Пользователи

В данном режиме регистрируются пользователи (и группы) программного комплекса Бюджет-СМАРТ:

•	логин (максимум 30 символов), ФИО (250 символов), примечание (250 знаков), пароль, принадлежность к группе. . Ограничение размерности логина связано с совместимостью с СУБД Oracle (логин 30 знаков) .

Красным фоном выделяются пользователи базы данных, которые отсутствуют в самой СУБД (например, после переноса базы на другой сервер) либо наоборот, логины присутствуют в СУБД, но отсутствуют в базе данных : войти под ними в базу данных невозможно. Чтоб восстановить работоспособность таких красных логинов требуется выполнить коррекцию пользователя: см подпункт "Восстановить пользователя" у кнопки "Редактировать". Так же красным фоном выделяются пользователи заблокированные администратором (см. графы "Блок. Пользователь" и "Блок. Логин").

Зеленым фоном выделяются пользователи, созданные в сервисе авторизации: реквизиты таких пользователей, в т.ч. смена пароля, недоступны для редактирования из "Бюджет-СМАРТ".

В режиме навигатора "Расписание работы" можно задать периоды (дни и часы), в которые пользователю запрещено работать в комплексе.

При вводе нового пользователя, указанный для него логин, одновременно регистрируется на SQL сервере как "имя входа". Один раз заведенный логин можно использовать на любых базах этого SQL сервера. Т.о. есть пользователь ПО, и есть имя входа SQL сервера - пароль один. Если в базе есть пользователь, но его "имя входа" на сервере удалено (например, средствами SQL) , то такой пользователь выделен в списке красным фоном и под его учетной записью невозможно работать в комплексе - для этого его нужно восстановить (копкой "Восстановить пользователя") на SQL сервере. Если пользователь есть на SQL сервере (например, заведен в другой базе того же сервера), то при вводе его логина, в окне заведения нового пользователя, автоматически будут заполнены пароль и статус.

При удалении средствами комплекса проверяется применение логина в других базах данных: если применяется, то удаляется пользователь программы, но остатеся на SQL (с выдачей соответствующего уведомления в протоколе проблем удаления); а если не применяется (т.е. только в текущей базе), то удаляется и в базе данных и на SQL сервере (с выдачей успешного протокола).

Удаление пользователя недоступно в случае:

а) если логин является автором документов - в этом случае его надо просто заблокировать, а удалить в базе следующего финансового года.

б) если логин применяется в подсистеме "Управления бизнес-процессами", т.е. :

o	пользователь указан в качестве исполнителя задачи в маршруте;

o	пользователь является: инициатором для документов, находящихся на маршруте; исполнителем какого-либо задания маршрута; или исполнителем, завершившим маршрут - то есть учетная запись пользователя фигурирует в протоколах исполнения документов.

О заведении логинов удаленных, работающих через интернет, пользователей см тему "Администратор групп".

Наименование - логин пользователя, под которым он работает в программе, одновременно является лоигном для подключения к SQL серверу.

Примечание - комментарий к логину пользователя, например ФИО либо наименование организации и т.п.

СисАдмин - признак принадлежности пользователя к роли системного администратора SQL сервера (права на манипуляции с базой данных средствами SQL сервера).

Админ ПК - признак принадлежности пользователя к роли администратора прогарммного комплекса (создание/удаление пользователей, полный доступ к документам и т.п.).

ЭОД/Автомат - признак что у пользователя включен флаг "Настройка автоматов, ЦК, ..." (наличие у пользователя прав на обмен с УФК/Банком, настройки центра контролей, закрытие/открытие дней и т.п.).

Блок. Пользователь - признак что пользователь заблокирован и не может работать в данной конкретной базе данных (в которой осуществляется просмотр пользователей). Блокировка/разблокировка осуществляется администратором комплекса по кнопке "Заблокировать пользователя". Заблокированный пользователь отображается в списке красным цветом.

Блок. Логин - признак что пользователь заблокирован и не может работать с данным СУБД (MS SQL либо Postgre), ни в одной его базе данных. Блокировка/разблокировка осуществляется администратором комплекса по кнопке "Заблокировать логин". Заблокированный логин отображается в списке красным цветом.

Пустой пароль - признак что пользователь не имеет пароля.

Печать - Права доступа пользователя с учетом вхождения в группы.

Выводится отчет, в котором приводится список режимов комплекса с указанием прав доступа к ним для текущего пользователя (на котором установлен курсор). Легенда отчета:

- -назначение прав доступа не предусмотрено (невозможно).

