в развитие сайта. На сайте нет рекламы, но чем больше людей им пользуются, тем больше сил у меня для его поддержки.

Нажмите одну из кнопок, чтобы поделиться:

Настройка прав пользователей в 1С 8.3

При работе в 1С важно правильно создать пользователей и задать им нужные права. Рассмотрим, как настраивать пользователей на примере программы 1С:Бухгалтерия предприятия 3.0.

Настройка прав пользователей в 1С 8.3

Для пользователей право доступа 1С настраивается в справочнике Профили групп доступа. Это набор правил, которые в дальнейшем назначаются пользователю.

Для проверки или создания профиля запустите 1С под пользователем с правами администратора и зайдите в меню Администрирование – Настройки программы – Настройки пользователей и прав.

Перейдите по ссылке Профили групп доступа.

В профилях настраиваются роли пользователей, то есть, какие действия они могут делать в базе. По умолчанию в программе уже представлены типовые профили. Например, Администратор, Бухгалтер, Главный бухгалтер и другие. Если откроете любой из этих профилей, то увидите, что изменять их нельзя.

Флажки на вкладке Разрешенные действия (роли) недоступны для редактирования.

Отметим, что имеющихся профилей достаточно в большинстве случаев. Поэтому рекомендуется использовать их, если нет особенностей в работе. При необходимости вы можете самостоятельно добавить профиль.

Для создания нового профиля с нуля нажмите кнопку Создать.

Введите название профиля и установите нужные роли.

Для изменения текущего профиля выделите его, нажмите правой кнопкой мыши, далее — Скопировать (F9).

Скопируются роли выделенного профиля.

Измените название, затем добавьте новые права или уберите ненужные.

При установке ролей часто возникает вопрос: «Базовые права БРО 1С 8.3 — что это?» БРО расшифровывается как Библиотека регламентированной отчетности. Роль используется для работы с отчетностью в 1С.

Создание пользователей через 1С:Предприятие

Пользователи 1С 8.3 создаются в соответствующем справочнике.

Для добавления пользователя нажмите Создать. Для этого требуются права администратора.

Заполните информацию:

1. Введите полное имя пользователя.
2. Выберите физическое лицо и подразделение (необязательно).
3. Установите флажок Вход в программу разрешен.
4. Установите флажок Аутентификация 1С:Предприятия и укажите пароль для пользователя. Подробнее про работу с паролями читайте в статье >>
5. Поставьте флажок Показывать в списке выбора, чтобы пользователь отображался при входе в 1С.

Нажмите кнопку Записать и перейдите по ссылке Права доступа.

Установите для пользователя один или несколько профилей доступа и нажмите Записать.

По кнопке Отчет по правам доступа сформируется отчет со списком разрешенных действий пользователя, а также ограничений.

Настройка пользователей через Конфигуратор

В 1С роли пользователя можно установить и через Конфигуратор. Перед этим пользователя следует создать в режиме 1С:Предприятие. Если создать пользователя сразу через Конфигуратор, при запуске 1С может выйти сообщение:

Для настройки прав откройте меню Администрирование – Пользователи.

Откройте нужного пользователя.

На вкладке Прочие настройте права.

Как настроить доступ пользователей по организациям

Рассмотрим, как сделать так, чтобы пользователи работали только с некоторыми организациями. Для этого в разделе Настройки пользователей и прав установите флажок Ограничивать доступ на уровне записей.

Подтвердите операцию.

В правах доступа пользователя справа укажите список разрешенных либо список запрещенных организаций. В итоге пользователь сможет работать в программе только с некоторыми организациями.

1С настройки пользователя

Для каждого пользователя доступны персональные настройки. Они находятся в меню Главное – Настройки – Персональные настройки.

В открывшемся окне задайте настройки:

• Организацию, Подразделение и Склад для автоматической подстановки в документах;
• рабочую дату;
• отображение счетов учета в документах;
• контроль при выходе из программы;
• настройки электронной почты и другие.

Если одни и те же настройки повторяются для разных пользователей, скопируйте их. Для этого в разделе Настройки пользователей и прав раскройте пункт Персональные настройки пользователей и перейдите по ссылке Копирование настроек.

Выберите пользователя, настройки которого нужно скопировать. Затем укажите, каким пользователям и какие именно настройки копировать. Нажмите кнопку Скопировать и закрыть.

Мы рассмотрели основные настройки прав пользователей 1С.

См. также:

Если Вы еще не подписаны:

Активировать демо-доступ бесплатно →

или

Оформить подписку на Рубрикатор →

После оформления подписки вам станут доступны все материалы по 1С:Бухгалтерия, записи поддерживающих эфиров и вы сможете задавать любые вопросы по 1С.

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе БухЭксперт8 на 14 дней бесплатно

роли доступа и их настройка

Вопрос с правами доступа возникает в связи с необходимостью ограничить права пользователя в 1С (или группы пользователей), что подразумевает под собой запрет на совершение каких-либо действий с определенными объектами, например, их просмотр, запись, редактирование и т.д. Или, наоборот – из-за необходимости дать (расширить) права пользователей в 1С, что в реальности чаще всего следует за сообщением системы о нарушении прав доступа (например, недостаточно прав для просмотра) и обращением пользователя к администраторам с просьбой об этом.

Рис.1 Сообщение о нехватке прав доступа

Чтобы внести коррективы в правила доступа и изменить права на просмотр того или иного раздела или на любое другое действие, необходимо зайти в «Настройки пользователей и прав», что можно сделать при включенном пользовательском режиме на вкладке «Администрирование» (при условии, конечно, что имеются права на это).

Рис.2 Настройки пользователей и прав

Перейдя по ссылке «Пользователи», можно увидеть, кто из пользователей входит в ту или иную группу доступа.

Рис.3 Группа пользователей
Рис.4 Группа пользователей-2

Как уже упоминалось, в группы доступа входят определенные пользователи, а самим группам соответствует профили групп доступа, которые объединяют роли. По сути роль – это метаданные, разнообразие и количество которых зависит от конфигурации. Как правило, ролей довольно много и в них легко запутаться. Стоит помнить, что одна лишняя назначенная роль может открыть доступ к объектам нежелательным пользователям.

Рис.5 Назначение ролей

Описание прав пользователей доступно на вкладке «Описание».

Рис.6 Описание прав пользователей

Роли просматриваются посредством элемента справочника «Пользователи», попасть в который можно по клику на конкретном пользователе.

Рис.7 Просмотр ролей

Здесь же формируется отчет по правам доступа, где отображается статус доступа к конкретным объектам системы.

