Можно ли дать пользователю возможность создавать и редактировать пользователей ИБ, но запретить все остальные действия с ИБ (работа с конфигурацией, ТиИ, загрузка/выгрузка данных и т.п.)? Смотрю, даже для програмной работы с объектом ПользователиИнформационнойБазы требует разрешения Администрирование, а это дает возможность делать вообще что угодно (почти). Можно это как-то обойти или заб(и)ыть и не выдумывать?

РИБ тебе в помощь - конфигурация подчиненного узла недоступна для редактирования.

(0) А что мешает пользователю создать пользователя с правами на администрирование ИБ?

(0)>даже для програмной работы с объектом ПользователиИнформационнойБазы требует разрешения Администрировани

Общий привилегированный модуль?

(2) это изъян постановки

Если пользователь может создавать пользователей и давать им права, то он может сделать пользователя с админскими правами.

(2) этого можно было бы избежать (не создания, конечно). Например, создать регистр сведений, в котором Администратор может вписать пользователей, которым разрешено работать с ролью Администратор, и права на изменение этого регистра только у Администратора. При запуске проверять. Но это имело бы смысл, если бы можно было создать роль, дающую право создавать пользователей, но не Администратор )

Например, для обхода RLS есть привилегированный режим. А вот роль обойти нельзя.

А нет, это я туплю ))) Все получилось через привилегированный режим.
Пользователи создаются обработкой, и там нет возможности выбрать те роли, которые низзя. Просмотреть пользователей в конфигураторе тоже низзя. Все работает как хотелось!

(8) А обработку запускают через меню "файл"?

Нет, обработка встроенная. Через внешнюю, думаю, только в файловом режиме может получиться.