УТ 10.3.41.1
Коллеги подскажите, как реализовать в Справочники.Номенклатура ограничение доступа на уровне записей, чтобы пользователи могли работать только с номенклатурой "в иерархии" определенной папки? Естественно понимаю, что RLS не поддерживает "В Иерархии" (а так хотелось), а только "В".
Я пробовал создать ПараметрыСеанса.ДоступныеПапкиНоменклатуры - ФиксированныйМассив, в нем - ссылка на корневую папку. В правах пользователя: ГДЕ Родитель В(&ДоступныеПапкиНоменклатуры), в полях ставил "Прочие поля", "Ссылка" - результат одинаков: вообще никакие папки из справочника не видны.

(0) не взлетит
делай через РС

но вообще задача - источник тормозов

(1) Что есть "РС"?

РегистрСведений?

(4) да

Подскажи, куда копать!

тебе надо "складировать" доступную (или запрещенную) номенклатуру в РС или в параметр сеанса (если изменения номенклатуры нечастые) и уже складированную использовать в запросе РЛС

Т.е. идем от обратного: запрещаем доступ ко всем папкам, кроме разрешенных?

(8) Это как раз прямой путь

(8) тебе виднее, исходи из массы запрещено-разрешено
чего меньше - то и складируй

Хорошо. Тогда запрещаем доступ "иерархически" или все запрещенные нужно перечислить в Регистре или Параметре сеанса?

(11) В регистре права могут храниться и группы, но при запуске нужно заполнять параметр сеанса с учётом иерархии и в RLS проверять уже параметр сеанса.

(11) складируешь список номенклатуры
как формировать список - твой код
т.е. при добавлении-изменении-удалении элементов справочника должен список складированный обновляться

можно иерархию развернуть в РС, и на него завязываться.

(12)+ Кстати, хорошо бы предусмотреть его обновление не только при запуске, но и при открытии справочника, например, потому что данные или права могут меняться.

Тормозить все это будет...
RLS просто пишется, но медленно работает.
RLS это В ЛЮБОЙ запрос прикрутка твоего ограничения. Кроме привилегированного режима.
Для начала подумай может как-то без RLS обойтись...

(14) тогда её придётся обновлять. Бе...

(17) ну да, в подписках. Структура не так часто меняется, как правило. Места много не отъест.

(18) можно реализовать как
ГДЕ Родитель В (&ДоступныеПапкиНоменклатуры) ИЛИ Родитель.Родитель В (&ДоступныеПапкиНоменклатуры) ИЛИ Родитель.Родитель.Родитель В (&ДоступныеПапкиНоменклатуры)
и так на максимально разумное количество уровней
и переписывать регистр не придется

(19) я бы не трогал папки совсем, только номенклатуру

(16) RLS-ом здорово разграничивать права на чтение объектов, чтобы недоступные даже не отображались, чего другими средствами и не добьешься. А если надо только запретить на запись, то с точки зрения скорости работы лучше использовать подписки на события.

(19)
РС - нужно будет писать только при изменении иерархии , а вот куча соединений в запросе по РЛС - будет постоянно

(20)
А если элемент перенесут в другую группу? Это тоже нужно будет отслеживать.
С параметрами сеанса будет вообще засада - в плане 1) их актуальности 2) быстродействия условия IN () при большом массиве.

Вот тут хорошо описано, реализовывала по примеру
http://programmist1s.ru/nastroyka-rls-ogranichenie-dostupa-na-urovne-zapisey-1s/

(0) что значит "могли рабтать", они не должны видеть или не должны ее в документы пихать?
Если ты закроешь ее через рлс, а баба Маня с полными правами создаст документ с обычной и запрещенной номенклатурой, то как с этим документом будут работать тем у кого есть ограничения?

(24) Не должны видеть. а в таком документе будет наверное - ""Объект не найден"?

(25) не просто объект не найден, но и с документом скорее всего сделать ничего не смогут, и в отчетах будет весело. Особенно когда у разных людей начнет отчет по продажам не сходится.

(26) В этом случае в заголовке отчёта надо написать дисклаймер "ДАННЫЕ ОГРАНИЧЕНЫ ПРАВАМИ ДОСТУПА"

Всем спасибо за мнения!
Только вот начали углубляться и обобщать. а у меня ситуация попроще: в корне справочника Номенклатура заведено с десяток разных папок, а продавцы работают (= чтение/просмотр) только с корневой папкой "Товары" в которой еще около 1000 подпапок. Вот и нужно обеспечить, чтобы им лишнее "перед глазами не мелькало", когда они чек набивают или счет, или заказ. а то, что их база не пустит в какой-то отчет или не нужный им документ - нечего лазать.

