Ошибка авторизации, доступ запрещен, просмотр файла bitrix admin index, php запрещен
Обновлено: 21.11.2024
Разрешения на доступ
Этот уровень прав доступа проверяется в прологе и назначается в служебном файле .access.php, содержащем массив PHP в следующем формате:
- D - запретить (любой доступ к файловому объекту запрещен);
- R - чтение (разрешен доступ на чтение);
- U - рабочий процесс (файл может быть изменен в режиме рабочего процесса);
- W - запись (файл можно изменить напрямую);
- X — полный доступ (подразумевает доступ на запись и права на редактирование).
Если установлен модуль Site Explorer, вы можете назначить разрешения вручную в административном разделе (меню -> Управление->Доступ).
Примечание
Если пользователь является членом более чем одной группы, берется максимальное разрешение среди этих групп.
Примечание
Если текущему файлу или папке явно не назначено разрешение на доступ, берется разрешение на доступ к родительской папке.
Пример
Файл /dir/.access.php
При попытке открыть страницу /dir/index.php пользователь, входящий в группу ID=3, будет иметь разрешение D (запретить), а пользователь из группы > будет иметь разрешение R ( читать). Пользователь, входящий в обе группы, будет иметь максимально возможное право доступа R (чтение).
Пример
Файл /.access.php
Файл /admin/.access.php
При попытке открыть страницу /admin/index.php доступ может быть предоставлен пользователю, входящему в группу ID=3, в то время как пользователю из группы ID=2 доступ не может быть предоставлен. Все пользователи могут получить доступ к странице /index.php.
Уровень 2. Права, управляемые логикой модуля
К обычным статическим общедоступным страницам может применяться только уровень доступа 1 (см. выше).
Если у пользователя есть минимальное разрешение R (чтение) на файл, и если файл является функциональной частью модуля, проверяются разрешения уровня доступа 2. Эти права задаются в настройках соответствующего модуля.
Пример
Открывая страницу техподдержки Тикетов, администратор просматривает все тикеты, тогда как сотрудник техподдержки может просматривать только те тикеты, за которые он отвечает, а обычный пользователь может просматривать только свои личные тикеты. Так работает разрешение на доступ в логике модуля технической поддержки.
В настоящее время используются два подхода с разрешениями уровня доступа 2:
Основное различие между этими методами заключается в следующем: если у пользователя более одного разрешения, выбирается максимальное разрешение; в то время как если у пользователя есть более одной роли, предполагается, что у него есть общий набор ролей.
Роли в настоящее время поддерживаются следующими модулями: Техническая поддержка и Реклама. Все остальные модули используют разрешения.
Обратите внимание, что когда вы добавляете получателей электронной почты в задачи или сообщения Ленты активности, эти получатели электронной почты не считаются пользователями аккаунта и не имеют доступа к вашему Битрикс24. Такие пользователи получают задачи и публикуют обновления по электронной почте и могут совместно работать над ними через веб-страницу сети Битрикс24, которая показывает только публикации или задачи, на которые был приглашен получатель электронной почты.
Администраторы аккаунта
Создатель учетной записи Битрикс24 по умолчанию получает административный доступ к учетной записи. Когда создатель учетной записи приглашает новых пользователей, он также может предоставить им административный уровень доступа (используйте опцию «пользователь имеет административный доступ к порталу» на странице профиля пользователя).
Чтобы получить доступ ко всей скрытой информации (например, ко всем задачам определенного пользователя), администратор учетной записи должен включить режим администратора на странице собственного профиля. Нажмите маленькую стрелку рядом со знаком администратора > Режим администратора.
Чтобы выйти из режима администратора, вернитесь на страницу своего профиля и нажмите соответствующую кнопку:
Создатель аккаунта в Битрикс24 может быть (или не быть) назначен Главным руководителем компании (директором). Это можно изменить в любое время — просто перетащите текущего руководителя в другой отдел или раздел сотрудников:
Назначить другого пользователя супервизором:
Место высшего руководителя также можно оставить пустым, если тип вашей организации не включает роли руководителей.
Обратите внимание, что для некоторых настроек учетной записи может потребоваться доступ с правами администратора. Например, страница настроек аккаунта, OTP-авторизация, настройки времени и отчетов и т. д.