Рис.8 Отчет по правам доступа

Крайняя правая колонка «Ограничения на уровне записей» – это дополнительные условия, ограничивающие действия с объектами базы данных. По сути это запрос, выполняющийся в момент работы и сообщающий, можно или нельзя работать с объектом.

На скриншоте видно, что документ «Ввод начальных остатков» доступен для пользователя, но доступ возможен только к определенным складам.

Рис.9 Ввод начальных остатков с ограничением доступа

Таким образом, установить доступ или изменить права в 1С можно добавив пользователя в ту или иную группу в пользовательском режиме.

Рис.10 Добавление пользователя в группу

Саму группу также можно изменить, например, добавив значение в ограничение доступа.

Рис.11 Изменение группы

Права администратора позволяют осуществлять управление правами в режиме конфигуратора, где уже заданы типовые роли. Например, роль с много объясняющим названием «Базовые права», как правило, дает возможность осуществить только чтение или только просмотр объекта.

Рис.12 Управление правами в режиме конфигуратора

Для управления правами, призванными изменять объекты, предусмотрены специальные роли добавления/изменения данных.

Рис.13 Специальные роли

Если известно, на какой объект не хватает прав у пользователя, можно:

• От обратного: посмотреть вкладку «права» у конкретного объекта, при этом вверху мы увидим все роли, доступные в конфигурации, а в нижнем окне – права. Наличие тех или иных прав на объект отмечено «галочкой». Таким же образом задаются права для новых объектов.

Рис.14 Установка прав

• Открыть роль, назначенную пользователю, и, выбрав в левом окне конкретный объект, в правом окне увидеть список прав, то есть действия, которые пользователь с данной ролью может сделать с этим объектом – чтение, добавление, просмотр т.д.

Рис.15 Список прав

Таким образом, все возможные права в системе предопределены. Чтение, добавление, изменение, просмотр, редактирование и другие права могут быть включены или выключены в любой роли для любого объекта. Назначить права отдельно, не используя при этом роли, невозможно. Для разграничения прав пользователя необходимо назначить соответствующую роль. Удобным инструментом для анализа прав и ролей становится таблица «Все роли», формируемая в конфигураторе.

Рис.16 Анализ прав и ролей

На скриншоте видно, что роль «Полные права» обладает максимальным объемом прав. И если задачи ограничивать пользователей в правах не стоит вовсе – можно смело назначать эту роль всем пользователям, навсегда избавившись от вопросов пользователей.

На практике же, как правило, в большинстве случаев все-таки необходима «защита от дурака». Подстраховаться от нежелательного изменения данных нужно всем более-менее крупным компаниям. Здесь на помощь приходит встроенные в 1С роли. Разобраться в разнообразии ролей не просто, на это требует много времени. Поэтому создание собственной роли для решения практических задач, зачастую может быть единственным выходом. Рассмотрим этот момент подробнее. Добавить роль можно в дереве метаданных.

Рис.17 Добавление ролей в дереве метаданных

В новой роли разграничить права можно простым выставлением флажков напротив соответствующего права.

Рис.18 Разграничение прав новой роли

Флажки в низу окна говорят о том, что права будут автоматически назначаться для новых объектов метаданных/для реквизитов и табличных частей объекта, для которого назначаются права, а также – будут ли наследоваться права относительно родительского объекта.

Ограничения прав доступа задаются в правом нижнем окне новой роли. Это мощный инструмент, позволяющий ограничить права на уровне записей, т.е. предоставить доступ именно к необходимым данным. Если простое назначение прав может только «прямолинейно» дать или отнять права на действия с объектом, то механизм ограничений позволяет гибко настроить права доступа относительно данных. Например, ограничить чтение и просмотр данных только по одной организации.

Рис.19 Ограничить чтение и просмотр данных только по одной организаци

Конструктор ограничений доступа к данным позволяет создать условие, по которому будет ограничен доступ.

Рис.20 Конструктор ограничений доступа к данным

Ограничение прав доступа описывается в виде языковых конструкций. Для облегчения их создания предусмотрено использование шаблонов ограничений. Надо заметить, что использование этого механизма напрямую сказывается на производительности, ведь системе, обращаясь к какому-либо объекту, необходимо прочитать и выполнить эти ограничения. Этот процесс отнимает ресурсы компьютера и тормозит работу.

В заключение хотелось бы отметить, что фирма 1С в качестве разработчика позаботилась о наличие широких возможностей для администраторов в части редактирования прав в своих программных решениях. И если на первый взгляд эти инструменты могут показаться сложными и избыточными, то в дальнейшем, особенно при попытке построить эффективную схему доступа в условиях многоуровневой, разветвленной структуры персонала на предприятии или в организации, становится ясно, что функционал программы вполне соответствует реальным потребностям.

роли доступа и их настройка

В этой статье речь пойдет о настройке прав доступа пользователей к объектам системы 1С.

В 1С 8для управления доступа пользователей используется отдельный объект метаданных, который называется Роли.

Далее мы рассмотрим, как использовать и настраивать роли в 1С предприятие 8.3.

Обратите внимание! Эта статья написана в помощь программистам. Настройка прав в пользовательском режиме на примере 1С Бухгалтерия рассмотрена в данной статье.

Роль определяет набор прав пользователя, которые он имеет. Механизм ролей очень  похож на механизмы прав Windows Active Directory. Для каждого из объектов (справочники, документы) разработчик устанавливает свой набор прав — чтение/запись/добавление/изменение/…

Набор доступных прав — совокупность всех разрешений в ролях пользователя.

Ниже мы рассмотрим подробно каждый атрибут метаданных при настройке роли пользователя 1С 8.3.

Если вы только начинаете программировать в 1С или просто хотите систематизировать свои знания — попробуйте Школу программирования 1С нашего друга Владимира Милькина. Пошаговые и понятные уроки даже для новичка с поддержкой учителя.
Попробуйте бесплатно по ссылке >>

Содержание

Общие настройки роли 1С

Если открыть объект метаданных Роль, мы можем увидеть следующую картину:

У объекта есть две закладки — Права и Шаблоны ограничений. Права — основная закладка, Шаблоны — вкладка для настройки прав на уровне записи  в 1С (RLS). Это очень важная тема, её я постараюсь описать в будущих статьях.

Будем рассматривать только вкладку Права.