Печать - Группы в которые входит пользователь.

Выводится отчет в виде протокола с перечнем групп, в которые прямо либо косвенно входит пользователь.

Восстановить пользователя - применяется для активации логина(-ов) после переноса базы с другого SQL сервера: пароли и принадлежность к системным администраторам не восстанавливаются. Для того чтобы принудительно заставить пользователей восстановить свои пароли, необходимо включить настройку «Пользователь должен изменить пароль при следующем входе в комплекс».
Если в восстанавливаемой базе есть пользователи (логины), которые уже зарегистрированы на SQL сервере (типа admin и т.п.), то у этих пользователей должно быть отключено применение политики паролей учетных записей компьютера либо политика учетных записей компьютера должна быть мягкой. Иначе при коррекции будет выдана ошибка со ссылкой на несоответствие политики паролей (слишком короткий пароль).

Просмотр политики паролей пользователей СУБД MS SQL: <SQL_server> – Security – Logins - <логин> - Properties - опция "Enforce password policy" (или <SQL_сервер> - Безопасность - Логины - <логин> - Свойства - опция "Использовать парольную политику"). Если включено, значит к данному пользователю SQL сервера применяются политики учетных записей ОС Windows.

Рекомендация разработчиков ПК "Бюджет-СМАРТ" - отключить данную опцию (т.е. не применять политику учетных записей ОС Windows для пользователей SQL сервера).

Просмотра политики паролей учетных записей ОС Windows: Администрирование - Локальная политика безопасности - Политики учетных записей - Политика паролей:

•	Пароль должен отвечать требованиям сложности - если опция [Enforce password policy] включена, то должно быть "Отключен" (для успешного восстановления пользователей).

Заблокировать пользователя - запрет работать в данной базе под этим логином.

Заблокировать логин - заблокировать логин на СУБД сервере (MS SQL либо Postgre), т.о. под этим логином будет невозможно войти ни в какую базу на СУБД. Кнопка доступна системным администраторам.

Удалить - удаляет пользователя из базы данных.

Удалить с логином SQL - удаляет пользователя из базы данных, а так же проверяет использование логина в других базах сервера и при отсутствии применения удаляет логин и с SQL сервера.

Копировать - создает новый логин, включенный в те же группы и с правами на те же комплексы что и исходный логин. Так же копируются назначенные Отборы и вхождение в "Уровни ЭЦП" (но идентификтор очищается). Персональные данные (ФИО, должность и т.п.) и идентификатор в справочнике "Уровни ЭП" - очищаются. Права доступа не наследуются.

Запрещено копирование самого себя, т.е. невозможно создать копию логина, под которым пользователь вошел в комплекс.

Права доступа - назначение пользователю прав доступа на режимы/документы комплекса. Для удаленных пользователей права назначаются не индивидуально, а через группу удаленного доступа (обычно группы вида UD...) .

Счет бюджета - назначение прав доступа на счета бюджета. Актуально только для пользователей финорганов, обрабатывающих выписки/ведомости. Если права на счета бюджета не назначены по этой кнопке, то учитываются права согласно вхождения пользователя в группу бюджетов (групп, созданных в режиме меню "Администратор групп" по дереву бюджетов).

Отборы - ограничение видимости счетов (и корреспондентов). Сами отборы (их содержимое) настраиваются в справочнике "Отборы счетов корреспондентов"). Для удаленных пользователей вместо отборов применяется назначение прав доступа/видимости по дереву иерархии учреждений и бюджетов ( режим "Администратор групп" ).

АРМ навигатора - назначение пользователю АРМа, с которым он будет работать. На пользователя можно назначить только один АРМ.

В навигаторе пользователь видит не только свой АРМ, назначенный ему, но так же АРМы, назначенные группам, в которые входит пользователь (если настройка "Меню Настройки: НАСТРОЙКИ \ Общие \ Работать с АРМом" = Только АРМ ).

Передача - выгрузка в формате xml отобранных пользователей для подсистемы "Сервис авторизации". Предварительно нужно заполнить справочник в меню "Настройки - Шаблоны создания пользователей".
Загрузить полученный файл можно только в указанной подсистеме, при этом параметры логина (права на комплексы, группы и т.п.) будут заданы согласно указанного шаблона создания пользователей - реальные параметры логина, заданные в базе "Бюджет-СМАРТ", не выгружаются.

Имя пользователя - это логин. Каждый пользователь имеет в комплексе уникальный идентификатор - логин, т.е. имя пользователя, состоящее из набора символов и цифр длиной от 2 до 128 знаков, первый символ обязательно буква. Например: otdel12, glavbuh, Lena, СидоровП, Артем_доход. Этот логин указывается при запуске программе в окне регистрации.