Доступ администратора к данным других пользователей учетной записи
Важно отметить, что, несмотря на то, что пользователи с правами администратора (в режиме администратора) могут получать доступ к записям, задачам и файлам других пользователей учетной записи, где им не было предоставлено разрешение на прямой доступ, все же есть некоторые области, которые остаются закрытыми для каждый пользователь аккаунта:
Права доступа в CRM необходимы для разделения зон ответственности при работе с клиентами. Сотрудник не будет тратить время на обработку чужих лидов, не сможет изменить информацию о компании или экспортировать клиентскую базу.
Проверьте, можно ли настроить разрешения на доступ к CRM в вашем плане. Всю информацию о тарифах Битрикс24 вы можете найти на странице с ценами.
Права доступа настраиваются следующим образом: вы создаете роль в CRM, назначаете ее сотруднику, отделу или группе сотрудников и редактируете права доступа конкретной роли.
Как настроить роли в CRM
Роль в CRM — определенный набор разрешений, которые могут быть назначены одному или нескольким сотрудникам, отделу или группе.
Представьте, что отдел продаж состоит из 20 менеджеров, у которых должны быть одинаковые права доступа в CRM. В Битрикс24 не нужно много раз настраивать одни и те же права. Вы создаете роль, например. менеджера по продажам, настройте один раз и назначьте всем нужным сотрудникам.
Перейдите в CRM – Настройки – Разрешения – Разрешения на доступ.
Справа отображается список ролей. По умолчанию доступны две роли: Менеджер и Администратор. При необходимости вы можете создать дополнительные роли или удалить ненужные.
Как создать и удалить роль
Не следует создавать отдельную роль для каждого сотрудника. Чем больше ролей вы создаете, тем сложнее их настраивать и поддерживать в актуальном состоянии.
Нажмите "Добавить" под списком ролей.
Укажите имя роли и сохраните настройки. Мы рассмотрим права доступа позже.
Если вы хотите удалить роль, нажмите крестик.
Слева отображается список сотрудников с ролями.
Нажмите Добавить разрешение на доступ под списком сотрудников.
Вы можете выбрать конкретного пользователя, отдел компании или члена группы/проекта.
Укажите роль в CRM для выбранного вами сотрудника или группы сотрудников.
Старайтесь избегать конфликтов разрешений. Это происходит, когда для одного и того же сотрудника устанавливаются разные, часто противоположные, права доступа. Например, минимальные права установлены для отдела, а максимальные — для сотрудника лично.
Как установить разрешения для ролей
Каждая роль имеет набор разрешений. Они определяют, какие действия с какими элементами CRM может выполнять сотрудник.
Выберите роль, которую хотите настроить, и нажмите кнопку редактирования.
Список элементов находится слева. Список возможных действий находится в верхней части. Права доступа к элементам находятся справа.
При использовании SharePoint Online или OneDrive для бизнеса вы можете получить одно из следующих сообщений об ошибке:
- Отказано в доступе
- Для доступа к этому сайту требуется разрешение
- Пользователь не найден в каталоге
Причина
Есть много сценариев, которые могут вызвать одно из этих сообщений. Наиболее распространенная причина заключается в том, что разрешения для пользователя или администратора настроены неправильно или вообще не настроены.
Вариант решения 1. Запустите диагностику доступа пользователей
.Для этой функции требуется учетная запись администратора Microsoft 365. Эта функция недоступна для Microsoft 365 для государственных организаций, Microsoft 365 под управлением 21Vianet или Microsoft 365 для Германии.
Пользователи-администраторы Microsoft 365 имеют доступ к диагностике, которую можно запустить в клиенте для проверки возможных проблем с доступом пользователей.
Выберите «Выполнить тесты» ниже, чтобы заполнить диагностику в центре администрирования Microsoft 365.
Диагностика выполняет широкий спектр проверок для внутренних пользователей или гостей, пытающихся получить доступ к сайтам SharePoint и OneDrive.
Вариант решения 2. Выберите наиболее подходящий вариант и следуйте инструкциям по устранению проблемы
Во многих примерах в этой статье используется заполнитель. В вашем сценарии замените домен, который используется для вашей организации.