Следует обратить внимание на галочки в нижней части:

• Устанавливать права для новых объектов — если флаг установлен у роли, на новые объекты метаданных будут автоматически установлены разрешающие права. Рекомендую установить, если Вы часто забываете установить права на новые объекты.
• Устанавливать права для реквизитов и табличных частей по умолчанию — флаг, при установке которого реквизиты и табличные части будут наследовать права владельца(справочника, документа и т.д.)
• Независимые права подчиненных объектов — если флаг установлен, то система при определении права на объект конфигурации учтёт права на родительский объект

Настройки прав на всю конфигурацию

Если открыть Роль и кликнуть на корень конфигурации, мы увидим следующие настройки:

Подробнее о каждом из прав на всю конфигурацию:

• Администрирование — администрирование информационной базы (требуется наличие права «Администрирование данных»)
• Администрирование данных — право на административные действия над данными
• Обновление конфигурации базы данных — право на обновление конфигурации базы данных
• Монопольный режим — использование монопольного режима
• Активные пользователи — просмотр списка активных пользователей
• Журнал регистрации — журнал регистрации
• Тонкий клиент — право запуска тонкого клиента
• Веб клиент — право запуска веб-клиента
• Толстый клиент — право роли запуска толстого клиента
• Внешнее соединение — право запуска внешнего соединения
• Automation — право на использование automation
• Режим «Все функции» — доступ к пункту меню «Все функции» в режиме управляемого приложения
• Сохранение данных пользователя — разрешение или запрет на сохранение данных пользователя (настроек, избранного, истории). Особенно актуально для 1С управляемых форм.
• Интерактивное открытие внешних обработок — открытие внешних обработок
• Интерактивное открытие внешних отчетов — открытие внешних отчетов
• Вывод — вывод на печать, запись и копирование в буфер обмена

Настройка прав 1С на другие объекты метаданных

Для остальных основных объектов (справочники, константы, документы, регистры…), набор прав у роли достаточно стандартен:

• Чтение — чтение (программное)
• Добавление — добавление (программное)
• Изменение — изменение (программное)
• Удаление — удаление (программное)
• Просмотр — просмотр
• Интерактивное добавление — интерактивное добавление
• Редактирование — редактирование
• Интерактивная пометка удаления — интерактивная пометка на удаление
• Интерактивное снятие пометки удаления — снятие пометки на удаление
• Интерактивное удаление помеченных— удаление помеченных объектов
• Ввод по строке — использование режима ввода по строке
• Интерактивное удаление — непосредственное удаление (shift +del)

Права только для документов:

• Интерактивное проведение — проведение
• Отмена проведения — отмена проведения документов
• Интерактивное проведение неоперативное — проведение (стандартными командами форм) документа в неоперативном режиме
• Интерактивная отмена проведения — интерактивная отмена проведения
• Интерактивное изменение проведенных — редактирование проведенного документа. Если право у роли не установлено, то пользователь не может удалить проведенный документ, установить пометку удаления, перепровести или сделать непроведенным. Форма такого документа открывается в режиме просмотра

Только для регистров накопления и бухгалтерии

• УправлениеИтогами — управление итогами регистра бухгалтерии и регистра накопления (установка периода, по который рассчитаны итоги, и пересчет итогов)

Только для обработок и отчетов:

• Использование — использование

Привилегированный режим 1С

Если Вы не хотите давать роли права на какие-либо действия, но эти метаданные нужно использовать в какой-то момент, можно воспользоваться методом «УстановитьПривилегированныйРежим()» (или использовать привилегированный режим общего модуля).

Например:

УстановитьПривилегированныйРежим(Истина);

.......

// выполняем запрещенные для роли действия

.......

УстановитьПривилегированныйРежим(Ложь);

Все, что внутри, будет выполняться без проверки прав пользователя.

Доступна ли роль 1С пользователю?

Чтобы узнать, нужно выполнить функцию РольДоступна(), передав туда название роли строкой.
Например:

Если РольДоступна("ПолныеПрава") Тогда

Сообщить("У вас полные права");

Иначе

Сообщить("У вас нет полных прав");

КонецЕсли;

Нарушение прав доступа

Такую ошибку можно увидеть, если недостаточно прав на чтение/редактирование/удаление данных. Система выдаёт вот такую ошибку:

Чтобы исправить «нарушение прав доступа», необходимо понять, на какой объект пользователю не хватает прав, и добавить ему либо новую роль, либо в существующую роль добавить больше прав.

Объект не найден…

Ошибка, когда в полях отображается некое <Объект не найден>  ( … ):

Как правило, специалисты думают, что это просто так называемая «битая ссылка». Но это не всегда так. Такая ошибка бывает и при неправильно настроенном механизме прав RLS. Это связано с тем, что у пользователя не хватает прав, чтобы получить представление ссылки.

Для того чтобы понять, битая ссылка или нет, просто зайдите в базу под пользователем с полными правами.

Для массового поиска таких ошибок подойдет статья как найти битые ссылки в базе 1С.

P.S. Если у Вас все же не получилось разобраться в ролях пользователей, Вы можете заказать услуги 1С программиста.
Видео с примером настройки прав в 1С бухгалтерии 3.0:

Другие статьи по 1С:

Если Вы начинаете изучать 1С программирование, рекомендуем наш бесплатный курс (не забудьте подписаться на YouTube — регулярно выходят новые видео):

К сожалению, мы физически не можем проконсультировать бесплатно всех желающих, но наша команда будет рада оказать услуги по внедрению и обслуживанию 1С. Более подробно о наших услугах можно узнать на странице Услуги 1С или просто позвоните по телефону +7 (499) 350 29 00. Мы работаем в Москве и области.

Настройка контроля доступа и разрешений пользователей

• 07.06.2019
• 13 минут на чтение

В этой статье

Применимо к: Windows Admin Center, Windows Admin Center Preview

Если вы еще этого не сделали, ознакомьтесь с параметрами управления доступом пользователей в Windows Admin Center

Примечание

Групповой доступ в Windows Admin Center не поддерживается в средах рабочих групп или в недоверенных доменах.

Определения ролей доступа к шлюзу

Есть две роли для доступа к службе шлюза Windows Admin Center:

Пользователи шлюза могут подключаться к службе шлюза Windows Admin Center для управления серверами через этот шлюз, но они не могут изменять разрешения доступа или механизм аутентификации, используемый для аутентификации на шлюзе.

Администраторы шлюза могут настраивать, кто получает доступ, а также способ аутентификации пользователей на шлюзе.Только администраторы шлюза могут просматривать и настраивать параметры доступа в Windows Admin Center. Локальные администраторы на машине шлюза всегда являются администраторами службы шлюза Windows Admin Center.

