Форум » АРМ "Клиент" АС Клиент-Сбербанк » "Клиент-Сбербанк" стоит на терминальном сервере, пользователям пришлось дать права администратора » Ответить

"Клиент-Сбербанк" стоит на терминальном сервере, пользователям пришлось дать права администратора

lev: "Клиент-Сбербанк" стоит на терминальном сервере (Windows Server 2003), пользователи работают терминально. Всем, кто работает с "Клиент-Сбербанк" пришлось дать права администратора на этой машине. Иначе возникает ошибка "не открыт файл на диск C" Можно ли как то сделать, чтобы не давать права администратора пользователям?

Ответов - 31, стр: 1 2 All

lev: SkrebAE пишет: Нормально работает, только установку под 2003 надо производить !!!обязательно!!! из панели управления-установка программ. Тогда права выравниваются нормально. Сделала установку из панели управления/установка уи даление программ. Не помогло, таже ошибка- "не открыт файл на диск C" .

SkrebAE: lev пишет: Не помогло Попробуйте создать WCLNT.BAT файл со следующим кодом внутри: Если сервер русский, то runas /savecred /user:localhost\Администратор wCLNt.exe а если английский, то соответственно runas /savecred /user:localhost\Administrator wCLNt.exe Этим мы запускаем у пользователя прогу от имени админа. Далее снимаем права админа с юзеров. Заходим юзером и в ярлыке запуска клиента wCLNt.exe заменяем на созданный нами wclnt.bat В CMD окне попросят ввести пароль админа. Вводим, эта операция однократная (для одного пользователя). Далее возможно некоторое подвисание, это нормально, программа должна запуститься. Как я выше писал, решение частичное, но явные права админа забрать таки можно. ServParam не поможет, его можно вообще снять. Проблема в том, что wCLNt использует в какой-то момент операцию прямого доступа к жесткому диску, а это в ОС Сервер2003 однозначно запрещено всем, кроме админа. Правда у меня как-то получилось на одном сервере запустить, но ... не знаю. Может глюк.

Mike666: Если используется Citrix, то есть такой сайт - citrix.pp.ru. По его рекомендациям я много чего "наваял" года три назад. Сделали даже прожку, которая "никакому" юзеру (ваще "никакому") разворачивала заранее настроенный профиль, который позволял полномасштабно работать любому пользователю. Что любопытно, Microsoft подобную возможность опровергал изначально. Ну мож мы чёт не дочитали...

sb77: Mike666 пишет: Если используется Citrix Дык это если Citrix! У них много чего понаделано, о чём мелкософт не подозревает. Здесь, как я понял, стандартный удалённый рабочий стол юзается. Ремюзе: Заставить клиента работать под 2003 виндой в терминале можно. Тока в системке порыться надо...

Mike666: Согласен.

lev: SkrebAE пишет: Попробуйте создать WCLNT.BAT файл со следующим кодом внутри: Если сервер русский, то runas /savecred /user:localhost\Администратор wCLNt.exe а если английский, то соответственно runas /savecred /user:localhost\Administrator wCLNt.exe Этим мы запускаем у пользователя прогу от имени админа. Далее снимаем права админа с юзеров. Заходим юзером и в ярлыке запуска клиента wCLNt.exe заменяем на созданный нами wclnt.bat В CMD окне попросят ввести пароль админа. Вводим, эта операция однократная (для одного пользователя). Далее возможно некоторое подвисание, это нормально, программа должна запуститься. Как я выше писал, решение частичное, но явные права админа забрать таки можно. ServParam не поможет, его можно вообще снять. Проблема в том, что wCLNt использует в какой-то момент операцию прямого доступа к жесткому диску, а это в ОС Сервер2003 однозначно запрещено всем, кроме админа. Правда у меня как-то получилось на одном сервере запустить, но ... не знаю. Может глюк. Так уже делали, программа работает нормально, с печатью проблема. Ошибка "There is no defalt printer currently selected"

SkrebAE: lev пишет: There is no defalt printer currently selected" Принтер, случаем, не хьюлетт или самсунг? :) Тут вам в помощь только отвертка. Вот, скопипастил: Screwdrivers v4 Server License Разработан для удаленных корпоративных Windows приложений. Если вы используете терминальные службы, виртуальные рабочие столы, или XP удаленные рабочие столы, ScrewDrivers гарантирует пользователю правильную обработку сложных удаленных запросов печати. ScrewDrivers может преодолеть различные ограничения печати, возникающие у других решений, независимо от приложения или драйвера принтера. Сам пользовался, другим ставил.