Определить уровень разрешений, который должен быть у пользователя на сайте (участник, владелец и т. д.).
Если у пользователя нет соответствующих разрешений, предоставьте ему разрешения на доступ к файлу или сайту.
Если пользователь продолжает получать сообщение об ошибке, удалите его с сайта. Затем предоставьте пользователю права доступа к файлу или сайту.
Если пользователь является владельцем сайта OneDrive
Эта проблема чаще всего возникает при удалении и повторном создании пользователя с тем же основным именем пользователя (UPN). Новая учетная запись создается с использованием другого значения уникального идентификатора. Когда пользователь пытается получить доступ к семейству веб-сайтов или OneDrive, у него неправильный идентификатор. Второй сценарий включает синхронизацию каталогов с подразделением (OU) Active Directory. Если пользователи уже вошли в SharePoint, были перемещены в другое подразделение, которое в настоящее время не синхронизировано с Microsoft 365, а затем повторно синхронизированы с SharePoint, они могут столкнуться с этой проблемой.
Чтобы устранить эту проблему, удалите новое имя участника-пользователя, если оно существует, а затем восстановите исходное имя участника-пользователя.
Если вы не можете восстановить исходного пользователя и все еще находитесь в этом состоянии, создайте запрос в службу поддержки:
- В качестве администратора выберите Несоответствие идентификатора пользователя сайта OneDrive, чтобы заполнить запрос справки в центре администрирования.
- В нижней части панели выберите «Обратиться в службу поддержки» > «Новый запрос на обслуживание».
- Оставьте описание пустым.
- После открытия заявки сообщите агенту службы поддержки имя участника-пользователя и URL-адрес OneDrive, в котором возникла проблема.
Если пользователь пытается получить доступ к сайту OneDrive другого пользователя
Определить уровень разрешений, который должен быть у пользователя на сайте (участник, владелец и т. д.).
Если у пользователя нет соответствующих разрешений, предоставьте ему разрешения на доступ к файлу или сайту.
Если пользователь продолжает получать сообщение об ошибке, удалите его с сайта. Затем предоставьте пользователю права доступа к файлу или сайту.
Определить уровень разрешений, который должен быть у пользователя на сайте (участник, владелец и т. д.).
Если у пользователя нет соответствующих разрешений, предоставьте ему разрешения на доступ к файлу или сайту.
Если пользователь продолжает получать сообщение об ошибке, удалите его с сайта. Затем предоставьте пользователю права доступа к файлу или сайту.
Если с учетной записью по-прежнему возникают ошибки, мы рекомендуем полностью удалить гостевую учетную запись из центра администрирования Microsoft 365. Убедитесь, что пользователь удален из семейства веб-сайтов. Затем предоставьте пользователю права доступа к файлу или сайту.
Чтобы устранить эту проблему, определите, какая учетная запись приняла приглашение, при необходимости удалите неправильную учетную запись, а затем повторно пригласите пользователя на ресурс.
Шаг 1. Определите, какой аккаунт имеет доступ в качестве гостя
Если вы можете получить доступ к сайту как неправильный гость, выполните следующие действия:
Если вы не можете получить доступ к сайту как неправильный гость, выполните следующие действия:
Шаг 2. Удалите неправильный гостевой аккаунт
Внешние пользователи управляются из семейства веб-сайтов по принципу семейства веб-сайтов. Учетная запись гостя должна быть удалена из каждого семейства веб-сайтов, к которому этой учетной записи был предоставлен доступ.Это можно сделать в пользовательском интерфейсе SharePoint Online или в командной консоли SharePoint Online, в зависимости от вашей версии Office 365.
Для подписки на Office 365 для малого бизнеса используйте пользовательский интерфейс SharePoint Online:
- Выберите "Администратор" > "Настройки службы" > "Общий доступ к сайтам и документам".
- Выберите Удалить отдельных внешних пользователей.
- Выберите пользователей, которых хотите удалить, а затем выберите Удалить (значок корзины).
Все остальные подписки должны использовать командную консоль SharePoint Online:
Этот параметр не применяется к организациям Office Small Business (P).
Запустите командную консоль SharePoint Online.
Введите следующий командлет:
В диалоговом окне "Требуются учетные данные Windows PowerShell" введите свою учетную запись администратора и пароль, а затем нажмите кнопку "ОК".