Примечание

Доступ к шлюзу не подразумевает доступ к управляемым серверам, видимым шлюзом. Для управления целевым сервером подключающийся пользователь должен использовать учетные данные (либо через свои переданные учетные данные Windows, либо через учетные данные, предоставленные в сеансе Windows Admin Center с помощью действия Управлять как ), которые имеют административный доступ к этому целевому серверу.

Active Directory или группы локальных компьютеров

По умолчанию Active Directory или группы локальных компьютеров используются для управления доступом к шлюзу. Если у вас есть домен Active Directory, вы можете управлять доступом пользователей и администратора шлюза из интерфейса Windows Admin Center.

На вкладке Пользователи вы можете контролировать, кто может получить доступ к Windows Admin Center в качестве пользователя шлюза. По умолчанию, и если вы не укажете группу безопасности, любой пользователь, который обращается к URL-адресу шлюза, имеет доступ.После добавления одной или нескольких групп безопасности в список пользователей доступ ограничивается членами этих групп.

Если вы не используете домен Active Directory в своей среде, доступ контролируется локальными группами пользователей и администраторов на машине шлюза Windows Admin Center.

Аутентификация смарт-карты

Вы можете принудительно применить аутентификацию смарт-карты , указав дополнительную требуемую группу для групп безопасности на основе смарт-карт.После добавления группы безопасности на основе смарт-карт пользователь может получить доступ к службе Windows Admin Center, только если он является членом любой группы безопасности И группы смарт-карт, включенной в список пользователей.

На вкладке Администраторы вы можете контролировать, кто может получить доступ к Windows Admin Center в качестве администратора шлюза. Группа локальных администраторов на компьютере всегда будет иметь полный доступ администратора и не может быть удалена из списка. Добавляя группы безопасности, вы даете членам этих групп права изменять настройки шлюза Windows Admin Center.Список администраторов поддерживает аутентификацию смарт-карт так же, как и список пользователей: с условием И для группы безопасности и группы смарт-карт.

Azure Active Directory

Если ваша организация использует Azure Active Directory (Azure AD), вы можете добавить дополнительный уровень безопасности в Windows Admin Center, потребовав аутентификации Azure AD для доступа к шлюзу. Чтобы получить доступ к Windows Admin Center, учетная запись Windows пользователя также должна иметь доступ к серверу шлюза (даже если используется проверка подлинности Azure AD).При использовании Azure AD вы будете управлять разрешениями доступа пользователей и администраторов Windows Admin Center с портала Azure, а не из пользовательского интерфейса Windows Admin Center.

Доступ к центру администрирования Windows при включенной проверке подлинности Azure AD

В зависимости от используемого браузера некоторые пользователи, получающие доступ к Центру администрирования Windows с настроенной аутентификацией Azure AD, получат дополнительное приглашение от браузера , в котором им необходимо предоставить учетные данные своей учетной записи Windows для компьютера, на котором установлен Центр администрирования Windows.После ввода этой информации пользователи получат дополнительный запрос проверки подлинности Azure Active Directory, для которого требуются учетные данные учетной записи Azure, которой был предоставлен доступ в приложении Azure AD в Azure.

Примечание

Пользователи, у которых учетная запись Windows имеет права администратора на машине шлюза, не будут получать запрос на проверку подлинности Azure AD.

Настройка проверки подлинности Azure Active Directory для Windows Admin Center Preview

Перейдите в Windows Admin Center Settings > Access и с помощью переключателя включите «Использовать Azure Active Directory для добавления уровня безопасности на шлюз».Если вы не зарегистрировали шлюз в Azure, вам будет предложено сделать это сейчас.

По умолчанию все члены клиента Azure AD имеют пользовательский доступ к службе шлюза Windows Admin Center. Только локальные администраторы на машине шлюза имеют доступ администратора к шлюзу Windows Admin Center. Обратите внимание, что права локальных администраторов на машине шлюза не могут быть ограничены — локальные администраторы могут делать все, что угодно, независимо от того, используется ли Azure AD для проверки подлинности.

Если вы хотите предоставить конкретным пользователям или группам Azure AD доступ пользователя шлюза или администратора шлюза к службе Windows Admin Center, вы должны сделать следующее:

1. Перейдите в приложение Windows Admin Center Azure AD на портале Azure, используя гиперссылку, указанную в параметрах доступа. Обратите внимание, что эта гиперссылка доступна только при включенной проверке подлинности Azure Active Directory.
   • Вы также можете найти свое приложение на портале Azure, перейдя в Azure Active Directory > Корпоративные приложения > Все приложения и выполнив поиск WindowsAdminCenter (приложение Azure AD будет называться WindowsAdminCenter-).Если вы не получаете никаких результатов поиска, убедитесь, что для Показать установлено значение для всех приложений , для статуса приложения установлено значение для любых и нажмите Применить, затем попробуйте выполнить поиск. Найдя приложение, перейдите к Пользователи и группы
2. На вкладке «Свойства» установите для Требуется назначение пользователя значение Да.
   Как только вы это сделаете, только участники, перечисленные на вкладке Пользователи и группы , смогут получить доступ к шлюзу Windows Admin Center.
3. На вкладке Пользователи и группы выберите Добавить пользователя . Вы должны назначить пользователя шлюза или роль администратора шлюза для каждого добавленного пользователя / группы.

После включения проверки подлинности Azure AD служба шлюза перезапускается, и необходимо обновить страницу в браузере. Вы можете в любое время обновить доступ пользователей для приложения Azure AD SME на портале Azure.

Пользователям будет предложено войти в систему, используя свое удостоверение Azure Active Directory, когда они попытаются получить доступ к URL-адресу шлюза Windows Admin Center.Помните, что для доступа к Windows Admin Center пользователи также должны быть членами локальных пользователей на сервере шлюза.

Пользователи и администраторы могут просматривать свою текущую учетную запись, а также выходить из этой учетной записи Azure AD на вкладке Учетная запись в параметрах Windows Admin Center.

Настройка проверки подлинности Azure Active Directory для Windows Admin Center

Чтобы настроить аутентификацию Azure AD, вы должны сначала зарегистрировать свой шлюз в Azure (вам нужно сделать это только один раз для шлюза Windows Admin Center).На этом шаге создается приложение Azure AD, из которого вы можете управлять доступом пользователей шлюза и администратором шлюза.

