В базе на основе встроенных профилей групп доступа созданы группы, в них назначены ограничения на данные.
Есть и предопределенная группа Администраторы (которая назначает полные права без ограничений, и в которой есть несколько пользователей). Профиль этой группы - единственный, куда ничего, кроме "Полные права", добавить невозможно.
Все было создано, пользователи распределены, ограничения работают.

Но теперь изменение состава любой группы, кроме Администраторов, не удается -

Ошибка при выполнении обработчика - 'ПриЗаписи'
по причине:
{ОбщийМодуль.УправлениеДоступом.Модуль(2034)}: Ошибка при вызове метода контекста (Записать)
ПользовательИБ.Записать();
по причине:
После исполнения в списке не осталось бы ни одного пользователя с административными правами

То есть проверка производится где-то на уровне платформы. (11.236)
И что теперь с этим делать?
Пока пришлось новому пользователю дать полные права

Удалось разобраться. Происходит следующее:
1. При изменении состава групп доступа производится полный пересчет прав - сравниваются права имеющиеся с новыми, различия в ролях либо снимаются, либо добавляются каждому пользователю.
2. Но это делается не для всех пользователей-членов групп, а только для тех, у кого отсутствуют ПолныеПрава. В какие бы группы не был включен пользователь, если он есть еще и в группе Администраторы - то ему назначается единственная роль ПолныеПрава, а остальные при пересчете прав снимаются.
3. А если понадобилось исключить пользователя из группы Администраторы, и он уже является членом других групп доступа - тогда и появляется ошибка "Не останется пользователя с административными правами".

Лечение болезни:
в конфигураторе добавить роль Администрирование кому-нибудь из остающихся членов группы Администраторы (это не ПолныеПрава, а еще одна роль).
После чего можно нормально сохранить новый состав группы доступа. При котором произойдет полный пересчет ролей, и роли Администрирование вновь не останется ни у кого - потому что она не входит в состав ни одного из существующих профиля групп доступа.
Возможно, если добавить свой профиль с этой ролью, да добавить в такую группу какого-нибудь пользователя, чтобы при пересчете прав эта роль у кого-нибудь оставалась - поможет.
Но если этот же пользователь и в Администраторах будет -
грабли могут быть те же самые. Потому что - см.выше: включение пользователя в Администраторы
оставляет в живых для этого пользователя всего одну роль - ПолныеПрава, и снимает все остальные, которые он мог бы получить из других групп.