во всех конфигурациях есть некие группы пользователей, где-то это простые группы, где-то это роли привязанные к организации и т.д. Но реально рулить сотнями групп - тяжело....

суть идеи в следующем

делаем некий аналог "отделов" (я называю "функциональная роль"), состав одного отдела меняется в зависимости от аналитик (это может быть Организация, ЦФО, Проект и т.д.)

пример
функциональная роль - "бухгалтерия"
Иванов привязан как руководитель к "Бухгалтерия"+"ООО Накладка", Петров привязан к "Бухгалтерия"+"ООО Накладка",
Петров привязан как руководитель к "Бухгалтерия"+"ООО Ромашка"

права в 1с им выделяются одинаковые с РЛС по организациям

но Иванов имеет право запретить Петрову часть действий, например запрет может выдаваться на проведение или открытие конкретных видов документов по связки "Бухгалтерия"+"ООО Накладка".

При этом запреты перекрываю разрешения, то есть если по отделу "Руководство"+"ООО Ромашка" Петров не ограничен созданием СФ, а по "Бухгалтерия"+"ООО Ромашка" Иванов ему поставил такой запрет, то доступа не будет.


тем самым мы достигаем 2 вещи
1. программисты (или администраторы) выдают права только в первом приближении (не вникаю в нюансы), а тонкими настройками рулят руководители "функциональных ролей"
2. реализовывается четкое разграничение зон ответсвенности

отдел = "Профиль" и вуаля

но я б дожностями рулил

(0) проблема в том - что руководителю рулят, а ты под рулять вкладываешь смысл "работают". у руководятела своих проблем полно. а ты ему вот вам ивансемены - расставьте галочки..

...чертовски далеки были они от народа...

Не взлетит ибо сложно настраивать галочками.
Нуна чтобы права автоматически создавались по действиям.

Нажали кнопочку "автосоздание прав", ввели пароль товарища выше и выполняем какие то действия (создание СФ и т.д.), права пишутся для требуемого.
Потом выходим из режима "автосоздания прав" и усе, все что не разрешено - то порезано.

(0) Есть уже такое

+(5) ну или очень-очень близкое по функционалу

до "иванов имеет право разрешить петрову" не дочитал. Обычно такое делается другими методами. Например при превышении дебиторки пользователь со спец пролью добавляет запись в РС (визу-согласование), с  которой документ проводится даже с превышением дебиторки.

(1) тут фишка в том, что связка роль+аналитика

например универсальный БП, бухгалтерия где Иванов должен подписывать "Ромашку" а Петров "Лютики", но видимость у них полная...

руководитель бухгалтерии сам ставит галки кто чего подписывает....

(5) я такого не видел, в 1с все права работают по сумме разрешений, явных запретов которые перекрывают существующие разрешения я не видел в 1с

(2) по существу моя схема очень близка рулению по должностям, только с должностями поди раздели должность бухгалтера по направлениям работы, например один бухгалтер отвечает за торговлю а другой за аренду, оба делают акты и СФ...

С правами лучше идти от идеологии "не пущать". То есть выдавать разрешения на определённые действия.

(10) файловые права на запрет всегда перебивают права разрешения, и всякие брандмауры и прочее...

не взлетит пока фсе не прилетят, а вылет любого производится вне зависимости от (само)вменяемого статуса
как-то так, не?

(9) N групп профилем с с RLS по организации на проведение и 1 на просмотр всего (или N - с RLS по организации). Обработка включает и выключает пользователей в группы + автоматом создает группы с профилями по новым организациям.

а. и еще по одной группе с доступом, но полным запретом по RLS. Тогда пользюкам даже перезаходить не надо будет.

(11) Я не про файлы, это само собой. Просто права легче выдать, если есть необходимость, нежели отловить их излишество.

(9) когда-то это предлагалось разруливать регистрами правил... :-)
это было так давно...

(8) Посмотри тут http://konbi.ru/ Вроде похоже на (0).