boings747 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору есть программа, которая запускается у ползователя с правами другово пользователя. в программе можно открыть диалоговое окно сохранения/открытия файлов (стандартный виндусовский).   в этом диалоговом окне можно манипулировать с файлами (копировать/вставить). Есть ли какие средства что-бы ограничить подобный беспредел. Фактически смысл ограничения прав теряется... Всего записей: 47 | Зарегистр. 03-05-2007 | Отправлено: 10:39 06-09-2007

Ringil Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору boings747 Название программы - в студию. Для чего она предназначена? Службу "Вторичный вход в систему" остановить пробовал? Цитата: Позволяет запускать процессы от имени другого пользователя. Если эта служба остановлена, этот тип регистрации пользователя недоступен. Если эта служба отключена, то нельзя запустить другие службы, которые явно зависят от нее. ---------- Nihil Verum. Omnia Licita. Всего записей: 2288 | Зарегистр. 18-12-2006 | Отправлено: 10:50 06-09-2007 | Исправлено: Ringil, 10:52 06-09-2007

boings747 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору к примеру 1С, но не принципиально, для всех дочерних процессов наследуются права. отрубание вторичного входа в систему проблему не решает, все равно диалоговые окна запускаются с ненужными правами Всего записей: 47 | Зарегистр. 03-05-2007 | Отправлено: 14:49 06-09-2007

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору boings747 Цитата: есть программа, которая запускается у ползователя с правами другово пользователя... Фактически смысл ограничения прав теряется... Т.е. ты запускаешь программу под учетной записью с более высокими привилегиями, чем у текущей учетной записи (ограниченный пользователь запускает 1С под учеткой админа)? Стоит задаться вопросом: нужно ли запускать данную программу под учеткой с повышенными привилегиями? Может быть, стоит повозиться с утилитками filemon, regmon и regshot? Из собственного опыта - очень мало программ, с которыми работают простые пользователи, требуют более высоких привилегий, чем привилегии простого пользователя. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 19:30 06-09-2007 | Исправлено: veryom, 19:32 06-09-2007

boings747 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору дело не в админе, а в доступе к ресурсам (в данном случае базе 1с, и то что там  находится)   возится с системным программированием, писать перехватчик вызова окон совсем не хочится, может готовые решения есть? Всего записей: 47 | Зарегистр. 03-05-2007 | Отправлено: 08:36 07-09-2007

boings747 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору задача следующая: ограничить базу от пользователей, что-бы доступ к базе имела только 1с. Программа запускается под учетной записью, в которой есть права доступа к базе.   Цитата: Открой доступ на запись в каталог 1с для того пользователя, который работает с 1с. вот это как раз нужно избежать. Всего записей: 47 | Зарегистр. 03-05-2007 | Отправлено: 13:06 07-09-2007

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору boings747   Поэкспериментируй с элементом разрешений "Содержание папки". Пример. Есть каталог BASES, в этом каталоге находятся файлы баз. Дай разрешения учетной записи, под которой запускается программа, вплоть до "Изменить" на папку BASE (применять "Для этой папки, ее подпапок и файлов") и поставь запрет этой же учетной записи на разрешение "Содержание папки" (применять "Для этой папки и ее подпапок"). С 1С я не пробовал, но с MS Word это прекрасно сработало. Пользователь мог открывать файл, указав путь, например, С:\EX\2.doc, но напрямую из проводника, файлового менеджера или из самого Word'а он попасть в эту папку не мог. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 13:59 07-09-2007

boings747 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: veryom все это конечно хорошо, но не зная содержимого папки, все равно можно получить доступ к базе (в базе описываются имена файлов и указав путь уже можно их вытащить.) тем более бывает необходимо пользователям видеть что делается в базе (например открыть отчет) но видеть только с 1С, а не с диалоговых окон. Всего записей: 47 | Зарегистр. 03-05-2007 | Отправлено: 14:13 07-09-2007

wzbryk Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Если нужно ограничить доступ к папкам и файлам для программы, запускаемой под другой учётной записью, можно комбинировать NTFS-права, что описал veryom, с групповой политикой. Например, установкой Prevent access to drives from My Computer - с помощью диалогов Windows уже не получится ходить по папкам и что-то делать с файлами. Но только для тех приложений, которые используют встроенные диалоги Windows Explorer, а не реализуют свои.     boings747 То, что описал veryom - хорошее решение! Если говорим про 1С, то уж если так критично копирование из каталога без прав его просмотра, то можно перевести базу на SQL - и проблема решена? В крайнем случае - можно запускать клиент 1С под другой учётной записью, для которой наложены NTFS ограничения - просмотра папок 1С уже не будет. А для пользователей - вообще наложить запрет на соответствующие папки - скопировать файлы по именам уже будет невозможно.   NikKL Если допускается запуск программы под отдельной учётной записью, то сделать это "на автомате" можно с помощью ключа /savecred у того же RunAs. Всего записей: 380 | Зарегистр. 09-08-2001 | Отправлено: 15:57 19-09-2007

boings747 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: как хотя бы запустить программу с повышенными правами на автомате, а не runas? мне понравилась CPAU.exe Цитата: То, что описал veryom - хорошее решение! Если говорим про 1С, то уж если так критично копирование из каталога без прав его просмотра, то можно перевести базу на SQL - и проблема решена?       критично, вытаскиваем 1Cv7.DD, там описаны все имена файлов с данными, находим к примеру нужный справочник и получаем и копируем его куда надо.   sql не катит уже по другой причине.     Добавлено: Цитата: Поэкспериментируй с элементом разрешений "Содержание папки". Пример. Есть каталог BASES, в этом каталоге находятся файлы баз. Дай разрешения учетной записи, под которой запускается программа, вплоть до "Изменить" на папку BASE (применять "Для этой папки, ее подпапок и файлов") и поставь запрет этой же учетной записи на разрешение "Содержание папки" (применять "Для этой папки и ее подпапок"). тоже не катит 1с через заднее крыльцо исчет папку пользователя, в итоге "каталог пользователя не доступен." Всего записей: 47 | Зарегистр. 03-05-2007 | Отправлено: 13:44 26-09-2007

wzbryk Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору boings747 Цитата: тоже не катит 1с через заднее крыльцо исчет папку пользователя, в итоге "каталог пользователя не доступен." Так для того и обсуждаем RunAs, чтобы с любого прохода работало!!     Добавлено: Цитата: критично, вытаскиваем 1Cv7.DD, там описаны все имена файлов с данными, находим к примеру нужный справочник и получаем и копируем его куда надо. Ну, если так важно пресечение утечек информации, то нужно в терминале работать с зажимкой прав. Иначе всё равно информацию сольют. Всего записей: 380 | Зарегистр. 09-08-2001 | Отправлено: 15:28 26-09-2007

boings747 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Так для того и обсуждаем RunAs, чтобы с любого прохода работало!! внимательно прочитай название топика.   Цитата: Ну, если так важно пресечение утечек информации, то нужно в терминале работать с зажимкой прав. Иначе всё равно информацию сольют.   если бы мы здесь переписывались по поводу окна в автомобиле, то мне сначало посоветовали бы сменить цвет машины, сменить запаску и сменить машину. Всего записей: 47 | Зарегистр. 03-05-2007 | Отправлено: 10:40 28-09-2007

wzbryk Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору boings747 <Удалено> не будем реагироать на самых умных, самых крутых и самых вежливых, пусть ...ся сами. Пока. Всего записей: 380 | Зарегистр. 09-08-2001 | Отправлено: 18:19 28-09-2007 | Исправлено: wzbryk, 18:51 28-09-2007

boings747 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1C вызывает для открытия записи стандартные системные диалоги. Вот еслибы найти/написать программу которая перехватывала вызовы диалогов, и запускала бы другие - с дригими правами, был бы выход. Регламентная отчетность не критична, ее подгружают минимум раз в квартал, и те у кого есть права администратора. Всего записей: 47 | Зарегистр. 03-05-2007 | Отправлено: 10:17 11-10-2007

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » ограничение прав диалоговых окон.

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование