Задача - разделить пользователей по доступу к группам номенклатуры.
Начал с простого - чтобы не затрагивать в данный момент остальные объекты, создал абсолютно "пустой" набор прав (только чтобы можно было входить и смотреть номенклатуру)
- Создал профиль групп доступа
 Разрешенные роли - Базовые права, Базовые права УТ, Добавление изменение номенклатуры, Добавление изменение подключаемого оборудования, Запуск тонкого клиента, Подсистема продажи, Чтение информации по номенклатуре.
 На закладке "ограничения доступа" добавил Вид доступа = Группы номенклатуры - все запрещены, исключения назначаются в профиле. В разрешенные значения включил только мою группу

- Создал пользователя, у которого выбрал только что созданный профиль.

Захожу под этим пользователем - вижу ВСЮ номенклатуру. Но редактировать не могу.

Можно ка нибудь настроить, чтобы и видно не было?

Что делать если в документе перечислена номенклатура и из доступных и из недоступных групп?

(1) Не открывать док (допустим предполагается, что на практике этот вариант исключен)

(1) Т.е. этот механизм ролей не затрагивает права на чтение объектов? Я правильно понял?

Хотя вот открыл произвольного пользователя из демо базы, отчет по правам пользователя.
В отчете:

Банковские счета организаций (просмотр, ограничен) - Организации (без запрещенных).

Выходит на просмотр тоже можно устанавливать. Только вот как? Или это касается не всех справочников (ну т.е. может быть, что для организаций это устанавливается, а для номенклатуры - нет?)

(2) Типовые права предполагают, что такой вариант вполне допустим и поэтому чтение номенклатуры не ограничиваются никогда.