Подключитесь к SharePoint Online и введите следующий командлет:
Удалите пользователя из каждого семейства веб-сайтов. Введите следующий командлет и нажмите клавишу ВВОД:
В этом командлете замените затронутой учетной записью.
Чтобы удалить пользователя, введите следующий командлет и нажмите клавишу ВВОД:
Приведенные выше шаги удаляют доступ внешнего пользователя к SharePoint Online. Однако пользователь по-прежнему будет отображаться в поиске людей и в командной консоли SharePoint Online при использовании командлета Get-SPOUser. Чтобы полностью удалить пользователя из SharePoint Online, необходимо удалить пользователя из списка UserInfo. Этого можно добиться двумя способами.
Используйте пользовательский интерфейс SharePoint Online. Для этого перейдите к каждому семейству веб-сайтов, к которым у пользователя ранее был доступ, а затем выполните следующие действия:
В семействе веб-сайтов измените URL-адрес, добавив следующую строку в конец URL-адреса:
Выберите пользователя из списка.
Выберите Удалить разрешения пользователя на ленте.
Этот параметр не применяется к подпискам для малого бизнеса.
Запустите командную консоль SharePoint Online.
Введите следующий командлет:
В окне "Требуются учетные данные Windows PowerShell" введите свою учетную запись администратора и пароль, затем нажмите "ОК".
Подключитесь к SharePoint Online и введите следующий командлет:
Удалите пользователя из каждого семейства веб-сайтов. Для этого введите следующий командлет:
Введите следующий командлет:
Далее удалите учетную запись из Azure Active Directory:
Загрузите и установите модуль Azure Active Directory PowerShell и необходимые для него компоненты.
Откройте модуль PowerShell Azure Active Directory и выполните следующие команды:
Введите учетные данные администратора в диалоговом окне:
Найдите пользователя, которого вы удалили, и подтвердите, что он есть в списке.
Шаг 3. Очистите кеш браузера
SharePoint Online использует кэширование браузера в нескольких сценариях, в том числе в средстве выбора людей. Даже если пользователь был полностью удален, он все еще может оставаться в кеше браузера. Очистка кеша браузера решает эту проблему. Дополнительные сведения о том, как это сделать в Edge, см. в статье Просмотр и удаление истории браузера в Microsoft Edge.
При очистке кеша убедитесь, что вы также выбрали параметр «Файлы cookie и данные веб-сайтов».
Шаг 4. Повторно пригласите гостя
После выполнения предыдущих шагов повторно пригласите гостя на сайт, используя нужный адрес электронной почты. Чтобы убедиться, что конечный пользователь принимает его с соответствующим адресом электронной почты, рекомендуется скопировать ссылку в приглашении, а затем вставить ее в сеанс просмотра InPrivate. Это гарантирует, что никакие кэшированные учетные данные не будут использоваться для принятия приглашения.
Подробнее
Гостевое приглашение не требует, чтобы оно было принято по адресу электронной почты, на который оно было отправлено в первый раз. Это разовое приглашение. Если другой пользователь примет приглашение или если пользователь, принявший приглашение, зарегистрируется, используя учетную запись, отличную от адреса электронной почты, на который было отправлено приглашение, может появиться сообщение об отказе в доступе.
Когда пользователь входит в ресурс с помощью внешней учетной записи пользователя, пользователь получает сообщение об ошибке, что пользователь не найден в каталоге.
При доступе к списку «Запросы на доступ»
Чтобы решить эту проблему, пользователи должны быть либо администраторами семейства веб-сайтов, либо членами группы владельцев сайта. Группа «Владельцы» также должна иметь права доступа к списку запросов на доступ. Используйте следующие решения в соответствии с вашей конкретной конфигурацией.
Администратор семейства веб-сайтов
Если затронутый пользователь должен быть администратором семейства веб-сайтов, см. раздел Управление администраторами семейства веб-сайтов.
Добавить пользователя в группу владельцев сайта
Если пользователь должен быть владельцем сайта, добавьте его в группу владельцев сайта:
- Как пользователь, который может изменять разрешения сайта, перейдите на затронутый сайт или семейство сайтов. Выберите "Настройки" > "Настройки сайта".