Если вы хотите предоставить конкретным пользователям или группам Azure AD доступ пользователя шлюза или администратора шлюза к службе Windows Admin Center, вы должны сделать следующее:

1. Перейдите в приложение Azure AD для малого и среднего бизнеса на портале Azure.
   • Когда вы нажимаете Изменить контроль доступа , а затем выбираете Azure Active Directory в настройках доступа Windows Admin Center, вы можете использовать гиперссылку prov

.

локальных учетных записей (Windows 10) — Microsoft 365 Security

• 28.02.2019
• 20 минут на чтение

В этой статье

Относится к

• Windows 10
• Windows Server 2019
• Windows Server 2016

В этом справочном разделе для ИТ-специалистов описываются локальные учетные записи пользователей по умолчанию для серверов, в том числе способы управления этими встроенными учетными записями на рядовом или автономном сервере.

Об учетных записях локальных пользователей

Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Учетные записи локальных пользователей — это участники безопасности, которые используются для защиты и управления доступом к ресурсам на автономном или рядовом сервере для служб или пользователей.

В этом разделе описывается следующее:

Для получения информации об участниках безопасности см. Принципы безопасности.

Учетные записи локальных пользователей по умолчанию

Учетные записи локальных пользователей по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке Windows.

После установки Windows учетные записи локальных пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступа к сетевым ресурсам.

Учетные записи локальных пользователей по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, назначенных учетной записи.Учетные записи локальных пользователей по умолчанию и созданные вами учетные записи локальных пользователей находятся в папке «Пользователи». Папка «Пользователи» находится в папке «Локальные пользователи и группы» в консоли управления Microsoft (MMC) на локальном компьютере. Управление компьютером — это набор инструментов администрирования, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. В разделе «Как управлять локальными учетными записями» далее в этом разделе.

Учетные записи локальных пользователей по умолчанию описаны в следующих разделах.

Учетная запись администратора

Учетная запись локального администратора по умолчанию — это учетная запись системного администратора. На каждом компьютере есть учетная запись администратора (SID S-1-5- домен -500, отображаемое имя «Администратор»). Учетная запись администратора — это первая учетная запись, которая создается во время установки Windows.

Учетная запись администратора имеет полный контроль над файлами, каталогами, службами и другими ресурсами на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения.Учетная запись администратора может в любой момент взять под контроль локальные ресурсы, просто изменив права и разрешения пользователя.

Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.

В Windows 10 и Windows Server 2016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая является членом группы администраторов. Члены групп администраторов могут запускать приложения с повышенными разрешениями без использования параметра Запуск от имени администратора .Быстрое переключение пользователей более безопасно, чем использование Runas или повышения прав других пользователей.

Членство в группе счетов

По умолчанию учетная запись администратора устанавливается как член группы администраторов на сервере. Рекомендуется ограничить количество пользователей в группе «Администраторы», поскольку члены группы «Администраторы» на локальном сервере имеют разрешения «Полный доступ» на этом компьютере.

Учетную запись администратора нельзя удалить или удалить из группы «Администраторы», но ее можно переименовать.

Соображения безопасности

Поскольку известно, что учетная запись администратора существует во многих версиях операционной системы Windows, рекомендуется отключать учетную запись администратора, когда это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиентскому компьютеру.

Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злоумышленниками.Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. В разделах Отключение или активация локальной учетной записи пользователя и Переименование локальной учетной записи пользователя.

В целях безопасности используйте локальную (не администраторскую) учетную запись для входа в систему, а затем используйте Запуск от имени администратора для выполнения задач, требующих более высокого уровня прав, чем стандартная учетная запись пользователя. Не используйте учетную запись администратора для входа на свой компьютер, если это не является абсолютно необходимым. Дополнительные сведения см. В разделе Запуск программы с учетными данными администратора.

Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью с правами администратора считается системным администратором клиентского компьютера. Первая учетная запись локального пользователя, созданная во время установки, помещается в группу локальных администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-персонал не может контролировать этих пользователей или их клиентские компьютеры.

В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентском компьютере.Дополнительные сведения о групповой политике см. В разделе Обзор групповой политики.

Примечание
Пустые пароли не допускаются в версиях, указанных в списке Применимо к в начале этого раздела.

Важно
Даже если учетная запись администратора отключена, ее все равно можно использовать для получения доступа к компьютеру в безопасном режиме. В консоли восстановления или в безопасном режиме учетная запись администратора включается автоматически. Когда нормальная работа возобновляется, она отключается.

Гостевой аккаунт

Учетная запись гостя по умолчанию отключена при установке. Учетная запись гостя позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи пустой пароль. Поскольку учетная запись гостя может предоставлять анонимный доступ, это представляет угрозу безопасности. По этой причине рекомендуется оставлять гостевую учетную запись отключенной, если ее использование не является полностью необходимым.

Членство в группе счетов

По умолчанию учетная запись гостя является единственным членом группы гостей по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который является членом группы «Администраторы», может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

Соображения безопасности

При включении гостевой учетной записи предоставляйте только ограниченные права и разрешения. По соображениям безопасности гостевую учетную запись нельзя использовать по сети и сделать доступной для других компьютеров.

Кроме того, гостевой пользователь в учетной записи «Гость» не должен иметь возможность просматривать журналы событий. После включения гостевой учетной записи рекомендуется часто контролировать гостевую учетную запись, чтобы гарантировать, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.

Учетная запись HelpAssistant (устанавливается во время сеанса удаленного помощника)

Учетная запись HelpAssistant — это локальная учетная запись по умолчанию, которая активируется при запуске сеанса удаленного помощника.Эта учетная запись автоматически отключается, если запросы удаленного помощника не ожидают обработки.

HelpAssistant — это основная учетная запись, которая используется для установления сеанса удаленного помощника. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется по приглашению. Для получения удаленной помощи пользователь отправляет приглашение со своего компьютера по электронной почте или в виде файла лицу, которое может оказать помощь. После того, как приглашение пользователя на сеанс удаленного помощника принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить лицу, оказывающему помощь, ограниченный доступ к компьютеру.Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.

Соображения безопасности

Идентификаторы безопасности, относящиеся к учетной записи HelpAssistant по умолчанию, включают:

• SID: S-1-5- <домен> -13, отображаемое имя Пользователь терминального сервера. В эту группу входят все пользователи, которые входят на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.

• SID: S-1-5- <домен> -14, отображаемое имя Удаленный интерактивный вход в систему.В эту группу входят все пользователи, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат идентификатор безопасности интерактивного входа.

Для операционной системы Windows Server Удаленный помощник — это дополнительный компонент, который не устанавливается по умолчанию. Перед использованием удаленного помощника необходимо установить его.

