Форум » АРМ "Клиент" АС Клиент-Сбербанк » "Клиент-Сбербанк" стоит на терминальном сервере, пользователям пришлось дать права администратора » Ответить

"Клиент-Сбербанк" стоит на терминальном сервере, пользователям пришлось дать права администратора

lev: "Клиент-Сбербанк" стоит на терминальном сервере (Windows Server 2003), пользователи работают терминально. Всем, кто работает с "Клиент-Сбербанк" пришлось дать права администратора на этой машине. Иначе возникает ошибка "не открыт файл на диск C" Можно ли как то сделать, чтобы не давать права администратора пользователям?

Ответов - 31, стр: 1 2 All

admin: Где-то что-то уже писали про терминальный сервер... Стандартно, когда такая ситуация возникает, рекомендуется запустить servparam /install(находится в папке, где установлен АРМ) и запустить в службах - Служба параметров СБ РФ... должно решить проблему, но может появиться другая - необходимо будет переконфигурировать АРМ и сбросить привязки на банковском месте...

lev: servparam /install запукали, не помогло.

admin: lev пишет: servparam /install запукали так конечно с ним поступать не надо - может поэтому и не заработало? А службу проверяли - тип запуска "авто" и состояние "работает"?

lev: Да, службу прверяли. тип запуска "авто" и состояние "работает". А servparam /install нужно запустить в сеансе каждого пользователя и с какими правами?

admin: вообще, как я понимаю надо запускать на той машине где установлено ПО... т.е. на серваке... вопрос в том, работает ли эта служба корректно под 2003 или нет... прога (servparam) запускается под админом (желательно локальным), потом пробуется вход в АРМ, дальше выходим из под Админа и заходим Юзером, проверяем АРМ... но это стандарт...

sb77: Под 2003-й виндой в терминальном режиме работает вполне корректно. Войдя в терминалку под пользователем проверьте, работает ли "Служба параметров компьютера СБРФ" (servparam). Служба должна работать в сеансе каждого пользователя. Уже как то писал, что бывает полезно на время установки и настройки АРМ дать пользователю права локального админа, сделать всё что требуется, а потом права отобрать.

SkrebAE: Нормально работает, только установку под 2003 надо производить !!!обязательно!!! из панели управления-установка программ. Тогда права выравниваются нормально.

ser43: SkrebAE пишет: Нормально работает, только установку под 2003 надо производить !!!обязательно!!! из панели управления-установка программ. Тогда права выравниваются нормально. Почему именно из "Установка программ"? Обычной установкой пробовали и не работает? И еще вопрос версия АРМ Клиент какая? Ставили 07.006.01 на сервер (Win2003s) - ни в какую в терминале под юзером не работает(.

SkrebAE: Именно из "Установка программ" потому, что устанавливаем на сервер, а не под ХР. Только с помощью этой оснастки правильно распределяются групповые политики, в т.ч. безопасности. вер. 07,012,05

SkrebAE: Сегодня бился с той же задачей на другом сервере - и ни в какую. Только админские права на пользователя помогают. Сервис ServParam ессно поднят. Вышел из ситуации так: 1. Снял права Администратора у юзеров. 2. Прописал runas /savecred /user:localhost\Администратор [Каталог программы]\wCLNt.exe в ярлыке. Однократно ввел пароль админа - больше не спрашивает. Однако есть таки дупло для дятлов: теперь при запуске из командной строки runas /savecred /user:localhost\Администратор [что попало] это самое что попало запускается с правами админа БЕЗ запроса пароля. Только и радует, что юзер туповат. Вопрос ко всем - кто пользовался программой AdmiLink? Там закладок нет случаем?

admin: SkrebAE пишет: Только и радует, что юзер туповат. а вдруг юзер форум почитает?

SkrebAE: Подниму ему рейтинг до "туповат, но читать умеет" Все ж таки про софтину AdmiLink - вроде бы в описании хороша, но давать пароль админа стороннему софту... как то не кошерно. Ссылку намеренно не даю.

admin: SkrebAE пишет: Все ж таки про софтину AdmiLink ни разу не юзал... SkrebAE пишет: но давать пароль админа стороннему софту... как то не кошерно. вот это бы очень сильно насторожило...не стал бы рисковать...

Mike666: SkrebAE А Вы Group Policy сами раздаёте или до Вас подобная раздача уже состоялась?

sb77: SkrebAE пишет: давать пароль админа стороннему софту... как то не кошерно Абсолютно согласен! Низзяяя такого делать! Смысел в том (неважно какая ОС), что программе надо считать некие данные с железа компа. Программе, запущенной из под администратора система это позволяет. Если прав нет, то помогает эта самая служба ServParam, которая запускается от имени системы и служит проводником между пользователем и железом. Запущенная терминальная сессия мало чем отличается от локального входа в систему. Значит нужно искать причину, почему либо служба не может до железа достучаться или программа до службы (что менее вероятно). Проверьте параметры "Службы параметров компьютера СБ РФ" - от чьего имени она у вас запускается.