logdog: что-то не могу найти свой пост, про эти мытерства .... если вкратце, то: Выход - взять тулзу из комплекта PsTools - psexec.exe нормально отрабатывает, запуская приложения из под учетной записи администратора*. строка в батнике - psexec.exe -u учетнаязаписьадмина -p пароль -d путьдоклиентбанкаwCLNT.exe Чтоб с флэшкой особо не маяться, можно взять прогу vfdwin (эмуляция флоппи) и сделать образ флэшки, и добавив в батник код, запускать нужную учетку c образа: copy H:\RogaIKopita\admin\* H:\*.* /y - для админа copy H:\RogaIKopita\buh\* H:\*.* /y - для буха *Если досовское окно подвиснет, можно увидеть пароль админа =)

Бетке Сергей Сергеев: Коллеги, под пользователем клиента работать заставил. При локальном входе или входе НЕ ЧЕРЕЗ rdp под пользователем клиент прекрасно работает. для этого запустил servparam (служба servrd), зарегил ocx для решения проблем печати. И клиент работает под пользователем. Но при запуске через rdp - проблемы. Мысли вслух: - .cfg пересоздан под клиентом-пользователем, под пользователем в принципе всё работает, значит клиент прекрасно вяжется со службой, служба получает необходимые данные. - разница не в привилегиях. проверил локальные политики, никакой значимой разницы для локального и удалённого входа не нашёл. - права на доступ к rdp давал полные, не помогло, так что дело и не в них. - устройства дополнительные не пробрасываю через rdp, только буфер обмена. учитывая, что не под rdp сеансами всё в ажуре, копать следует в сторону rdp. Только вот что не так? Честное слово, возникает желание отладчик запустить уже... МОжет кто поделиться информацией, какую технологию IPC использует клиент для общения со службой? У меня всё-таки сложилось впечатление, что именно в rdp сеансах возникает проблема между клиентом и службой. но вот какая? буду рад любой информации!!!

Mike666: Спасибо, Сергей Сергеевич! Читал Ваш коммент на Amicon.ru, прекрасно разъяснили по поводу изначальной "упаковки" и распаковки пакетов. Ну... хоть нас в сопровождении, к сожалению, всё меньше и меньше - всегда рады здравому мышлению!

Dark: Стояла схожая задача. Заставить работать клиент банк не давай админские права пользователям, хотя на все вопросы банковская поддержка говорила одно - "а у пользователя есть админские права?! Дайте!" От Citrixa пришлось отказаться - не давал почему-то одновременно делать несколько сеансов. От терминала тоже - по схожей причине. Вышли из ситуации так: 1. Базы оставили на сервере и расшарили для нужных юзеров 2. Клиенты (целиком папки установленного клиента без баз) скопировали на РМ юзеров (не корректно конечно, но дистрибов нет, клиенты разных версий с 2010 года - дистрибов просто не нашли (ну или не искали)) 3. Локально на РМ юзеров дали права полные на папку с клиентом (иначе не конфигился kfgшник) 4. Под локальным админом принудительно прописали доступ к базе на серваке под доменными учетками юзеров (ну можно и отдельную было завести) (и да, работаем в домене, но не принципиально) 5. Далее, как уже говорилось, в ярлыках прописываем конструкцию типа: runas.exe /savecred /user:[computername]\Администратор "D:\.......\Client1601\wCLNt.exe" Замечание: при работе в домене конструкция "/user:localhost\Администратор" не работает, поскольку к имени ПК добавляеться префикс домена и учетка ищется уже не на локалке. Отсюда ошибка "неизвестная ошибка". Если комп не в домене, то и так сойдет 6. Дальше все по инструкции: в конфиге указываем пути к базе и клиенту, генерится kfgшник, запускает, однократно вводим пароль, проходим регистрацию и генерацию ключа, и опля - все работает. Ну как то так проблему решили. Но думаю стоит уточнить, пока вспомнил, это проделали со старыми базами, архивными, эти клиенты на связь с банком не выходят. Будет ли работать в режими онлайн - не ведаю. Может кому-нить поможет.



полная версия страницы