Подробнее об атрибутах учетной записи HelpAssistant см. В следующей таблице.

Атрибуты учетной записи HelpAssistant

Счет по умолчанию

DefaultAccount, также известная как управляемая система по умолчанию (DSMA), — это встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016.
DSMA — это хорошо известный тип учетной записи пользователя.
Это нейтральная к пользователю учетная запись, которую можно использовать для запуска процессов, которые либо учитывают многопользовательскую, либо не зависят от пользователя.DSMA по умолчанию отключен для номеров SKU для настольных компьютеров (SKU для полной версии Windows) и WS 2016 с Desktop.

DSMA имеет хорошо известный RID 503. Таким образом, идентификатор безопасности (SID) DSMA будет иметь хорошо известный SID в следующем формате: S-1-5-21- -503

DSMA является членом известной группы System Managed Accounts Group , которая имеет известный SID S-1-5-32-581.

Псевдоним DSMA может получить доступ к ресурсам во время автономной подготовки даже до создания самой учетной записи.Учетная запись и группа создаются во время первой загрузки машины в диспетчере учетных записей безопасности (SAM).

Как Windows использует DefaultAccount

С точки зрения разрешений DefaultAccount — это стандартная учетная запись пользователя.
DefaultAccount необходим для запуска многопользовательских приложений (приложений MUMA).
Приложения MUMA работают постоянно и реагируют на вход и выход пользователей из устройств.
В отличие от рабочего стола Windows, где приложения запускаются в контексте пользователя и завершаются, когда пользователь выходит из системы, приложения MUMA запускаются с использованием DSMA.

Приложения

MUMA работают в SKU общего сеанса, например Xbox. Например, оболочка Xbox — это приложение MUMA.
Сегодня Xbox автоматически входит в систему как гостевая учетная запись, и все приложения запускаются в этом контексте.
Все приложения поддерживают работу с несколькими пользователями и реагируют на события, инициированные менеджером пользователей.
Приложения запускаются как гостевая учетная запись.

Аналогичным образом, Phone автоматически входит в систему как учетная запись DefApps, которая сродни стандартной учетной записи пользователя в Windows, но с некоторыми дополнительными привилегиями. Брокеры, некоторые службы и приложения работают под этой учетной записью.

В конвергентной пользовательской модели многопользовательские приложения и брокеры, поддерживающие многопользовательский режим, должны будут работать в контексте, отличном от контекста пользователей.
Для этого в системе создается DSMA.

Как создается DefaultAccount на контроллерах домена

Если домен был создан с контроллерами домена под управлением Windows Server 2016, DefaultAccount будет существовать на всех контроллерах домена в домене.
Если домен был создан с помощью контроллеров домена, на которых установлена ​​более ранняя версия Windows Server, DefaultAccount будет создан после того, как роль эмулятора PDC будет передана контроллеру домена, на котором работает Windows Server 2016.Затем DefaultAccount будет реплицирован на все остальные контроллеры домена в домене.

Рекомендации по управлению учетной записью по умолчанию (DSMA)

Microsoft не рекомендует изменять конфигурацию по умолчанию, при которой учетная запись отключена. Отсутствие угрозы безопасности при отключенном состоянии учетной записи. Изменение конфигурации по умолчанию может помешать будущим сценариям, основанным на этой учетной записи.

Учетные записи локальной системы по умолчанию

СИСТЕМА

Учетная запись SYSTEM используется операционной системой и службами, работающими в Windows.В операционной системе Windows есть множество служб и процессов, которым требуется возможность внутреннего входа, например, во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя этой учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей, и ее нельзя добавить ни в какие группы.

С другой стороны, учетная запись SYSTEM отображается на томе файловой системы NTFS в диспетчере файлов в разделе Permissions меню Security .По умолчанию учетной записи SYSTEM предоставлены разрешения полного доступа ко всем файлам на томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.

Примечание
Предоставление учетной записи прав доступа к файлам группы администраторов не означает неявного разрешения учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем их удалять.

СЕТЕВОЕ ОБСЛУЖИВАНИЕ

Учетная запись NETWORK SERVICE — это предопределенная локальная учетная запись, используемая диспетчером управления службами (SCM).Служба, которая работает в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Для получения дополнительной информации см. Учетная запись NetworkService.

МЕСТНОЕ ОБСЛУЖИВАНИЕ

Учетная запись LOCAL SERVICE — это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Для получения дополнительной информации см. Учетная запись LocalService.

Как управлять локальными учетными записями пользователей

Учетные записи локальных пользователей по умолчанию и созданные вами учетные записи локальных пользователей находятся в папке «Пользователи».Папка «Пользователи» находится в «Локальные пользователи и группы». Дополнительные сведения о создании и управлении учетными записями локальных пользователей см. В разделе Управление локальными пользователями.

Вы можете использовать «Локальные пользователи и группы» для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как резервное копирование файлов и папок или выключение сервера. Разрешение доступа — это правило, связанное с объектом, обычно файлом, папкой или принтером.Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.

Вы не можете использовать локальных пользователей и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети.

Примечание
Вы используете Active Directory — пользователи и компьютеры для управления пользователями и группами в Active Directory.

Вы также можете управлять локальными пользователями с помощью NET.EXE USER и управлять локальными группами с помощью NET.EXE LOCALGROUP, или с помощью различных командлетов PowerShell и других технологий создания сценариев.

Ограничить и защитить локальные учетные записи с правами администратора

Администратор может использовать ряд подходов для предотвращения использования злоумышленниками украденных учетных данных, таких как украденный пароль или хэш пароля, для использования локальной учетной записи на одном компьютере для аутентификации на другом компьютере с правами администратора; это также называется «боковое движение».

Самый простой подход — войти в систему со стандартной учетной записью пользователя вместо использования учетной записи администратора для задач, например, для просмотра веб-страниц, отправки электронной почты или использования текстового редактора.Если вы хотите выполнить административную задачу, например, установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать Контроль учетных записей пользователей (UAC), чтобы запросить у вас разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.

Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора, включают:

• Применять ограничения локальной учетной записи для удаленного доступа.

• Запретить вход в сеть для всех учетных записей локальных администраторов.

• Создайте уникальные пароли для локальных учетных записей с правами администратора.

Каждый из этих подходов описан в следующих разделах.

Примечание
Эти подходы неприменимы, если все административные локальные учетные записи отключены.