Пароль пользователя - пароль для логина, набор символов длиной до 128 знаков. Политика паролей задается в настройках группы "Меню Настройки: НАСТРОЙКИ \ Доступ \ Пароли \". Требования к сложности пароля задается настройками:

Если необходимы более высокие требования к паролю, то следует использовать комплекс "Сервис авторизации".

Если пароль для логина задает пользователь с ролью "системного администратора", то настройки сложности пароля не проверяются - администратор СУБД всегда может задать любой пароль.

Роль пользователя - задает доступность функционала комплекса:

Администратор - пользователь с правами администратора, может: настраивать комплекс, задавать права другим пользователям, а так же имеет полный доступ к функционалу комплекса по умолчанию. Действует только ограничение по заданным счетам бюджета, прочие ограничения прав доступа на администратора не распространяются.

Пользователь - предназначена для логинов обычных пользователей. Без специальных разрешений, по умолчанию, доступ к режимам/документам комплекса отсутствует.

Пользователь с расширенными правами - специальная роль для пользователей муниципальных образований, позволяющая задать им ограниченныый перечень параметров, которые они могут настраивать для своего бюджета самостоятельно, без обращения к администратору комплекса в финоргане субъекта. См описание:

•	справочники: "Отборы корреспондентов" и "Отборы счетов корреспондентов" (графа "Адм", см ниже параграф "Права на корреспондентов и их счета"),

Менеджер системный сообщений - используется в ПК "Бюджет-NEXT" (Бюджет-НЕКСТ) для создания блока новостей в окне входа в комплекс (см "Техническое описание Бюджет-NEXT", раздел 6.)

Системный администратор - опция для роли "Администратор", дает права на режимы по обработке баз данных SQL сервера (резервное копирование и т.п.), обработка пользователей (создание/удаление логинов и т.п.).

Настройка автоматов, ЦК, ... - для пользователей, работающих с режимами электронного обмена (выгрузка/прием выписок/ведомостей), настраивающих формулы ЦК, автоматы бухопераций и т.п..

Нельзя поменять параметры принадлежности к администраторам самому себе, т.е. пользователю, под которым запущен комплекс - соответствующие опции становятся недоступны для изменения.

Рекомендуется логин пользователя указывать по функциям (отделу), выполняемым пользователем, а его ФИО указать в примечании. В случае смены сотрудника достаточно будет изменить примечание, и пользоваться прежним логином, не заводя новый. Например: логин "oper7" (седьмой сотрудник операционного отдела), примечание "Иванова Ольга Ивановна".

Вкладка "Комплекс" - указываются подсистемы, с режимами которых может работать пользователь.

Режимы подсистем, не отмеченных на данной вкладке, будут отсутствовать в навигаторе для этого пользователя.

Если пользователю не поставлено в соответствие ни одного комплекса, то он не сможет работать в программе (о чем будет сообщение при попытке войти в "Бюджет-СМАРТ"). Если пользователю поставлено в соответствие несколько подсистем, то при входе в программу после регистрации пользователь должен будет выбрать, в какой подсистеме(-ах) он будет работать в текущем сеансе.

При использовании одних и тех же комплексов, можно "запомнить" их набор, включив в окне выбора подсистем опцию "Запомнить выбор и не выводить это окно при следующем запуске". Для возвращения режима выбора используемых подсистем при входе в ПО следует изменить настройку на пользователя "Дерево настроек - НАСТРОЙКИ - Доступ - Показывать окно выбора комплексов при входе".

Указывается группа (-ы), в которую входит пользователь и права которой он наследует. Группы добавляются по кнопке "Добавить строку" с последующим выбором из "справочника" групп. Сами группы создаются в меню "Настройки - Группы пользователей" и в меню "Настройки - Администратор групп".

Если пользователь принадлежит нескольким группам, задающим права на разные сущности, то права на счета/корреспондентов определяются по И (AND), т.е. по минимуму из доступного.

2)	две группы: одна бюджет, вторая корреспондентов (из меню "Администратор групп") - будут права на счета/учреждения согласно группе корреспондентов, т.к. группа бюджетов и группа корреспондентов - разные сущности.

2)	отбор счетов №11 и корреспондентов №2 - будут права только на счета из отбора №11, владельцы (прикрепленные) которых есть в отборе корреспондентов №2, т.е. права в пересечении обоих отборов, т.к. в отборах разные сущности.

Указывается группа (-ы), которыми пользователь с расширенными правами может управлять: назначать права доступа, права на счета бюджета, используемые отборы. Вкладка доступна только при обработке пользователя со статусом "Пользователь с расширенными правами".

Указываются индивидуальные параметры пользователя программы: ФИО, должность, номер служебного телефона - применяются для автоматического заполнения отчетных форм и документов 8н.

•

Сертификат входа - является элементом реализации политики входа в программу по сертификату. Поле предназначено для привязки сертификата входа в программу к пользователю, заполняется серийным номером сертификата , например 48 09 x8 15 xx 00 00 00 0x x3.
При входе в комплекс пользователь на вкладке "Соединение" в поле "Сертификат" выбирает сертификат, под которым он будет входить в программу - он сверяется с сертификатом пользователя на вкладке "Исполнитель", при несоответствии - отказ в доступе. При заполненном сертификате на вкладке "Исполнитель" указание сертификата при входе в программу - обязательно. При этом сначала проверяется введенные логин и пароль, при успешной проверке - далее сверяется сертификат.

•

Email - адрес электронной почты пользователя. Используется для отправки сообщений пользователю на внешнюю электронную почту и для получения входящих сообщений из внешней почты пользователя, в случае включения в настройке "Использование внешних почтовых ящиков" применения внешней почты при обработке внутренней почты комплекса.

•	Имя входа email - логин внешнего email пользователя (указанного в поле "Email"). Используется для чтения входящих сообщений внешнего email для отображения во внутренней почте.

•	Пароль email - пароль внешнего email пользователя (указанного в поле "Email"). Используется для чтения входящих сообщений внешнего email для отображения во внутренней почте. Реквизиты сервера внешней почты пользователя задаются в настройках: POP3 сервер, SMTP сервер.

Вкладка активируется только для пользователя со статусом "Пользователь с расширенными правами" - и ему доступны в навигаторе только АРМы, отмеченные галочкой в этой вкладке. Если ничего не отмечено (по умолчанию), то такой пользователь будет видеть только основной навигатор, без Армов, при настройке "Работать с АРМом" = "Настройки АРМа" или "Не показывать АРМ", либо пустой навигатор, при настройке"Работать с АРМом" = "только АРМ".

Применяется в подсистеме "Бизнес процессы" и содержит перечень подразделений, в которые входит пользователь. Сами подразделения задаются в "СПРАВОЧНИКИ \ БИЗНЕС-ПРОЦЕССЫ \ Исполнители \ Подразделения". Подразделение так же необходимо указать в случае применения контроля соответствия вида расхода и назначения платежа (см описание кнопки "Отправить по маршруту" в списке платежных поручений).

По кнопке "Счет бюджета" назначаются права на счета бюджета (счета с назначением "Счет бюджета"). Только с указанными в этом режиме счетами пользователь сможет работать: вводить/редактировать документы, выписки, ведомости и т.п., получать отчетность и т.д. Например, в режиме "Выписка по счету бюджета" выбор счетов ограничен, в т.ч., правами пользователя на счета бюджета.

По кнопке "Доступ" задаются права пользователям с ролью "Пользователь" на различные режимы комплекса. Для пользователей с ролью "Администратор комплекса" настройки прав доступа не учитываются.

При этом следует помнить, что они могут быть взаимоувязаны. Например, пользователю Lena разрешен для ввода/редактирования документ "Бюджетная роспись (расходы)". В этом случае ему должен быть разрешен доступ (как минимум на чтение) и к справочнику счетов корреспондентов, чтобы он смог указать счет получателя при вводе бюджетной росписи.

Для каждого режима могут быть заданы следующие права:

•	Зачисление черновика - право на зачисление черновиков в беловики. При создании нового пользователя это право наследуется от системного пользователя <все> (по умолчанию право дано). Видимость кнопки "Принять к исполнению" в списке документов зависит от наличия прав доступа на этот функционал.

•	Перенос в черновики - право на возврат документов в черновики. При создании нового пользователя это право наследуется от системного пользователя <все> (по умолчанию право дано). Видимость кнопки "Перенести в черновики" в списке документов зависит от наличия прав доступа на этот функционал.

! Если права на настройки даны, то обычный пользователь может так же настраивать глобальные настройки соответствующих документов (типа: уровень закрытия, шаблон печати и т.п.), в т.ч. "Общее значение" и персональные настройки другим пользователям. Если прав нет, то обычный пользователь (не администратор) может менять только пользовательские свои настройки (типа подписи, пользовательского шаблона и т.п.).

