Пользователи
В данном режиме регистрируются пользователи (и группы) программного комплекса Бюджет-СМАРТ:
- логин (максимум 30 символов), ФИО (250 символов), примечание (250 знаков), пароль, принадлежность к группе. . Ограничение размерности логина связано с совместимостью с СУБД Oracle (логин 30 знаков) .
- права на счета корреспондентов по кнопка "Отборы",
- права на счета бюджета, по кнопке "Счета бюджета",
-
права (чтение, запись, изменения и т.п.) на режимы комплекса (документы, протоколы обмена, пункты меню и т.д.), по кнопке "Доступ".
Красным фоном выделяются пользователи базы данных, которые отсутствуют в самой СУБД (например, после переноса базы на другой сервер) либо наоборот, логины присутствуют в СУБД, но отсутствуют в базе данных : войти под ними в базу данных невозможно. Чтоб восстановить работоспособность таких красных логинов требуется выполнить коррекцию пользователя: см подпункт "Восстановить пользователя" у кнопки "Редактировать". Так же красным фоном выделяются пользователи заблокированные администратором (см. графы "Блок. Пользователь" и "Блок. Логин").
Зеленым фоном выделяются пользователи, созданные в сервисе авторизации: реквизиты таких пользователей, в т.ч. смена пароля, недоступны для редактирования из "Бюджет-СМАРТ".
В режиме навигатора "Расписание работы" можно задать периоды (дни и часы), в которые пользователю запрещено работать в комплексе.
При вводе нового пользователя, указанный для него логин, одновременно регистрируется на SQL сервере как "имя входа". Один раз заведенный логин можно использовать на любых базах этого SQL сервера. Т.о. есть пользователь ПО, и есть имя входа SQL сервера - пароль один. Если в базе есть пользователь, но его "имя входа" на сервере удалено (например, средствами SQL) , то такой пользователь выделен в списке красным фоном и под его учетной записью невозможно работать в комплексе - для этого его нужно восстановить (копкой "Восстановить пользователя") на SQL сервере. Если пользователь есть на SQL сервере (например, заведен в другой базе того же сервера), то при вводе его логина, в окне заведения нового пользователя, автоматически будут заполнены пароль и статус.
Удаление пользователя
При удалении средствами комплекса проверяется применение логина в других базах данных: если применяется, то удаляется пользователь программы, но остатеся на SQL (с выдачей соответствующего уведомления в протоколе проблем удаления); а если не применяется (т.е. только в текущей базе), то удаляется и в базе данных и на SQL сервере (с выдачей успешного протокола).
Удаление пользователя недоступно в случае:
а) если логин является автором документов - в этом случае его надо просто заблокировать, а удалить в базе следующего финансового года.
б) если логин применяется в подсистеме "Управления бизнес-процессами", т.е. :
- пользователь указан в качестве исполнителя задачи в маршруте;
- пользователь является: инициатором для документов, находящихся на маршруте; исполнителем какого-либо задания маршрута; или исполнителем, завершившим маршрут - то есть учетная запись пользователя фигурирует в протоколах исполнения документов.
О заведении логинов удаленных, работающих через интернет, пользователей см тему "Администратор групп".
Список пользователей
Графы:
Наименование - логин пользователя, под которым он работает в программе, одновременно является лоигном для подключения к SQL серверу.
Примечание - комментарий к логину пользователя, например ФИО либо наименование организации и т.п.
СисАдмин - признак принадлежности пользователя к роли системного администратора SQL сервера (права на манипуляции с базой данных средствами SQL сервера).
Админ ПК - признак принадлежности пользователя к роли администратора прогарммного комплекса (создание/удаление пользователей, полный доступ к документам и т.п.).
ЭОД/Автомат - признак что у пользователя включен флаг "Настройка автоматов, ЦК, ..." (наличие у пользователя прав на обмен с УФК/Банком, настройки центра контролей, закрытие/открытие дней и т.п.).
Блок. Пользователь - признак что пользователь заблокирован и не может работать в данной конкретной базе данных (в которой осуществляется просмотр пользователей). Блокировка/разблокировка осуществляется администратором комплекса по кнопке "Заблокировать пользователя". Заблокированный пользователь отображается в списке красным цветом.