(28) а отбором в списке не проще будет решить? может даже и быстрее выйдет, чем с рлс. Раз именно для удобства, а не разграничения прав.

(29) Интересная мысль. Можно по подробнее?

у вас режим работы программы в управляемых формах?
Ну так сделайте свою форму списка и форму выбора, в новой форме укажите в динамическом списке все нужные условия в запросе.

(31) Формы обычные

(29) В общем к чему пришел.
В процедуре ПередОткрытием ФормыСписка Справочники.Номенклатура
такое:
отбор.Ссылка.значение = Справочники.Номенклатура.НайтиПоНаименованию("Товары"); //это одна из корневых папок
Отбор.Ссылка.Использование = Истина;
Отбор.Ссылка.ВидСравнения  = ВидСравнения.ВИерархии;
В общем-то уже не плохо, но теперь в ФормеСписка остальные папки все равно отображаются - только пустые.
Помогите понять, можно ли в таком варианте не отображать остальные ненужные папки?

(33) + Помогла тема v8: Как сделать, чтобы при открытии справочника одна папка была не видна?

(33) Доступ к справочнику может быть не только в форме списка.
Делал такое примерно как в (8).
Штатный механизм раздувал регистр прав доступа и тормозило. Теперь в регистре только папки - особых тормозов не заметно.

(35) Согласен. Но пока речь про ФормуСписка.
Показать, что в RLS в таком варианте можете?

(36)
спр
ИЗ Справочник.Номенклатура КАК спр
ГДЕ НЕ &ТекущиеОграничения ИЛИ (
спр.Ссылка В
(ВЫБРАТЬ РАЗЛИЧНЫЕ Права.ОбъектДоступа
ИЗ РегистрСведений.ПраваДоступаПользователей КАК Права  
ГДЕ Права.Пользователь В (&ГруппыТекущегоПользователя)
)
ИЛИ спр.Родитель В
(ВЫБРАТЬ РАЗЛИЧНЫЕ Права.ОбъектДоступа
ИЗ РегистрСведений.ПраваДоступаПользователей КАК Права  
ГДЕ Права.Пользователь В (&ГруппыТекущегоПользователя)
И Права.ВидНаследованияПравДоступаИерархическихСправочников = ЗНАЧЕНИЕ(Перечисление.ВидыНаследованияПравДоступаИерархическихСправочников.РаспространитьНаПодчиненных)
)
ИЛИ спр.Родитель.Родитель В
(ВЫБРАТЬ РАЗЛИЧНЫЕ Права.ОбъектДоступа
ИЗ РегистрСведений.ПраваДоступаПользователей КАК Права  
ГДЕ Права.Пользователь В (&ГруппыТекущегоПользователя)
И Права.ВидНаследованияПравДоступаИерархическихСправочников = ЗНАЧЕНИЕ(Перечисление.ВидыНаследованияПравДоступаИерархическихСправочников.РаспространитьНаПодчиненных)
)
ИЛИ спр.Родитель.Родитель.Родитель В
(ВЫБРАТЬ РАЗЛИЧНЫЕ Права.ОбъектДоступа
ИЗ РегистрСведений.ПраваДоступаПользователей КАК Права  
ГДЕ Права.Пользователь В (&ГруппыТекущегоПользователя)
И Права.ВидНаследованияПравДоступаИерархическихСправочников = ЗНАЧЕНИЕ(Перечисление.ВидыНаследованияПравДоступаИерархическихСправочников.РаспространитьНаПодчиненных)
)
ИЛИ спр.Родитель.Родитель.Родитель.Родитель В
(ВЫБРАТЬ РАЗЛИЧНЫЕ Права.ОбъектДоступа
ИЗ РегистрСведений.ПраваДоступаПользователей КАК Права  
ГДЕ Права.Пользователь В (&ГруппыТекущегоПользователя)
И Права.ВидНаследованияПравДоступаИерархическихСправочников = ЗНАЧЕНИЕ(Перечисление.ВидыНаследованияПравДоступаИерархическихСправочников.РаспространитьНаПодчиненных)
)
)

&ТекущиеОграничения - параметр сеанса (булево).
Иногда нужно "отключать" RLS, вот этим параметром и отключаем.
Конфа древняя (12 лет) на базе УТ 10.2.
Смысл тот же, что и в (8).

(37) Красота. Надо переварить. Спасибо!

(33) через отчеты это не ограничит доступ

(39) Естественно не ограничит, там речь идет об ограничении отображения номенклатуры в списке.