Данные правила распространяются только на объекты базы данных, к которым необходимо ограничивать доступ на уровне записей.

Описание для права "Чтение":
Для различных полей объекта базы данных можно задавать различные условия доступа на чтение. Если для всех полей объекта базы данных условия доступа к данным на уровне записей одинаковы, то необходимо в таблицу ограничения доступа к данным добавить строку, где в графе "Поля" указать "Прочие поля". Таким образом, указанные права доступа автоматически будут распространяться на все поля объекта базы данных, добавляемые в объект при дальнейшей доработке конфигурации.
Если для различного состава полей объекта базы данных необходимо указывать различные условия на ограничение доступа, то они все должны быть описаны в таблице ограничения доступа к данным.

Для объектов типа справочник, план видов характеристик, план счетов, план видов расчета, план обмена не рекомендуется устанавливать ограничение доступа к данным на чтение для полей Код, Родитель, ЭтоГруппа и Владелец. Для объектов типа документ, бизнес-процесс или задача не рекомендуется устанавливать ограничение доступа к данным на чтение для полей Дата и Номер. При автонумерации, контроле уникальности номеров или автоматическом определении времени может стать невозможным ввод нового объекта.

При описании условий ограничения доступа к данным на чтение следует понимать, что сложные запросы могут выполняться достаточно долго. Это может привести к задержкам при отображении данных в табличных полях (динамических списках) и как следствие к дискомфорту работы пользователя при открытии форм списков объектов. Следует так же отметить, что если в табличном поле присутствуют колонки, связанные с полями объекта базы данных, для которых не определены условия на ограничение доступа к данным на уровне записей (запросы), то замедления в отображении информации не будет.
Если одному пользователю определить несколько ролей, то ограничение доступа к данным будет производиться путем логического сложения условий (операция ИЛИ), определенных для всех ролей пользователя к одному объекту. Полностью идентичные условия ограничения доступа преобразуются в одно. Надо понимать, что установка нескольких ролей одному пользователю может также существенно снизить скорость выборки данных и отображения данных в динамических списках.

Описание для права "Добавление", "Изменение", "Удаление":
Данные права можно назначить только объекту базы данных в целом, без указания отдельных полей объекта.

Дополнительно:
Механизм реализации разделения прав доступа на уровне записей в типовых конфигурациях.

Использование ключевого слова "РАЗРЕШЕННЫЕ" в запросах

Ключевое слово "РАЗРЕШЕННЫЕ" следует применять в запросах осознанно. Применение данного ключевого слова во всех запросах с целью нормальной работы пользователя без возникновения ситуаций с нарушением прав доступа, может привести к искажению данных полученных в результате выполнения запроса. Необходимо понимать, что для корректной работы бизнес-логики, заложенной в конфигурацию, механизмам конфигурации необходимо предоставить доступ ко всей информации которая требуется а не к ограниченной.

Например, если использовать ключевое слово "РАЗРЕШЕННЫЕ" в запросах механизмов определения списания себестоимости товаров при их отгрузке со склада, то себестоимость списания одного пользователя может отличаться от себестоимости другого. В данном случае необходимо поддерживать целостность информации и либо разрешать пользователю чтение информации для корректного отражения хозяйственной операции, либо конфигурация должна прекращать выполнение операции с сообщением о нарушении прав доступа.

Другой пример, если у пользователя отсутствует доступ к контактной информации контактных лиц контрагентов, то пользователь ее не увидит. Данная информация не задействована в бизнес-процессах заложенных в конфигурацию. Ограничение доступа к ней не повлияет на работу конфигурации в целом.