Ограничение доступа по группе пользователей УПП 8.1

Здравствуйте... подскажите пожалуйста.. как ограничить в группе пользователей доступ по одной из двух организаций в УПП 8.1....чтобы эта группа видела только 1 организацию, а другую - нет.

Я создала группу пользователей добавила для нее ограничичение по организации.. поставила что ни читать, ни записывать пользователи не могут по ней... но однако... заходя под одним из пользователем группы в базу.. доступ к этой организации все равно остался((  Играют ли здесь значения роли? Допустим, если в ролях доступ для чтения и изменения есть...а по группе пользоватьеля стоит запрет на чтения и изменение... что будет приоритетней?? Ведь если можно ограничить это все ролями....смысл тогда этих групп? я мучаюсь 2 день уже....пожалуйста помогите!

Ограничение по группам - это включение РЛС, а РЛС- это "свойство" ролей. Так что впринципе ограничение по группам это всего лишь разделение прав по пользователям, чего в роли сделать напрямую нельзя. В общем получается, что включив такое ограничение - это ограничили ролью или точнее разрешили.
Другое дело, что как правило эти ограничения РЛС не у всех ролей. Другие роли могут позволить игнорировать РЛС.
Например:
Пользователю назначена роль Кладовщик (и Пользователь) и больше ничего. И в группе пользавателей, к который он относится стоит галка на виде объекта по организации, а на закладке Огранизации - выбрана та, к которой пользователь имеет доступ. Тогда пользователь может видить только документы по этой организации и создавать, если стоит галка на запись.
Далее возможно 2 варианта:
1. Вы создаете роль Кладовщик1 и ставите галку на чтение, но не прописываете правило РЛС. При подключении такой роли вашему пользователю получиться, что он видит все оргинизации.
2. Ваш пользователь находиться в 2-х группах, причем во второй группе отключен контроль по организации или включен, но гораздо шире. Тогда сработает более широкая настройка.

Итого - из всех ограничений выбирается то, которое дает больше прав.

> Ограничение по группам - это включение РЛС, а РЛС- это "свойство" ролей. Так что впринципе ограничение по группам это всего лишь разделение прав по пользователям, чего в роли сделать напрямую нельзя. В общем получается, что включив такое ограничение - это ограничили ролью или точнее разрешили.
> Другое дело, что как правило эти ограничения РЛС не у всех ролей. Другие роли могут позволить игнорировать РЛС.
> Например:
> Пользователю назначена роль Кладовщик (и Пользователь) и больше ничего. И в группе пользавателей, к который он относится стоит галка на виде объекта по организации, а на закладке Огранизации - выбрана та, к которой пользователь имеет доступ. Тогда пользователь может видить только документы по этой организации и создавать, если стоит галка на запись.
> Далее возможно 2 варианта:
> 1. Вы создаете роль Кладовщик1 и ставите галку на чтение, но не прописываете правило РЛС. При подключении такой роли вашему пользователю получиться, что он видит все оргинизации.
> 2. Ваш пользователь находиться в 2-х группах, причем во второй группе отключен контроль по организации или включен, но гораздо шире. Тогда сработает более широкая настройка.
>
> Итого - из всех ограничений выбирается то, которое дает больше прав.

Спасибо... но проблема разрешилась уже... Дело было совсем в другом... Я ставила правап на организацию основную...после того как создала 2 организацию... А как только я сначала поставила право по группе читать и записывать данные по основной организации...потом уже создала организацию другоу, котолрую и не должны были видеть...только аосле этого все получилось...странно ...но только так.