Блок. Логин - признак что пользователь заблокирован и не может работать с данным СУБД (MS SQL либо Postgre), ни в одной его базе данных. Блокировка/разблокировка осуществляется администратором комплекса по кнопке "Заблокировать логин". Заблокированный логин отображается в списке красным цветом.
Пустой пароль - признак что пользователь не имеет пароля.
Панель инструментов
Печать - Права доступа пользователя с учетом вхождения в группы.
Выводится отчет, в котором приводится список режимов комплекса с указанием прав доступа к ним для текущего пользователя (на котором установлен курсор). Легенда отчета:
• -есть доступ (право),
Х -нет доступа (запрет),
- -назначение прав доступа не предусмотрено (невозможно).
Печать - Группы в которые входит пользователь.
Выводится отчет в виде протокола с перечнем групп, в которые прямо либо косвенно входит пользователь.
Восстановить пользователя - применяется для активации логина(-ов) после переноса базы с другого SQL сервера: пароли и принадлежность к системным администраторам не восстанавливаются. Для того чтобы принудительно заставить пользователей восстановить свои пароли, необходимо включить настройку «Пользователь должен изменить пароль при следующем входе в комплекс».
Если в восстанавливаемой базе есть пользователи (логины), которые уже зарегистрированы на SQL сервере (типа admin и т.п.), то у этих пользователей должно быть отключено применение политики паролей учетных записей компьютера либо политика учетных записей компьютера должна быть мягкой. Иначе при коррекции будет выдана ошибка со ссылкой на несоответствие политики паролей (слишком короткий пароль).
Просмотр политики паролей пользователей СУБД MS SQL: <SQL_server> – Security – Logins - <логин> - Properties - опция "Enforce password policy" (или <SQL_сервер> - Безопасность - Логины - <логин> - Свойства - опция "Использовать парольную политику"). Если включено, значит к данному пользователю SQL сервера применяются политики учетных записей ОС Windows.
Рекомендация разработчиков ПК "Бюджет-СМАРТ" - отключить данную опцию (т.е. не применять политику учетных записей ОС Windows для пользователей SQL сервера).
Просмотра политики паролей учетных записей ОС Windows: Администрирование - Локальная политика безопасности - Политики учетных записей - Политика паролей:
- Минимальная длина пароля - если опция [Enforce password policy] включена, то должно быть = 0 (для успешного восстановления пользователей).
- Пароль должен отвечать требованиям сложности - если опция [Enforce password policy] включена, то должно быть "Отключен" (для успешного восстановления пользователей).
Заблокировать пользователя - запрет работать в данной базе под этим логином.
Заблокировать логин - заблокировать логин на СУБД сервере (MS SQL либо Postgre), т.о. под этим логином будет невозможно войти ни в какую базу на СУБД. Кнопка доступна системным администраторам.
Удалить - удаляет пользователя из базы данных.
Удалить с логином SQL - удаляет пользователя из базы данных, а так же проверяет использование логина в других базах сервера и при отсутствии применения удаляет логин и с SQL сервера.
Копировать - создает новый логин, включенный в те же группы и с правами на те же комплексы что и исходный логин. Так же копируются назначенные Отборы и вхождение в "Уровни ЭЦП" (но идентификтор очищается). Персональные данные (ФИО, должность и т.п.) и идентификатор в справочнике "Уровни ЭП" - очищаются. Права доступа не наследуются.
Запрещено копирование самого себя, т.е. невозможно создать копию логина, под которым пользователь вошел в комплекс.
Права доступа - назначение пользователю прав доступа на режимы/документы комплекса. Для удаленных пользователей права назначаются не индивидуально, а через группу удаленного доступа (обычно группы вида UD...) .
Счет бюджета - назначение прав доступа на счета бюджета. Актуально только для пользователей финорганов, обрабатывающих выписки/ведомости. Если права на счета бюджета не назначены по этой кнопке, то учитываются права согласно вхождения пользователя в группу бюджетов (групп, созданных в режиме меню "Администратор групп" по дереву бюджетов).
