Полные права отдельно от администрирования. БСП

Как то я работал с клиентом, у которого у всех пользователей были абсолютные права:

Я решал там другую задачу, но по доброте душевной поделился своим соображением, что неплохо бы оставить пользователям только «Полные права», без администраторских.

Клиент одобрил мою инициативу, но когда я попытался создать профиль «Полные права» с одной только ролью «Полные права», 1С мне не позволило. Роль «Полные права» не доступна к выбору.

Пришлось сделать это через универсальный редактор реквизитов, с галочкой «ОбменДанными.Загрузка«:

Получилось создать профиль «Полные права»:

Правда, полные права там не показываются.

Но у пользователей права назначаются как надо, самый нижний пользователь имеет назначенный профиль «Полные права»:

В итоге остались только такие группы доступа:

Для надежности я заблокировал изменение пользователей не-администраторам:

&Перед("ПередЗаписью")
Процедура дфафк_ПередЗаписью(Отказ)
	//Добавляем котроль перед записью.
	Если НЕ дфафк_Сервер.ЕстьПравоАдминистрирования() Тогда
		Отказ = истина;
		Возврат;
	КонецЕсли;
КонецПроцедуры

Причем контроль идет даже в режиме «ОбменДанными.Загрузка«, чтобы изменить пользователя было не возможно не-администратору.

Также требуется еще заблокировать изменение справочников профилей и групп доступа, чтобы не-администраторы не могли повышать себе права.

С такими «Полными правами» нельзя менять конфигурацию и включать/отключать расширения.

Среда: УТ 11.4.14.85