SkrebAE: Mike666 пишет: А Вы Group Policy сами раздаёте или до Вас подобная раздача уже состоялась? В обоих случаях групповая политика не конфигурировалась. Задача стояла простая - дать руководству возможность удаленно подписывать платежки. Active directory не разворачивалась, сервера заточены под терминальные, файловые и принт-сервера. Сетку конфигурят роутеры, ну и т.д. Хотя, за чужой сервер я так не отвечу, кто там лазил. У меня было минут двадцать свободных на задачу и все. sb77 пишет: Проверьте параметры "Службы параметров компьютера СБ РФ" - от чьего имени она у вас запускается. Пробовал от админа, от юзера справами админа, потом их лишенными, и от local service, все одно. Не жилец.

lev: У меня проблема так и не решилась. Служба параметров компьютера СБ РФ" работает в сеансе каждого пользователя. Установка была сделана как обычная установка и давно. После этого были смена версий, тоже как обычная установка. Юр. лицо много. На данный момент стоят вер. 003, 006, 012.

Ruzana: lev попробуйте сначала деинсталировать ServParam.exe /uninstall а затем еще раз инсталлировать ServParam.exe /install естественно, это делается под локальным админом...потом запустить службу "Служба параметров компьютера СБ РФ"

KYUM: Клиент-Сбербанк под Citrix без прав админа на сервере? Я бился с этим кучу времени - бесполезно. Пытался мониторить обращение Клиент-СБербанка под Citrix к реестру и локальному диску. Обнаружил, что при запуске КлБанка от админа и от пользователя используются разные ветки. Как я понял в реестре считываются какие-то системные данные, которые доступны только админу. Причем предоставление полных прав на реестр обычному пользователю проблему не решает. Sevparam под Citrix корректно не работает. В общем я забросил все это мероприятие.....

lev: Ruzana пишет: попробуйте сначала деинсталировать ServParam.exe /uninstall а затем еще раз инсталлировать ServParam.exe /install естественно, это делается под локальным админом...потом запустить службу "Служба параметров компьютера СБ РФ" Сделала, не помогло. KYUM пишет: Клиент-Сбербанк под Citrix без прав админа на сервере? У меня Windows Terminal Server. Тоже никак не могу победить.

lev: SkrebAE пишет: Нормально работает, только установку под 2003 надо производить !!!обязательно!!! из панели управления-установка программ. Тогда права выравниваются нормально. Сделала установку из панели управления/установка уи даление программ. Не помогло, таже ошибка- "не открыт файл на диск C" .

SkrebAE: lev пишет: Не помогло Попробуйте создать WCLNT.BAT файл со следующим кодом внутри: Если сервер русский, то runas /savecred /user:localhost\Администратор wCLNt.exe а если английский, то соответственно runas /savecred /user:localhost\Administrator wCLNt.exe Этим мы запускаем у пользователя прогу от имени админа. Далее снимаем права админа с юзеров. Заходим юзером и в ярлыке запуска клиента wCLNt.exe заменяем на созданный нами wclnt.bat В CMD окне попросят ввести пароль админа. Вводим, эта операция однократная (для одного пользователя). Далее возможно некоторое подвисание, это нормально, программа должна запуститься. Как я выше писал, решение частичное, но явные права админа забрать таки можно. ServParam не поможет, его можно вообще снять. Проблема в том, что wCLNt использует в какой-то момент операцию прямого доступа к жесткому диску, а это в ОС Сервер2003 однозначно запрещено всем, кроме админа. Правда у меня как-то получилось на одном сервере запустить, но ... не знаю. Может глюк.

Mike666: Если используется Citrix, то есть такой сайт - citrix.pp.ru. По его рекомендациям я много чего "наваял" года три назад. Сделали даже прожку, которая "никакому" юзеру (ваще "никакому") разворачивала заранее настроенный профиль, который позволял полномасштабно работать любому пользователю. Что любопытно, Microsoft подобную возможность опровергал изначально. Ну мож мы чёт не дочитали...

sb77: Mike666 пишет: Если используется Citrix Дык это если Citrix! У них много чего понаделано, о чём мелкософт не подозревает. Здесь, как я понял, стандартный удалённый рабочий стол юзается. Ремюзе: Заставить клиента работать под 2003 виндой в терминале можно. Тока в системке порыться надо...

Mike666: Согласен.

lev: SkrebAE пишет: Попробуйте создать WCLNT.BAT файл со следующим кодом внутри: Если сервер русский, то runas /savecred /user:localhost\Администратор wCLNt.exe а если английский, то соответственно runas /savecred /user:localhost\Administrator wCLNt.exe Этим мы запускаем у пользователя прогу от имени админа. Далее снимаем права админа с юзеров. Заходим юзером и в ярлыке запуска клиента wCLNt.exe заменяем на созданный нами wclnt.bat В CMD окне попросят ввести пароль админа. Вводим, эта операция однократная (для одного пользователя). Далее возможно некоторое подвисание, это нормально, программа должна запуститься. Как я выше писал, решение частичное, но явные права админа забрать таки можно. ServParam не поможет, его можно вообще снять. Проблема в том, что wCLNt использует в какой-то момент операцию прямого доступа к жесткому диску, а это в ОС Сервер2003 однозначно запрещено всем, кроме админа. Правда у меня как-то получилось на одном сервере запустить, но ... не знаю. Может глюк. Так уже делали, программа работает нормально, с печатью проблема. Ошибка "There is no defalt printer currently selected"

