Консультации Портала - Консультация #186599

Задать вопрос Консультации Пользователи Форум

Задать вопрос экспертам

Консультация № 186599

12.09.2012, 15:38

111.72 руб.

12.09.2012, 17:43

0 12 0

Компьютеры Программное обеспечение Компьютерное железо

Здравствуйте! У меня возникли сложности с таким вопросом:
Уважаемые Гуру)
Бьюсь вот с чем...
Вин Сервер Ент 2003 х86, с последними обновлениями, без домена, одноранговая сеть, поднят терминал, 1С, заведены пользователи.
В качестве среды сейчас прописан батник, который запускает 1С.
Пока по времянке, чтобы пользователи работали, права Админа у них. (Этическую сторону дела просьба не обсуждать, если завалят систему, буду восстанавливать..))
Тестирую следующую схему.
Сижу под Администратором.
Администрирование, Пользователи и Группы, Пользователи. Завожу пользователя test, далее иду в Группы, завожу группу 1С_пользователи. Туда заношу пользователя test.
Далее, иду в политики, там говорю, что разрешаю вход через удаленку, кроме Администраторов, Пользователей Удаленного Рабочего Стола еще и 1С_пользователям.
Далее иду в Настройки Сервера Терминалов, добавляю группу 1С_пользователи, права даю как у Пользователей Удаленного Рабочего стола.
Далее, в проводнике иду на папку базы, ПКМ Безопасность, добавляю 1С_пользователи, права чтение и выполнение.
Далее на папку 1с, ПКМ Безопасность, аналогично добавляю 1С_пользователи, права чтение и выполнение.
Проверяем всё это дело... С соседней машины RDP к серверу, пользователь test, пароль, всё замечательно, всё работает, пользователи ничего не могут сделать, кроме как работать.
Это была предыстория. Теперь история.
Составил два файла, lock.reg и unlock.reg, которые соответственно, при импорте в реестр скрывают все локальные диски и убирают контекстное меню для ПКМ.
Сделано для того, чтобы вставив их в батники, до строк запуска 1С они отработали, и когда пользователи зайдут в 1С у них не было возможности типа при "открыть" лазить по дискам и пользоваться контекстом.
Так вот сейчас, при такой конструкции, мне не дают импортировать эти файлы. Типа "занято другой программой, бла, бла, бла..."
А вот теперь вопрос.
Где настраивается доступ к реестру? Где я еще не дал разрешения? Чтобы пользователи терминала могли импортировать рег-файлы?
РС: Что делал: из под админа давал права 1С_пользователям на ветку реестра HCU, давал права на Документ и Сеттинг (начитался, что там лежат профили терминальных пользователей, и куст реестра для конкретного пользователя берется оттуда при его логине), давал права на выполнение рег и бат этих самих файлов, результата нет. Так и не дает импортировать.
Где я упустил разрешение? Что не увидел?
С Уважением, Вит.)

Обсуждение

Неизвестный

12.09.2012, 15:45

общий

ошибки:
---"Далее, иду в политики, там говорю, что разрешаю вход через удаленку кроме Администраторов, еще и 1С_пользователям."
читать "Далее, иду в политики, там говорю, что разрешаю вход через удаленку кроме Администраторов, Пользователей Удаленного Рабочего Стола еще и 1С_пользователям."
---"РС: Что делал: из под админа давал прова ... давал прова ...давал прова..." читать "РС: Что делал: из под админа давал права ... давал права ...давал права..."

Сорь, отправлял быстро, без проверки.)

Неизвестный

12.09.2012, 16:30

общий

А зачем такие сложности? Не прощи ли прописать автозапуск 1С, для пользователей, при входе через удаленку. Тогда они по дискам шариться не смогут.

Неизвестный

12.09.2012, 16:45

общий

>>> Типа "занято другой программой, бла, бла, бла..."
Можно поподробнее об ошибке, а лучше скриншот.

Неизвестный

12.09.2012, 21:18

общий

12.09.2012, 22:16

Цитата: 231150

Не прощи ли прописать автозапуск 1С, для пользователей, при входе через удаленку.

В качестве среды сейчас прописан батник, который запускает 1С.
Я же вроде указал.)
Сейчас прописан 1с.) Попробуйте сами такую конструкцию, зайдите в 1с, потом вызовите "помощь", потом Файл-Открыть, и завалИте свой сервер.)
У Вас получится.) Даже просто выбрав любую папку и с клавиатуры DEL удалит её.)
Так вот вопрос в том, чтобы reg-файлом скрыть хотябы диски еще.)

Цитата: 394067

Можно поподробнее об ошибке, а лучше скриншот.

Да, конечно.)
При попытке импортировать что угодно, пишет на скрине.)
Собственно, решив вопрос записи в реестр, я решу сразу кучу проблем.)
Смогу в рег-файл напихать всего, что мне понравится.)

Да, кста, если пользователя test исключить из 1С_пользователи и перевести в группу Администраторы, всё отлично работает и файл импортируется, и потом в 1Ске и дисков не видно и контекстное меню по ПКМ не работает.) Просто сказка.))
Догадываюсь, что проблема скорее всего в правах на изменение реестра, а вот где они настраиваются, мозга пока не хватает.)

Прикрепленные файлы:

24c93de9040555123393e563edc42a08.jpg

скачать (116.00 кБ)

Неизвестный

12.09.2012, 22:22

общий

Права на разделы реестра настраиваются правым клинком по ветке реестра, далее безопасность, а дальше выбрать вашу группу, куда входят все пользователи и разрешить права на изменение.
Это нужно сделать для всех веток реестра, используемых в Вашем .reg-файле.

Неизвестный

12.09.2012, 23:09

общий

12.09.2012, 23:12

Цитата: 394067

Права на разделы реестра настраиваются правым клинком по ветке реестра,

Далал, к сожалению, результатов не дало...
из под админа давал права 1С_пользователям на ветку реестра HCU,

Вот содержимое рег-файла, там ничего секретного...

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"nodrives"=dword:080075

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoTrayContextMenu"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=dword:00000001

Скрывает диски кроме D, закрывает контекстное меню ПКМ.

Можете сами, на своем терминале, если есть, проверить эту ситуацию.. Недолго это..
Даже необязательно иметь 1С.
Просто создайте пользователя, создайте новую группу, запихните туда пользователя, и разрешите этой группе вход в сервер в качестве пользователей удаленного рабочего стола (Через политики и через настройку служб терминала. Кстати, даже эти родные RDP-пользователи не могут изменить реестр, тоже проверил. Только админы. Значит у них есть права гдето на чтото...).
И попробуйте импортировать любой reg в систему.

И еще, на что обратил внимание, и что пока непонятно. Ну если поможет чем..
Если под Администратором, по ПКМ на ветке HCU в Безопасности разрешаю группе 1С_пользователи полнй доступ, а потом зайду терминалом под test`ом, то там этой группы и нет... Странно..
Скорее всего поэтому и не пускает в реестр.. Но почему тогда не сохраняет разрешения?
Может как то перезапускать надо реестр? Или еще чего то?

Если есть тестовый сервер, можно ситуацию смоделировать самим.

Неизвестный

13.09.2012, 02:34

общий

Цитата: 375588

Сейчас прописан 1с.) Попробуйте сами такую конструкцию, зайдите в 1с, потом вызовите "помощь", потом Файл-Открыть, и завалИте свой сервер.)
У Вас получится.) Даже просто выбрав любую папку и с клавиатуры DEL удалит её.)
Так вот вопрос в том, чтобы reg-файлом скрыть хотябы диски еще.)

Вообще то у меня пользователи на сервере имеют доступ только к папке где лежит база 1С и к папке с общими для всех документами, а также у каждого пользователя есть своя личная папка. Ко всему остальному им доступ закрыт. Т.ч. максимум, что они могут натворить, это попортить базу 1С. Это же они смогут и при Вашей конструкции, т.к. диск с базой 1С спрятать нельзя.

Неизвестный

13.09.2012, 07:10

общий

13.09.2012, 07:21

Цитата: 231150

максимум, что они могут натворить, это попортить базу 1С.

Как Вы просто об этом..)
Это не просто максимум, после этого админу можно увольняться...))
И бэкапами базы от начальства не отмахаетесь.)
Такого в принципе не должно быть...), вот и пытаюсь дырки 1Сные заделать..)
Ладно, это лирика..)

Цитата: 231150

Это же они смогут и при Вашей конструкции, т.к. диск с базой 1С спрятать нельзя.

При условии вхождения пользователей в группу 1С_пользователи, да, они могут попортить базу и общие документы.
Для этого и хочу запускать рег, который будет скрывать им диски.
Если зайду под админом и запущу рег, дисков не будет видно. Я же скрываю отображение дисков, а не доступ к ним.) А база работать будет. Проверял.
Вопрос в том, как заставить запускаться рег-файлы остальным, кроме прав Администратора.
И почему, если под Администратором я этой группе разрешил редактировать реестр, то, зайдя пользователем из этой группы, этого разрешения нет?

Если у Вас есть доступ к серверу, возможность и желание, потратьте десять минут, создайте пользователя и группу, и попробуйте, что я отписался.)
Так будет легче обсуждать, о чем я веду речь.)
Мой общий вопрос можно тогда обрисовать так...:
Мне нужно, чтобы пользователи, зашедшие терминалом по RDP и не входящие в группу Администраторы, могли импортировать reg-файл в ветку реестра HCU.

Неизвестный

13.09.2012, 21:45

общий

13.09.2012, 21:47

Можно воспользоваться локальными политиками, для скрытия дисков. Чтобы это действовало только на пользователей, воспользуйтесь статьей: http://support.microsoft.com/kb/325351/ru

PS: сейчас доступа к серверу нет, но позже могу попробовать

Неизвестный

14.09.2012, 12:33

общий

Цитата: 231150

Можно воспользоваться локальными политиками, для скрытия дисков.

К сожалению, не решение. Сделал по рекомендациям.
Попробовал скрыть.., и сам, будучи Администратором, потерял диски.
Так не пойдет..., вернул, конечно..

Задача в том, чтобы, добавив новго пользователя в систему, я отправляю его в группу 1С_пользователи, прописываю ему свой батник с reg-файлами и всё. А в батнике уже всё что мне нужно..
У него ни прав никаких для работы кроме двух папок: 1С_bases и 1С_prog.
Какой бы пункт он не открыл в 1С через меню "файл" или "справка", он не должен увидеть диски.
Другое дело, он может по сети с шары запустить что нибудь, это другая задача, потом буду решать.., сейчас нужно научиться импортировать reg`из под учетки любой кроме Администратора.)
Пока не получается.) Вот и обратился сюда.)

Неизвестный

16.09.2012, 21:33

общий

Просьба к модераторам, раз ответа в данном разделе на вопрос не получено, может есть смысл перенести его в другой раздел?
Всю ветку обсуждения?
Если не ошибаюсь, есть раздел, посвященный именно реестру?

Вопрос, в итоге, повторюсь, звучит так:

Цитата: 375588

Мне нужно, чтобы пользователи, зашедшие терминалом по RDP и не входящие в группу Администраторы, могли импортировать reg-файл в ветку реестра HCU.

Уж хочется всетаки добить эту проблемку)
С Уважением, Вит.)

Неизвестный

18.09.2012, 09:08

общий

18.09.2012, 09:09

Мда)
Я так понимаю, пока вариантов нет?)
Вдруг какие мысли появятся, буду заглядывать.)
Что сам накопаю, отчет дам.)

Форма ответа

Отправка постов/ответов доступна только зарегистрированным и подтвержденным пользователям.

Если Вы уже зарегистрированы на Портале - войдите в систему, если Вы еще не регистрировались - пройдите простую процедуру регистрации.