Отборы - ограничение видимости счетов (и корреспондентов). Сами отборы (их содержимое) настраиваются в справочнике "Отборы счетов корреспондентов"). Для удаленных пользователей вместо отборов применяется назначение прав доступа/видимости по дереву иерархии учреждений и бюджетов ( режим "Администратор групп" ).
АРМ навигатора - назначение пользователю АРМа, с которым он будет работать. На пользователя можно назначить только один АРМ.
В навигаторе пользователь видит не только свой АРМ, назначенный ему, но так же АРМы, назначенные группам, в которые входит пользователь (если настройка "Меню Настройки: НАСТРОЙКИ \ Общие \ Работать с АРМом" = Только АРМ ).
Передача - выгрузка в формате xml отобранных пользователей для подсистемы "Сервис авторизации". Предварительно нужно заполнить справочник в меню "Настройки - Шаблоны создания пользователей".
Загрузить полученный файл можно только в указанной подсистеме, при этом параметры логина (права на комплексы, группы и т.п.) будут заданы согласно указанного шаблона создания пользователей - реальные параметры логина, заданные в базе "Бюджет-СМАРТ", не выгружаются.
Создание пользователя
Имя пользователя - это логин. Каждый пользователь имеет в комплексе уникальный идентификатор - логин, т.е. имя пользователя, состоящее из набора символов и цифр длиной от 2 до 128 знаков, первый символ обязательно буква. Например: otdel12, glavbuh, Lena, СидоровП, Артем_доход. Этот логин указывается при запуске программе в окне регистрации.
Пароль пользователя - пароль для логина, набор символов длиной до 128 знаков. Политика паролей задается в настройках группы "Меню Настройки: НАСТРОЙКИ \ Доступ \ Пароли \". Требования к сложности пароля задается настройками:
- "Меню Настройки: НАСТРОЙКИ \ Доступ \ Пароли \ Минимальное количество символов пароля пользователя";
- "Меню Настройки: НАСТРОЙКИ \ Доступ \ Пароли \ Проверять сложность пароля".
Если необходимы более высокие требования к паролю, то следует использовать комплекс "Сервис авторизации".
Если пароль для логина задает пользователь с ролью "системного администратора", то настройки сложности пароля не проверяются - администратор СУБД всегда может задать любой пароль.
Роль пользователя - задает доступность функционала комплекса:
Администратор - пользователь с правами администратора, может: настраивать комплекс, задавать права другим пользователям, а так же имеет полный доступ к функционалу комплекса по умолчанию. Действует только ограничение по заданным счетам бюджета, прочие ограничения прав доступа на администратора не распространяются.
Пользователь - предназначена для логинов обычных пользователей. Без специальных разрешений, по умолчанию, доступ к режимам/документам комплекса отсутствует.
Пользователь с расширенными правами - специальная роль для пользователей муниципальных образований, позволяющая задать им ограниченныый перечень параметров, которые они могут настраивать для своего бюджета самостоятельно, без обращения к администратору комплекса в финоргане субъекта. См описание:
- меню Пользователи - вкладка "Управление группой",
- меню Пользователи - вкладка "Настраиваемые АРМы",
- справочники: "Отборы корреспондентов" и "Отборы счетов корреспондентов" (графа "Адм", см ниже параграф "Права на корреспондентов и их счета"),
- документ "Заявка администрирования пользователя",
- режим "Открытие\закрытие периода (на пользователя)",
- режим "Почтовые сообщения" (рассылка своей группе).
Менеджер системный сообщений - используется в ПК "Бюджет-NEXT" (Бюджет-НЕКСТ) для создания блока новостей в окне входа в комплекс (см "[Техническое описание Бюджет-NEXT](https://www.keysystems.ru/products/budget-utilization/byudzhet-next/ "сайт "Бюджет-NEXT", Вспомогательные материалы")", раздел 6.)
Системный администратор - опция для роли "Администратор", дает права на режимы по обработке баз данных SQL сервера (резервное копирование и т.п.), обработка пользователей (создание/удаление логинов и т.п.).
Настройка автоматов, ЦК, ... - для пользователей, работающих с режимами электронного обмена (выгрузка/прием выписок/ведомостей), настраивающих формулы ЦК, автоматы бухопераций и т.п..
Нельзя поменять параметры принадлежности к администраторам самому себе, т.е. пользователю, под которым запущен комплекс - соответствующие опции становятся недоступны для изменения.
