Актуализация списка пользователей базы 1С по данным Active Directory

Основная задача

Довольно часто можно встретить ситуацию, когда люди уходят из компании, а их учетные записи в базе 1С остаются. Проходит много времени, в базе 2-3 тысячи учеток и никто не знает, чьи они, пока со стороны информационной безопасности не приходит вопрос: как в базах 1С осуществляется актуализация учетных записей?

Чтобы этот вопрос не застал врасплох, и была написана эта обработка.

Обработка умеет выполнять 2 вида проверок:

1. Проверка наличия возможности авторизоваться под логином и паролем, при условии, что пароль пустой.
2. Сверка учетных записей при возможности авторизоваться по данным ОС со списком пользователей в Active Directory.

Порядок работы

Для того, чтобы данная обработка помогала очищать вашу базу от устаревших пользователей, вы должны внутри компании применить правило, что все пользовательские учетные записи 1С должны авторизоваться только через ОС. Лишь отдельные учетные записи должны иметь возможность заходить под логином и паролем, такие как служебные пользователи и пользователи для регламентов.

Обработка должна быть сохранена в дополнительные отчеты и обработки в базе 1С, без этого она даже при открытии через "Файл \ Открыть" не сможет работать правильно, т.к. настройки она сохраняет в базу 1С. Конфигурация в которой будет работать данная обработка, должна быть построена на базе БСП и в ней должен быть включен функционал дополнительных обработок.

Алгоритм

Алгоритм сверки пользователей с AD

1. В обработке хранятся три таблицы:
   1. Таблица со списком пользователей-исключений, которые не будут отключаться. К ним будут отнесены служебные пользователи базы.
   2. Таблица для хранения пользователей с отключенной авторизацией и датой отключения.
   3. Таблица со списком адресов электронной почты для уведомления об изменениях, выполненных обработкой. Уведомления по почте будут выполняться только в случае работы обработки как регламентного задания. Так же обработка логирует свои изменения в журнале регистрации.
2. Обработка получает все активные записи Active Directory (AD).
3. Обработка проверяет таблицу отключенных пользователей на предмет валидности их AD аккаунтов. Если УЗ AD отключенного пользователя валидна, то у пользователя ИБ включается авторизация ОС, разрешается вход в систему и он удаляется из списка к отключению.
4. Далее обработка проверяет список пользователей базы, если пользователь не был обнаружен в AD, то система проверяет его нахождение в таблице исключений.
5. Если пользователь есть в таблице исключений, то система приступает к проверке следующего пользователя.
6. Если пользователя нет в таблице исключений, то система проверяет его наличие в таблице отключенных пользователей.
7. Если он есть в таблице отключенных пользователей, то система проверяет следующего пользователя.
8. Если пользователя нет в таблице отключенных, то у него отключается возможность входа в систему (отключаются все флаги авторизации у пользователя информационной базы), а в справочнике Пользователи ставится флаг Недействителен. Если возможность входа у пользователя уже отключена, то он просто добавляется в таблицу отключенных.
9. После проверки всех пользователей, система начинает проверку таблицы отключенных пользователей. Если пользователь был отключен более 30 суток назад, то пользователь информационной базы удаляется, с ним удаляется и запись в таблице заблокированных пользователей.
10. По факту добавления пользователя в таблицу отключенных пользователей на техподдержку отправляется письмо, содержащее название базы и учетные записи, которые были отключены. Помимо письма в журнал регистрации делается соответствующая запись уровня Информация.
11. По факту удаления пользователей информационной базы делается соответствующая запись журнала регистрации уровня Информация

Алгоритм проверки пустых паролей

1. Обработка получает список пользователей информационной базы
2. Если в УЗ включена авторизация 1С (логин+пароль), но пароль пуст, то обработка отключает авторизацию 1С.
3. По результатам отключения обработка отправляет письмо согласно таблице со списком информируемых. 
4. По факту отключения авторизации обработка пишет лог в журнал регистрации.

Не следует путать пользователя информационной базы и справочник Пользователи. Обработка удаляет лишь пользователей ИБ, в справочник она лишь ставит признак Недействителен. Это нужно для того, чтобы нарушать ссылочную целостность базы, т.к. ссылки на справочник должны оставаться даже после увольнения пользователя.

Команды обработки

• Сохранить настройки - сохраняет список таблиц в базу
• Проверить пользователей по AD - сверяет пользователей с AD. Тех, кого нет в таблице исключений и таблице отключенных, добавляет в таблицу отключенных пользователей
• Отключить авторизацию отключенным пользователям - проходится по таблице отключенных пользователей и для тех, кто добавлены в эту таблицу более 30 дней назад в справочник Пользователи ставит признак Недействителен, пользователя информационной базу удаляет, а из таблицы отключенных пользователей удаляет соответствующую строку
• Проверка пустых паролей - отключает 1С авторизацию тем пользователям, у которых включена авторизация по логину и паролю и пароль пуст. Если у пользователя дополнительно установлена авторизация ОС, то эту авторизацию обработка не тронет.
• Показать данные AD - выведет отчет по учетным данным в Active Directory