Применять ограничения локальной учетной записи для удаленного доступа

Контроль учетных записей пользователей (UAC) — это функция безопасности в Windows, которая использовалась в Windows Server 2008 и Windows Vista, а также в операционных системах, к которым относится список Применимо к .UAC позволяет вам контролировать свой компьютер, информируя вас, когда программа вносит изменения, требующие разрешения на уровне администратора. UAC работает, регулируя уровень разрешений вашей учетной записи. По умолчанию UAC настроен на уведомление вас, когда приложения пытаются внести изменения в ваш компьютер, но вы можете изменить частоту уведомлений UAC.

UAC позволяет рассматривать учетную запись с правами администратора как учетную запись обычного пользователя без прав администратора до тех пор, пока не будут запрошены и утверждены полные права, также называемые повышением прав.Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователя, не являющегося администратором, для выполнения случайных административных задач без необходимости переключать пользователей, выходить из системы или использовать команду Run as .

Кроме того, UAC может потребовать от администраторов специально одобрять приложения, которые вносят общесистемные изменения, прежде чем этим приложениям будет предоставлено разрешение на запуск, даже в пользовательском сеансе администратора.

Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит в систему с удаленного компьютера с помощью входа в сеть (например, с помощью NET.EXE ИСПОЛЬЗОВАНИЕ). В этом случае ему выдается токен стандартного пользователя без прав администратора, но без возможности запрашивать или получать повышение. Следовательно, локальные учетные записи, которые входят в систему с помощью входа в сеть, не могут получить доступ к административным общим ресурсам, таким как C $ или ADMIN $, или выполнить какое-либо удаленное администрирование.

Дополнительные сведения о UAC см. В разделе Контроль учетных записей пользователей.

В следующей таблице показаны параметры групповой политики и реестра, которые используются для принудительного применения ограничений локальной учетной записи для удаленного доступа.

.

Настройки | Документы Microsoft

• 12.04.2018
• 2 минуты на чтение

В этой статье

Применимо к: Windows Admin Center

Параметры

Windows Admin Center состоят из параметров уровня пользователя и уровня шлюза. Изменение параметра уровня пользователя влияет только на профиль текущего пользователя, в то время как изменение параметра уровня шлюза влияет на всех пользователей этого шлюза Windows Admin Center.

Пользовательские настройки

Настройки на уровне пользователя состоят из следующих разделов:

• Счет
• Персонализация
• Язык / регион
• Предложения
• Продвинутый

На вкладке Учетная запись пользователи могут просмотреть учетные данные, которые они использовали для аутентификации в Windows Admin Center. Если Azure AD настроен в качестве поставщика удостоверений, пользователь может выйти из своей учетной записи Azure AD на этой вкладке.

На вкладке Personalization пользователи могут переключаться на темную тему пользовательского интерфейса.

На вкладке Язык / регион пользователи могут изменить форматы языка и региона, отображаемые в Windows Admin Center.

На вкладке Предложения пользователи могут переключать предложения о службах Azure и новых функциях.

Вкладка Advanced предоставляет разработчикам расширений Windows Admin Center дополнительные возможности.

Настройки шлюза

Настройки уровня шлюза состоят из следующих разделов:

• Добавочные номера
• Доступ
• Лазурный
• Общие соединения

Только администраторы шлюза могут видеть и изменять эти настройки.Изменения этих параметров изменяют конфигурацию шлюза и влияют на всех пользователей шлюза Windows Admin Center.

На вкладке Extensions администраторы могут устанавливать, удалять или обновлять расширения шлюза. Узнайте больше о расширениях.

Вкладка Access позволяет администраторам настраивать, кто имеет доступ к шлюзу Windows Admin Center, а также поставщика удостоверений, используемого для проверки подлинности пользователей. Подробнее об управлении доступом к шлюзу.

На вкладке Azure администраторы могут зарегистрировать шлюз в Azure, чтобы включить функции интеграции с Azure в Windows Admin Center.

Используя вкладку Shared Connections , администраторы могут настроить единый список подключений, который будет использоваться всеми пользователями шлюза Windows Admin Center. Узнайте больше о настройке подключений один раз для всех пользователей шлюза.

.

Управление настройками общего доступа — SharePoint в Microsoft 365

• 04.09.2020
• 8 минут на чтение

В этой статье

В этой статье описывается, как глобальные администраторы и администраторы SharePoint в Microsoft 365 могут изменять свои настройки общего доступа на уровне организации для Microsoft SharePoint и Microsoft OneDrive.(Если вы хотите поделиться файлом или папкой, прочтите «Общий доступ к файлам и папкам SharePoint» или «Общий доступ к файлам и папкам OneDrive».)

Полное руководство по настройке гостевого общего доступа в Microsoft 365 см .:

Чтобы изменить параметры общего доступа для сайта после того, как вы установили параметры общего доступа на уровне организации, см. Включение или отключение внешнего общего доступа для сайта. Чтобы узнать, как изменить параметр внешнего общего доступа для OneDrive пользователя, см. Раздел Изменение параметра внешнего общего доступа для OneDrive пользователя.

Видео демонстрация

В этом видео показано, как параметры на странице общего доступа в центре администрирования SharePoint влияют на параметры общего доступа, доступные пользователям.

Изменить настройки внешнего общего доступа на уровне организации

1. Перейдите на страницу общего доступа в новом центре администрирования SharePoint и войдите в систему, используя учетную запись с правами администратора для вашей организации.

2. В разделе Внешний общий доступ укажите уровень общего доступа для SharePoint и OneDrive.Уровень по умолчанию для обоих — «Любой».

   Примечание

   Параметр SharePoint применяется ко всем типам сайтов, включая те, которые подключены к группам Microsoft 365.
   Параметр OneDrive может быть более строгим, чем параметр SharePoint, но не более разрешительным.
   Параметры внешнего общего доступа SharePoint на этой странице такие же, как и в центре администрирования Microsoft 365, в разделе Параметры > Службы и надстройки > Сайты . Эти параметры также такие же, как и в центре администрирования OneDrive.

   Этот параметр относится к вашей организации в целом. У каждого сайта есть свои собственные настройки общего доступа, которые вы можете установить независимо, хотя они должны быть такими же или более строгими, что и организация. Дополнительные сведения см. В разделе Изменение параметра внешнего общего доступа для сайта.

Какой вариант выбрать …

Примечание

Если вы отключите внешний общий доступ для своей организации, а затем снова включите его, гости, у которых ранее был доступ, восстановят его. Если вы знаете, что внешний общий доступ был ранее включен и использовался для определенных сайтов, и вы не хотите, чтобы гости снова получали доступ, сначала отключите внешний общий доступ для этих конкретных сайтов.
Если вы ограничите или отключите внешний общий доступ, гости обычно теряют доступ в течение одного часа после изменения.