- Выберите разрешения для сайта.
- Выберите группу владельцев для сайта.
- Выберите "Создать".
- В диалоговом окне «Общий доступ» введите учетную запись пользователя, которого вы хотите добавить в группу. Затем выберите "Поделиться".
- Убедитесь, что теперь пользователь может получить доступ к списку и утвердить или отклонить запросы. ол>р>
Убедитесь, что у группы владельцев есть права доступа к списку запросов на доступ
Если группа «Владельцы» изменена или удалена из списка запросов на доступ, необходимо добавить разрешения группы «Владельцы» для списка. Также убедитесь, что затронутый пользователь включен в список владельцев. Для этого выполните следующие действия:
Как пользователь с уровнем разрешений "Управление разрешениями" на затронутом сайте, который также имеет доступ к списку запросов на доступ (например, администратор семейства веб-сайтов), перейдите к списку запросов на доступ в Internet Explorer.
Нажмите F12, чтобы открыть окно инструментов разработчика.
Выберите вкладку "Сеть" и нажмите F5, чтобы включить захват сетевого трафика.
Обновите страницу запросов на доступ. После загрузки страницы нажмите Shift+F5, чтобы прекратить захват сетевого трафика.
В окне инструментов разработчика дважды щелкните первый результат в списке URL-адресов. Этот URL заканчивается на pendingreq.aspx.
В окне "Инструменты разработчика" выберите Текст ответа.
В поле поиска введите pagelistid: и нажмите клавишу ВВОД.
При поиске выделяется текст pageListId.
Скопируйте GUID, следующий за pageListId. GUID находится между открывающей фигурной скобкой ( < ) и закрывающей фигурной скобкой ( > ) следующим образом:
Включайте открывающую и закрывающую фигурные скобки при копировании GUID. Этот GUID является идентификатором списка запросов на доступ к SharePoint Online для вашей организации.
На странице настроек выберите Разрешения для этого списка.
Убедитесь, что группа владельцев сайта включена в список разрешений для списка запросов на доступ. Если группа владельцев для семейства веб-сайтов не существует, выберите Предоставить разрешения, введите имя группы владельцев для сайта в диалоговом окне Общий доступ, а затем выберите Общий доступ.
Выполните действия, описанные в разделе Добавление пользователя в группу владельцев сайта, чтобы убедиться, что пользователь включен в группу владельцев.
Подробнее
Эта проблема возникает из-за того, что только администраторы семейства веб-сайтов или пользователи, входящие в группу владельцев этого семейства веб-сайтов, имеют право утверждать или отклонять ожидающие запросы в списке запросов на доступ. В ситуациях, когда пользователи являются членами группы владельцев сайта, группа владельцев также должна иметь разрешения на полный доступ, чтобы получить доступ к списку запросов на доступ.
Дополнительную информацию о настройке запросов на доступ и управлении ими см. в разделе Настройка запросов на доступ и управление ими.
Дополнительную информацию об использовании инструментов разработчика F12 см. в разделе Использование инструментов разработчика F12.
При доступе к общей папке
Чтобы обойти эту проблему, используйте один из следующих обходных путей в зависимости от ситуации:
Общий доступ к отдельным файлам, но не к папкам.
Общий доступ ко всему семейству сайтов или дочернему сайту.
Если для вашего сайта не требуется режим блокировки разрешений пользователей с ограниченным доступом, отключите эту функцию семейства сайтов.
Другие функции, такие как публикация, могут требовать корректной работы этой функции.
Когда вы делитесь папкой с пользователем, который не может получить доступ к родительской папке или сайту, SharePoint назначает пользователю ограниченный доступ к родительским элементам. В частности, SharePoint позволяет пользователю получить доступ к папке без получения разрешения на доступ к родительской папке и другим элементам (кроме ограниченного доступа). Однако после включения режима блокировки разрешения пользователя с ограниченным доступом у пользователя не будет доступа к папке, поскольку необходимое разрешение ограниченного доступа к другим элементам больше не работает правильно.
Что такое разрешение "Ограниченный доступ"?