Рекомендуется логин пользователя указывать по функциям (отделу), выполняемым пользователем, а его ФИО указать в примечании. В случае смены сотрудника достаточно будет изменить примечание, и пользоваться прежним логином, не заводя новый. Например: логин "oper7" (седьмой сотрудник операционного отдела), примечание "Иванова Ольга Ивановна".
Очистку списка от неиспользуемых пользователей лучше проводить раз в год при создании базы нового финансового года.
Вкладка "**Комплекс"** - указываются подсистемы, с режимами которых может работать пользователь.
Режимы подсистем, не отмеченных на данной вкладке, будут отсутствовать в навигаторе для этого пользователя.
Если пользователю не поставлено в соответствие ни одного комплекса, то он не сможет работать в программе (о чем будет сообщение при попытке войти в "Бюджет-СМАРТ"). Если пользователю поставлено в соответствие несколько подсистем, то при входе в программу после регистрации пользователь должен будет выбрать, в какой подсистеме(-ах) он будет работать в текущем сеансе.
При использовании одних и тех же комплексов, можно "запомнить" их набор, включив в окне выбора подсистем опцию "Запомнить выбор и не выводить это окно при следующем запуске". Для возвращения режима выбора используемых подсистем при входе в ПО следует изменить настройку на пользователя "Дерево настроек - НАСТРОЙКИ - Доступ - Показывать окно выбора комплексов при входе".
Вкладка "Принадлежность группе"
Указывается группа (-ы), в которую входит пользователь и права которой он наследует. Группы добавляются по кнопке "Добавить строку" с последующим выбором из "справочника" групп. Сами группы создаются в меню "Настройки - Группы пользователей" и в меню "Настройки - Администратор групп".
Если пользователь принадлежит нескольким группам, задающим права на разные сущности, то права на счета/корреспондентов определяются по И (AND), т.е. по минимуму из доступного.
Например.
Логин включен в:
- две группы, обе по дереву бюджетов (из меню "Администратор групп") - будут права на счета/учреждения обоих бюджетов.
- две группы: одна бюджет, вторая корреспондентов (из меню "Администратор групп") - будут права на счета/учреждения согласно группе корреспондентов, т.к. группа бюджетов и группа корреспондентов - разные сущности.
Логину задано два отбора:
- отбор счетов №11 и счетов №12 - будут права на счета в совокупности из обоих отборов.
- отбор счетов №11 и корреспондентов №2 - будут права только на счета из отбора №11, владельцы (прикрепленные) которых есть в отборе корреспондентов №2, т.е. права в пересечении обоих отборов, т.к. в отборах разные сущности.
Вкладка "Управление группой"
Указывается группа (-ы), которыми пользователь с расширенными правами может управлять: назначать права доступа, права на счета бюджета, используемые отборы. Вкладка доступна только при обработке пользователя со статусом "Пользователь с расширенными правами".
Вкладка "Исполнитель"
Указываются индивидуальные параметры пользователя программы: ФИО, должность, номер служебного телефона - применяются для автоматического заполнения отчетных форм и документов 8н.
-
Сертификат входа - является элементом реализации политики входа в программу по сертификату. Поле предназначено для привязки сертификата входа в программу к пользователю, заполняется серийным номером сертификата , например 48 09 x8 15 xx 00 00 00 0x x3.
При входе в комплекс пользователь на вкладке "Соединение" в поле "Сертификат" выбирает сертификат, под которым он будет входить в программу - он сверяется с сертификатом пользователя на вкладке "Исполнитель", при несоответствии - отказ в доступе. При заполненном сертификате на вкладке "Исполнитель" указание сертификата при входе в программу - обязательно. При этом сначала проверяется введенные логин и пароль, при успешной проверке - далее сверяется сертификат. -
Email - адрес электронной почты пользователя. Используется для отправки сообщений пользователю на внешнюю электронную почту и для получения входящих сообщений из внешней почты пользователя, в случае включения в настройке "Использование внешних почтовых ящиков" применения внешней почты при обработке внутренней почты комплекса.
-
Имя входа email - логин внешнего email пользователя (указанного в поле "Email"). Используется для чтения входящих сообщений внешнего email для отображения во внутренней почте.
