Здравствуйте!

Вроде простая задача, но не получается разобраться. Нужно создать права чтоб пользователь мог видеть и читать документы по одной организации. А по второй организации только программно читать документ, но в списке документы чтоб не видел. Всё это добро на ЕРП:УХ. Вариант работы ограничений доступа Стандартный (, а не производительный).Что я делаю:
1) Создал группу доступа и профиль. В группе доступа в ограничениях доступа указал доступную организацию. Добавил в профиль роль с rls, которая может читать/добавлять и прочее включая просматривать интересующий документ. Запускаю Предприятие. Всё ок. Пользователь видит в списке только свою организацию.
2) Создаю новую группу доступа с новым профилем. В группе доступа в ограничениях доступа указываю вторую доступную организацию. Добавляю в профиль новую роль с rls. В роли есть право ТОЛЬКО право на ЧТЕНИЕ и всё. Запускаю Предприятие. В итоге пользователь видит в списке документы по обеим организациям. Ожидал увидеть документы только по первой организации.
Есть подозрение, что к праву на чтение по умолчанию (в БСП или еще как-то) добавляется право на просмотр. Еще смущает, что в типовой нет ролей отдельно только с правом на чтение. Всегда только в паре чтение/просмотр.
Вопрос к знатокам. Как добиться требуемой настройки?

Спасибо!

Право на просмотр не имеет RLS - вы не можете его ограничить областью данных, кроме как вместе с чтением. Отсюда ему все равно в какой группе доступа, профиле и даже роли вы его добавите. Вы сможете просматривать все, что сможете прочитать.
А зачем программно читать, но не видеть? Может привилегированный  режим спасет?

Чё-то я уже перегрелся похоже. Буду думать над вашим комментарием. Спасибо за помощь!