Здесь же можно задать права (видимость) кнопок панели инструментов настраиваемого режима по кнопке "Доступ к элементам панели инструментов".

Доступ к режимам/документам комплекса: задаются (хранятся) значения разрешений. Если разрешения нет - нет галки в графе "Разрешить" - значит доступ запрещен. Т.о. чтоб у пользователя были права на какой-либо режим, нужно задать права доступа либо для группы, в которую входит пользователь, либо самому пользователю персонально. А чтоб у пользователя не было прав на какой-либо документ, требуется чтоб отсутствовали разрешения и у пользователя и у его группы (групп) либо чтоб хотя бы в одной группе пользователя (либо у самого пользователя) был выставлен явный запрет (галка в графе "Запретить").

Доступ к кнопкам панели инструментов: задаются (хранятся) значения запретов. Если запрета нет - значит кнопка доступна. Т.о. чтоб у пользователя были права доступа к кнопке, требуется чтоб не было запрета ни у пользователя ни у его группы (групп). А чтоб у пользователя не было прав на какую-либо кнопку, нужно запретить доступ либо для группы, в которую входит пользователь, либо самому пользователю персонально.

По кнопке "Отборы" задаются права пользователя на отборы счетов и корреспондентов.

В комплексе имеется фиксированный набор отборов счетов и корреспондентов. Пользователь может применять (вводить в документах) только те счета, которые включены в назначеннные пользователю отборы.

По умолчанию каждый вновь введенный счет и/или корреспондент включается в отбор №1. Все прочие отборы заполняются администратором комплекса по своему усмотрению.

Так же по умолчанию каждый вновь введенный пользователь получает права на отборы №1.

Заполнение отборов счетов осуществляется в справочнике "Отборы счетов корреспондентов", а отборов корреспондентов - справочнике "Отборы корреспондентов".

Если пользователю назначить права на незаполненный отбор, то пользователь не сможет вводить документы (т.к. не сможет ввести счет отправителя/получателя).

Данные пользователю права на запись в отборах определяют отборы, в которые будет попадать создаваемая этим пользователем новая справочная информация по корреспондентам и счетам. Например, если пользователь введет новый счет в справочник, то этот счет добавиться только в те отборы, в которых данный пользователь имеет права на запись (при этом может не иметь парв на чтение).

Например, пользователю назначены права на отбор счетов №3 (чтение и запись) и отбор №2 (чтение). Если пользователь добавит в справочник новый счет, то доступен он будет только пользователям отбора №3.

Пользователю, работающему с рейсами по 02 л/с бюджета, в отборы счетов необходимо включать 032х1 р/с (счет открытия 02 л/с), а так же сам 02 л/с .

Графа "Адм" предназначена для предоставления возможности пользователю с расширенными правами редактировать определенные отборы: такой пользователь увидит эти отборы в справочнике "Отборы ..." и сможет назначать их пользователям, которыми ему разрешено управлять, а так же менять содержимое отборов.

1. Имена пользователей (логин) и групп должны начинаться с буквы. Например, 25Иванов - неправильное имя, Иванов25 - корректное имя пользователя.

Пользователю вместе с правом на сам отчет необходимо определить права на следующие объекты:

•	ОТЧЕТЫ - ПРОЧИЕ ОТЧЕТЫ - Пользовательский запрос (старый). Задает права на пользованиями отчетами, созданными в ранних версиях. Для этого объекта рекомендуется дать всем полные права.

•	Дерево настроек - НАСТРОЙКИ - Отчеты - Редактирование варианта отчета. Определяет права пользователя на создание/изменение вариантов расчета отчетов. При значении "НЕТ" пользователь не может:

o	менять опции настроек и группировок в пользовательских вариантах, но при этом сможет делать свои отборы и задавать дату (период) формирвоания отчета.

Не устанавливать средствами администрирования SQL Server параметр "default language" (язык по умолчанию) в значение, отличное от "English" для логинов пользователей комплекса.

4. SQL сервер в Active Directory и аутентификация windows.

В "Бюджет-СМАРТ" завести пользователя с именем (логином) в виде имя_домена\логин_пользователя (например: finupr\oper12), где логин_пользователя - имя пользователя домена. В этом случае можно входить в комплекс с аутентификацией windows и с доменной учётной записью.

При этом пользователю/группе домена нужно дать права на чтение/запись подкаталога Binn\ , находящегося в каталоге, куда установлен SQL Server (примерно "C:\Program Files\Microsoft SQL Server\MSSQL\Binn\").