SkrebAE: lev пишет: There is no defalt printer currently selected" Принтер, случаем, не хьюлетт или самсунг? :) Тут вам в помощь только отвертка. Вот, скопипастил: Screwdrivers v4 Server License Разработан для удаленных корпоративных Windows приложений. Если вы используете терминальные службы, виртуальные рабочие столы, или XP удаленные рабочие столы, ScrewDrivers гарантирует пользователю правильную обработку сложных удаленных запросов печати. ScrewDrivers может преодолеть различные ограничения печати, возникающие у других решений, независимо от приложения или драйвера принтера. Сам пользовался, другим ставил.

logdog: что-то не могу найти свой пост, про эти мытерства .... если вкратце, то: Выход - взять тулзу из комплекта PsTools - psexec.exe нормально отрабатывает, запуская приложения из под учетной записи администратора*. строка в батнике - psexec.exe -u учетнаязаписьадмина -p пароль -d путьдоклиентбанкаwCLNT.exe Чтоб с флэшкой особо не маяться, можно взять прогу vfdwin (эмуляция флоппи) и сделать образ флэшки, и добавив в батник код, запускать нужную учетку c образа: copy H:\RogaIKopita\admin\* H:\*.* /y - для админа copy H:\RogaIKopita\buh\* H:\*.* /y - для буха *Если досовское окно подвиснет, можно увидеть пароль админа =)

Бетке Сергей Сергеев: Коллеги, под пользователем клиента работать заставил. При локальном входе или входе НЕ ЧЕРЕЗ rdp под пользователем клиент прекрасно работает. для этого запустил servparam (служба servrd), зарегил ocx для решения проблем печати. И клиент работает под пользователем. Но при запуске через rdp - проблемы. Мысли вслух: - .cfg пересоздан под клиентом-пользователем, под пользователем в принципе всё работает, значит клиент прекрасно вяжется со службой, служба получает необходимые данные. - разница не в привилегиях. проверил локальные политики, никакой значимой разницы для локального и удалённого входа не нашёл. - права на доступ к rdp давал полные, не помогло, так что дело и не в них. - устройства дополнительные не пробрасываю через rdp, только буфер обмена. учитывая, что не под rdp сеансами всё в ажуре, копать следует в сторону rdp. Только вот что не так? Честное слово, возникает желание отладчик запустить уже... МОжет кто поделиться информацией, какую технологию IPC использует клиент для общения со службой? У меня всё-таки сложилось впечатление, что именно в rdp сеансах возникает проблема между клиентом и службой. но вот какая? буду рад любой информации!!!

Mike666: Спасибо, Сергей Сергеевич! Читал Ваш коммент на Amicon.ru, прекрасно разъяснили по поводу изначальной "упаковки" и распаковки пакетов. Ну... хоть нас в сопровождении, к сожалению, всё меньше и меньше - всегда рады здравому мышлению!

Dark: Стояла схожая задача. Заставить работать клиент банк не давай админские права пользователям, хотя на все вопросы банковская поддержка говорила одно - "а у пользователя есть админские права?! Дайте!" От Citrixa пришлось отказаться - не давал почему-то одновременно делать несколько сеансов. От терминала тоже - по схожей причине. Вышли из ситуации так: 1. Базы оставили на сервере и расшарили для нужных юзеров 2. Клиенты (целиком папки установленного клиента без баз) скопировали на РМ юзеров (не корректно конечно, но дистрибов нет, клиенты разных версий с 2010 года - дистрибов просто не нашли (ну или не искали)) 3. Локально на РМ юзеров дали права полные на папку с клиентом (иначе не конфигился kfgшник) 4. Под локальным админом принудительно прописали доступ к базе на серваке под доменными учетками юзеров (ну можно и отдельную было завести) (и да, работаем в домене, но не принципиально) 5. Далее, как уже говорилось, в ярлыках прописываем конструкцию типа: runas.exe /savecred /user:[computername]\Администратор "D:\.......\Client1601\wCLNt.exe" Замечание: при работе в домене конструкция "/user:localhost\Администратор" не работает, поскольку к имени ПК добавляеться префикс домена и учетка ищется уже не на локалке. Отсюда ошибка "неизвестная ошибка". Если комп не в домене, то и так сойдет 6. Дальше все по инструкции: в конфиге указываем пути к базе и клиенту, генерится kfgшник, запускает, однократно вводим пароль, проходим регистрацию и генерацию ключа, и опля - все работает. Ну как то так проблему решили. Но думаю стоит уточнить, пока вспомнил, это проделали со старыми базами, архивными, эти клиенты на связь с банком не выходят. Будет ли работать в режими онлайн - не ведаю. Может кому-нить поможет.



полная версия страницы