-
Пароль email - пароль внешнего email пользователя (указанного в поле "Email"). Используется для чтения входящих сообщений внешнего email для отображения во внутренней почте. Реквизиты сервера внешней почты пользователя задаются в настройках: POP3 сервер, SMTP сервер.
Вкладка "Настраиваемые АРМы"
Вкладка активируется только для пользователя со статусом "Пользователь с расширенными правами" - и ему доступны в навигаторе только АРМы, отмеченные галочкой в этой вкладке. Если ничего не отмечено (по умолчанию), то такой пользователь будет видеть только основной навигатор, без Армов, при настройке "Работать с АРМом" = "Настройки АРМа" или "Не показывать АРМ", либо пустой навигатор, при настройке"Работать с АРМом" = "только АРМ".
Вкладка "Функциональные подразделения"
Применяется в подсистеме "Бизнес процессы" и содержит перечень подразделений, в которые входит пользователь. Сами подразделения задаются в "СПРАВОЧНИКИ \ БИЗНЕС-ПРОЦЕССЫ \ Исполнители \ Подразделения". Подразделение так же необходимо указать в случае применения контроля соответствия вида расхода и назначения платежа (см описание кнопки "Отправить по маршруту" в списке платежных поручений).
Вкладка "Уровни ЭЦП"
Изменение справочника "Уровни ЭЦП".
Права на счета бюджета
По кнопке "Счет бюджета" назначаются права на счета бюджета (счета с назначением "Счет бюджета"). Только с указанными в этом режиме счетами пользователь сможет работать: вводить/редактировать документы, выписки, ведомости и т.п., получать отчетность и т.д. Например, в режиме "Выписка по счету бюджета" выбор счетов ограничен, в т.ч., правами пользователя на счета бюджета.
Особенности
1. Имена пользователей (логин) и групп должны начинаться с буквы. Например, 25Иванов - неправильное имя, Иванов25 - корректное имя пользователя.
2. Права на отчеты.
Пользователю вместе с правом на сам отчет необходимо определить права на следующие объекты:
- ОТЧЕТЫ - Пользовательский запрос. Задает права на созданные запросы в папке "НАВИГАТОР - ОТЧЕТЫ - Общие".
- ОТЧЕТЫ - Пользовательский объединяющий запрос. Задает права на отчеты с выгрузкой в папке "НАВИГАТОР - ОТЧЕТЫ - Пакеты отчетов".
- ОТЧЕТЫ - Пользовательский вариант настроек и отборов. Задает права на создание/изменение вариантов расчета в отчетах.
- ОТЧЕТЫ - Пользовательское иерархическое дерево. Задает права на создание/изменение иерархических отборов в отчетах.
- ОТЧЕТЫ - ПРОЧИЕ ОТЧЕТЫ - Пользовательский запрос (старый). Задает права на пользованиями отчетами, созданными в ранних версиях. Для этого объекта рекомендуется дать всем полные права.
- Дерево настроек - НАСТРОЙКИ - Отчеты - Редактирование варианта отчета. Определяет права пользователя на создание/изменение вариантов расчета отчетов. При значении "НЕТ" пользователь не может:
- создавать новые варианты,
- менять что-либо (отборы, группировки и настройки) в стандартном варианте,
- менять опции настроек и группировок в пользовательских вариантах, но при этом сможет делать свои отборы и задавать дату (период) формирвоания отчета.
3. Язык по умолчанию.
Не устанавливать средствами администрирования SQL Server параметр "default language" (язык по умолчанию) в значение, отличное от "English" для логинов пользователей комплекса.
4. SQL сервер в Active Directory и аутентификация windows.
В "Бюджет-СМАРТ" завести пользователя с именем (логином) в виде имя_домена\логин_пользователя (например: finupr\oper12), где логин_пользователя - имя пользователя домена. В этом случае можно входить в комплекс с аутентификацией windows и с доменной учётной записью.
При этом пользователю/группе домена нужно дать права на чтение/запись подкаталога Binn\ , находящегося в каталоге, куда установлен SQL Server (примерно "C:\Program Files\Microsoft SQL Server\MSSQL\Binn\").