Дополнительные настройки внешнего доступа

Ограничить внешний доступ для домена

Это полезно, если вы хотите ограничить совместный доступ с определенными партнерами или помочь предотвратить совместное использование с людьми в определенных организациях. Параметр уровня организации на этой странице влияет на все сайты SharePoint и OneDrive каждого пользователя. Чтобы использовать этот параметр, укажите в поле домены (максимум 3000) в формате домен.com . Чтобы перечислить несколько доменов, нажимайте Enter после добавления каждого домена.

Вы также можете ограничить внешний общий доступ для домена с помощью командлета Set-SPOTenant Microsoft PowerShell с -SharingDomainRestrictionMode и -SharingAllowedDomainList или -SharingBlockedDomainList. Для получения информации об ограничении внешнего общего доступа доменом на уровне сайта см. Раздел Ограниченный доступ к доменам.

Разрешить внешний доступ только пользователям из определенных групп безопасности

Для получения информации об этом параметре см. Управление группами безопасности.

Гости должны войти в систему, используя ту же учетную запись, на которую отправляются приглашения на совместное использование.

По умолчанию гости могут получить приглашение в одной учетной записи, но войти в систему с другой учетной записью. После активации приглашения его нельзя будет использовать с какой-либо другой учетной записью.

Разрешить гостям делиться вещами, которыми они не владеют

По умолчанию гости должны иметь разрешение на полный доступ для внешнего доступа к элементам.

Люди, использующие проверочный код, должны повторно пройти аутентификацию по истечении этого числа дней

Если люди, использующие проверочный код, выбрали вариант «оставаться в системе» в браузере, они должны доказать, что они все еще могут получить доступ к учетной записи, которую использовали для активации приглашения к совместному использованию.

Ссылки на файлы и папки

Выберите вариант, который будет отображаться по умолчанию, когда пользователь получает ссылку.

Примечание

Этот параметр определяет значение по умолчанию для вашей организации, но владельцы сайтов могут выбрать другой тип ссылки по умолчанию для сайта.

• Конкретные люди — Этот вариант является наиболее ограничительным и препятствует широкому внутреннему совместному использованию. Если вы разрешаете внешний общий доступ, этот параметр позволяет пользователям предоставлять общий доступ определенным людям за пределами организации.

• Только люди в вашей организации — Если ссылки перенаправлены, они будут работать для всех в организации. Этот вариант лучше всего подходит, если ваша организация предоставляет общий доступ внутри компании и редко — снаружи.

• Все, у кого есть ссылка — этот параметр доступен только в том случае, если для параметра внешнего общего доступа установлено значение «Кто угодно». Перенаправленные ссылки работают как внутри, так и снаружи, но вы не можете отслеживать, у кого есть доступ к общим элементам или у кого есть доступ к общим элементам.Это лучше всего для удобного обмена, если большинство файлов и папок в SharePoint и OneDrive не являются конфиденциальными.

  Важно

  Если вы выберете «Все, у кого есть ссылка», но сайт или OneDrive настроен так, чтобы разрешить общий доступ только тем гостям, которые вошли в систему или предоставили проверочный код, ссылка по умолчанию будет «Только люди в вашей организации». Пользователям необходимо изменить тип ссылки на «Определенные люди», чтобы предоставить общий доступ к файлам и папкам на сайте или в OneDrive извне.

Дополнительные настройки для ссылок «Кто угодно»

Срок действия ссылки — Вы можете потребовать, чтобы все ссылки «Любые» истекли, и указать максимальное количество дней, разрешенных

Разрешения для ссылок — Вы можете ограничить ссылки «Кто угодно», чтобы они могли предоставлять разрешение только на просмотр файлов или папок.

Если вы используете запросы файлов, разрешения для ссылок должны быть установлены для Просмотр и редактирование для файлов и Просмотр, редактирование и загрузка для папок.

Другое

Показывать владельцам имена людей, просмотревших их файлы

Этот параметр позволяет вам контролировать, может ли владелец общего файла видеть на карточке файла людей, которые только просматривают (но не редактируют) файл в OneDrive. Карточка файла отображается, когда пользователи наводят курсор на имя файла или эскиз в OneDrive.Информация включает в себя количество просмотров файла, количество людей, которые его просматривали, и список людей, которые его просматривали. Дополнительные сведения о карточке файла см. В статье Просмотр файлов, которыми вы поделились в OneDrive.

Примечание

Этот параметр выбран по умолчанию. Если вы его очистите, информация о просмотрщике файлов по-прежнему будет записана и доступна вам как администратору для аудита. Владельцы OneDrive также могут видеть людей, которые просматривали их общие файлы Office, открывая файлы на сайте Office.com или в классических приложениях Office.

Разрешить владельцам сайтов отображать имена людей, которые просматривали файлы или страницы в SharePoint

Этот параметр позволяет указать, могут ли владельцы сайтов разрешать пользователям, имеющим доступ к файлу, странице или новостному сообщению, видеть в карточке файла, кто просматривал элемент.

Этот параметр включен по умолчанию на уровне организации и выключен на уровне сайта для существующих сайтов. Информация о программе просмотра отображается только в том случае, если этот параметр включен как на уровне организации, так и на уровне сайта.Мы рекомендуем владельцам сайтов включать эту функцию только на сайтах групп, на которых нет конфиденциальной информации. Узнайте, как владельцы сайтов могут включить эту функцию.

Примечание

Исторические данные включаются, если этот параметр включен. Аналогичным образом, если параметр отключен и снова включен на уровне организации или сайта, просмотры в течение периода отключения включаются в историю.

На классической странице общего доступа вы можете ограничить внешний общий доступ группой безопасности и сократить ссылки для общего доступа или изменить их разрешения по умолчанию.

Нужна дополнительная помощь?

Если у вас есть технические вопросы по этой теме, вы можете разместить их на форуме обсуждения SharePoint. Это отличный ресурс для поиска тех, кто работал с аналогичными проблемами или сталкивался с такой же ситуацией.

Вы также можете найти справку по безопасности и разрешениям в этих видео YouTube от экспертов сообщества SharePoint.

См. Также

Ограничение случайного доступа к файлам при совместном использовании с гостями

Создать безопасную гостевую среду общего доступа

Прекратить совместное использование файлов или папок или изменить разрешения

.