Уровень разрешений ограниченного доступа необычен. Он позволяет пользователю или группе просматривать страницу сайта или библиотеку для доступа к определенному элементу контента, не видя всего списка. Например, когда вы предоставляете общий доступ к одному элементу в списке или библиотеке пользователю, у которого нет разрешения на открытие или изменение любых других элементов в библиотеке, SharePoint автоматически предоставляет ограниченный доступ к родительскому списку. Это позволяет пользователю увидеть конкретный элемент, которым вы поделились. Другими словами, уровень разрешений с ограниченным доступом включает в себя все разрешения, которые пользователь должен иметь для доступа к требуемому элементу.
Дополнительную информацию о функциях семейства веб-сайтов, включая режим блокировки разрешений пользователей с ограниченным доступом, см. в разделе Включение или отключение функций семейства веб-сайтов.
Когда пользователь пытается утвердить задачу рабочего процесса утверждения
Чтобы устранить эту проблему, предоставьте затронутому пользователю доступ на редактирование к определенному списку задач для рабочего процесса.
Кроме того, пользователь, утверждающий элемент в рамках рабочего процесса, также должен иметь доступ на чтение к элементу, являющемуся целью рабочего процесса.
Такое поведение предусмотрено дизайном. Пользователи, пытающиеся утвердить задачу рабочего процесса утверждения SharePoint 2010, но имеющие только разрешения на изменение элемента списка задач, не могут просматривать страницу формы задачи. У пользователя должен быть как минимум доступ на чтение к списку задач рабочего процесса.
Дополнительные сведения о рабочих процессах утверждения см. в статье Общие сведения о рабочих процессах утверждения в SharePoint 2010.
Дополнительные сведения об уровнях разрешений в SharePoint Online см. в статье Общие сведения об уровнях разрешений.
При входе в панель администратора, даже если вы уже вошли в систему под учетной записью администратора, появляется сообщение об ошибке "Запрещен доступ запрещен".
Это означает, что включена защита админ-панели "Защита административной части сайта осуществляется путем ограничения доступа со всех, кроме указанных в настройках IP-адресов"
При попытке входа в административную панель сайта /bitrix/admin/ форма ввода пароля не отображается, а выдается ошибка «Запрещен доступ запрещен».
Причина
Эта ошибка возникает при наличии блокировок доступа к административной панели 1С-Битрикс по IP-адресу или при неправильной настройке модуля безопасности 1С-Битрикс.
Решение
Перейдите в панель управления общим хостингом или в панель управления виртуальным сервером. В левой строке меню выберите Главное (1) → Диспетчер файлов (2).
Перейдите в папку /bitirx/modules/security/admin/. Найдите файл security_403.php и загрузите его на локальный компьютер или сделайте копию этого файла на сервере.
Внимание! Прежде чем продолжить, убедитесь, что у вас есть резервная копия файла security_403.php.
Откройте файл security_403.php — нажмите кнопку «Изменить». Очистите содержимое файла.
Сохраните изменения и проверьте доступ к панели администратора сайта. Данная процедура отключает контроль доступа в админ панель и позволяет исправить ошибки в системе безопасности 1С-Битрикс.
Перейти в административный раздел сайта: Настройки > Проактивная защита > Защита административного раздела
Настройте правильный список IP-адресов или отключите IP-защиту. После исправления ошибок восстановите файл security_403.php из резервной копии.
Причина
Решение
Откройте файловый менеджер и перейдите в /bitirx/modules/security/admin/folder
Найдите файл security_403.php и загрузите его на свой локальный компьютер или сделайте копию этого файла на сервере.
Внимание! Прежде чем продолжить, убедитесь, что у вас есть резервная копия файла security_403.php.
Откройте файл security_403.php в текстовом редакторе и очистите его содержимое
Сохраните изменения и проверьте доступ к панели администратора. Данная процедура отключает контроль доступа в админ панель и позволяет исправить ошибки в настройке системы безопасности 1С-Битрикс.
Перейти в административный раздел сайта:
Настройки>Проактивная защита>Защита административного раздела
Настройте правильный список IP-адресов или отключите защиту IP.
После исправления ошибок восстановите файл security_403.php из резервной копии.
Типичное содержание файла показано ниже:
Не забудьте восстановить содержимое файла, иначе ваш сайт останется незащищенным.
Читайте также: