proNovell

Никогда с таким не сталкивался, а тут вдруг понадобилось. Есть приложение, которое работает, если его пускать как system user, обычные пользователи создаются как Users. При этом в контексте приложения не видны примапленные для юзера сетевые диски - включая их домашний каталог. Ессно, файлы сохранять у них получается только на С: ( что само по себе плохо ).

Здесь http://www.ithowto.com/Articles/ZWXPDrive.htm проблема описана довольно подробно, и предлагается её решение, достаточно очевидное. Но ! В качестве условия использования той проги - ZWXPDRIVE - указывается наличие Read ( хотя бы ) для объекта рабочей станции на требуемый сетевой ресурс. Учитывая, что речь идёт о домашних каталогах, то .. выходит, что надо контейнеру с рабочими станциями дать права на каталог со всеми домашними что ли ? Но тогда же, в принципе, юзеры с них смогут увидеть домашние каталоги друг друга .. пусть хотя бы и read .. или я чего не понимаю. Кто-нить может это дело прояснить ? Заранее благодарен

Андрей Тр. aka RH писал(а):Никогда с таким не сталкивался, а тут вдруг понадобилось. Есть приложение, которое работает, если его пускать как system user, обычные пользователи создаются как Users. При этом в контексте приложения не видны примапленные для юзера сетевые диски - включая их домашний каталог. Ессно, файлы сохранять у них получается только на С: ( что само по себе плохо ).

попробуй через ярлык на домашний каталог пользователя.

Че-то мне кажется что точно по вопросу - никак. А что затакое хитрое приложение которому нужны системные привилегии на ПК и доступ к сети?

Иван Иванов писал(а):Че-то мне кажется что точно по вопросу - никак. А что затакое хитрое приложение которому нужны системные привилегии на ПК и доступ к сети?

Немного поясню - приложение вроде бы должно работать для членов простой группы Users. И пользователи Зеном добавляются в эту группу ( политика DLU ). Но при запуске это хитрое приложение жалуется, что де скажите сисадмину, что пользователь должен быть членом Users .. это если пускать приложение просто с С: ( где оно и установлено ). Если пускать его же как зеновское unsecured system, то стартует без проблем .. но юзерам же нужно сохранять файлы на сетевой диск. А приложение - Quickbooks ( типа Quicken - бухгалтерия такая ).

Других путей решения проблемы пока не искал, было не до того, а "в лоб" ( повысив привилегии ) несколько не получилось.

Андрей Тр. aka RH писал(а): .. выходит, что надо контейнеру с рабочими станциями дать права на каталог со всеми домашними что ли ? Но тогда же, в принципе, юзеры с них смогут увидеть домашние каталоги друг друга ..

Если у Вас пользователи и воркстанции живут в разных контейнерах, то всё должно быть вполне безопасно: права доступа, назначенные объекту рабочей станции, пользователям не передаются. Хотя, запустив программу, сконфигурированную вышеописанным образом, в диалоге открытия файлов они cмогут увидеть много интересного

Dmitry aka DrHoo писал(а):Хотя, запустив программу, сконфигурированную вышеописанным образом, в диалоге открытия файлов они cмогут увидеть много интересного

Есть такое в частности, и по этой причине такого варианта хочется избежать .. погуглив нашел пару рецептов для конкретной проги для её работы под User - завтра попробую ..

Нужно импортировать станцию и дать ей права. Использовать UNC пути.
Running an App Object as Secure or Unsecure System User on Windows XP

Владимир Горяев писал(а):Нужно импортировать станцию и дать ей права. Использовать UNC пути.
Running an App Object as Secure or Unsecure System User on Windows XP

Интересно. Собсно, суть решения сводится не к использованию UNC path, а к передаче пути от пользователя к приложению - через переменную среды, значение которой присваивается ещё при логине пользователя.

SOLUTION: Instead of creating an application object for each location, you can set and use an environment variable that will pass the name of the server your user is logged into. Here's what you need to do:

In your login script, add the following line:
SET SERVER="%FILE_SERVER"

This line will create an environment variable in Windows using the name of the server the user has logged into. You can verify this from a Command prompt by typing 'SET' on the workstation.

Now, in your application object use the new variable to build the path to your application like this:
\\%SERVER%\sys\Apache2\htdocs\IPPDOCS\NIPP.EXE

С другой стороны, я и так могу использовать %home directory в макро в скрипте приложения. Я так и не понял, как в этом случае избежать раздачи прав всем рабочим станциям на все пользовательские каталоги .. или если смаппировать такой через приложение, то потом пользователь в сетевом окружении чужих не увидит ? Так он увидит ..

Насколько я помню, права нужно давать рабочей станции, удобно когда они импортируются в отдельные контейнеры, тогда права можно раздать сразу на весь контейнер. Проверить можно сделав приложение запускающееся от имени system user, тот же FAR, напр.

Да, все рабочие станции уже давно импортированы куда следует. И я даже пробовал им ( через основной контейнер ) дать права ( хотя бы RF ) на корневой каталог с домашними. В итоге все всё видят. А это нехорошо.

А не пойдет как вариант создание спец юзера от имени которого будет работать приложение? Тоесть он права на все хоум каталоги имеет а пользователь под своим аккаунтом видит только свой хоум....
Не пойдет так?