Содержание:

1. Вершина пирамиды: администраторы центрального сервера 1С (Агента сервера)
2. Уровень ниже: администраторы кластера 1С
3. Зачем такое разделение ролей пользователей в 1С

Многие, кто работает с 1С, знакомы с понятием «Администратор» в контексте пользователя информационной базы. Но когда речь заходит о клиент-серверной архитектуре, появляются дополнительные, более высокие уровни администрирования, связанные с работой самих серверов 1С:Предприятия. И здесь важно не запутаться.

Вершина пирамиды: администраторы центрального сервера 1С (Агента сервера)

Центральный сервер (или, как его еще называют, агент сервера – ragent) – это главный управляющий компонент серверной части 1С. Именно он отвечает за запуск и остановку рабочих процессов, управление кластерами, лицензирование и общую координацию.

• Кто они? Администраторы центрального сервера – это самые привилегированные пользователи на уровне всей серверной установки 1С. Они имеют полный контроль над всеми кластерами, созданными на данном сервере (или группе серверов, если настроена отказоустойчивость агента).
• Их полномочия:
  • Создание, удаление и настройка кластеров серверов 1С.
  • Назначение и изменение списка администраторов для каждого конкретного кластера.
  • Управление настройками самого центрального сервера (порты, интервалы и т.д.).
  • Просмотр общей информации о работе всех кластеров.
• Как управляются? Список администраторов центрального сервера обычно задается на уровне операционной системы, под которой запускается служба агента сервера (ragent). Если служба запускается от имени системной учетной записи (например, Local System), то администраторами центрального сервера, по сути, являются администраторы самой операционной системы на данном сервере. Если же служба агента сервера сконфигурирована для запуска от имени определенного пользователя ОС, то именно этот пользователь (и те, кто имеет его учетные данные или входит в ту же группу с нужными правами) может администрировать центральный сервер.
  В некоторых конфигурациях через консоль администрирования серверов 1С (при подключении к центральному серверу) можно задать список пользователей ОС, которые будут иметь права администратора центрального сервера.
• Принцип минимальных привилегий: Количество администраторов центрального сервера должно быть строго ограничено. Это «ключи от всего королевства», и доступ к ним должен быть только у самых доверенных и квалифицированных специалистов.

Уровень ниже: администраторы кластера 1С

Кластер серверов 1С – это логическая группа одного или нескольких рабочих серверов, которые обрабатывают запросы от пользователей к информационным базам.

• Кто они? Администраторы кластера – это пользователи, которым делегированы права на управление конкретным кластером серверов 1С. Они не могут управлять другими кластерами (если им явно не даны такие права и на них) и не могут изменять настройки центрального сервера.
• Их полномочия (в рамках своего кластера):
  • Создание, удаление и настройка информационных баз.
  • Управление рабочими процессами (rphost) и менеджерами кластера.
  • Управление сеансами пользователей, соединениями.
  • Настройка параметров кластера (например, уровня отказоустойчивости, количества ИБ на процесс и т.д.).
  • Управление блокировками регламентных заданий для ИБ этого кластера.
  • Назначение других администраторов данного кластера (если у них есть на это права).
• Как управляются? Список администраторов кластера задается через консоль администрирования кластера серверов 1С:Предприятия. Администратор центрального сервера (или другой администратор кластера с соответствующими правами) может добавлять или удалять пользователей ОС в список администраторов конкретного кластера.

Зачем такое разделение ролей пользователей в 1С

1. Безопасность: Гранулированное управление доступом. Не нужно давать права на управление всеми кластерами человеку, который отвечает только за один из них (например, за кластер тестовой среды).

2. Делегирование полномочий: В крупных компаниях с множеством кластеров (например, для разработки, тестирования, продуктивной эксплуатации разных систем) это позволяет распределить ответственность.

3. Организационный порядок: Четкое разделение зон ответственности упрощает администрирование и поиск виновных в случае инцидентов.

Лучшие практики и рекомендации:

• Минимизируйте количество администраторов центрального сервера. Идеально – 1-2 человека.
• Используйте отдельные учетные записи ОС для администраторов кластеров, а не общие или личные учетки системных администраторов широкого профиля.
• Регулярно проводите аудит списков администраторов и там, и там. Удаляйте тех, кому доступ больше не нужен (уволился, сменил обязанности).
• Документируйте, кто за что отвечает и почему имеет тот или иной уровень доступа.
• При назначении прав администратора кластера будьте внимательны: не давайте права на администрирование кластера тем, кто должен администрировать только конкретную информационную базу.

Правильное управление списками администраторов центральных серверов и кластеров – это не просто формальность, а основа безопасной и контролируемой эксплуатации вашей серверной инфраструктуры 1С. Это позволяет применять принцип наименьших привилегий, эффективно делегировать задачи и снижать риски, связанные с человеческим фактором. Мы, системные администраторы, должны четко понимать эту иерархию и строго следить за порядком на этих «верхних этажах» администрирования.

Специалист компании ООО “Кодерлайн”,

Романюк Евгений