(РЕШЕНО!) Обновление обычным юзером. Терминальный сервер.

Відповісти
kos
Повідомлень: 4
З нами з: 23 квітня 2013, 13:16

(РЕШЕНО!) Обновление обычным юзером. Терминальный сервер.

Повідомлення kos » 23 квітня 2013, 14:43

Мучался с этим сабжем очень долго (так же как и многие на этом форуме),
пока окончательно не решил разобраться САМ. Победа окончательная! Всё работает.

Прошу внести это в ЧаВо - для ВСЕХ !!!

УСТАНОВКА ОБНОВЛЕНИЙ ОБЫЧНЫМИ ПОЛЬЗОВАТЕЛЯМИ ДЛЯ СЕТЕВОЙ ВЕРСИИ В ТЕРМИНАЛЕ

(Предполагаю, что для локальной версии, а также при работе НЕ в терминале - всё, что ниже - тоже верно)

1) даем права на следующие папки (нужным пользователям или всем)

<ProgramFiles>\Common Files\Firebird_M<x>\*.*
<ПутьКорняКудаПосавилиМедок>\*.* (обычно: c:\Documents and Settings\All Users\Application Data\Medoc\*.*)


Обратите внимание: папка All Users\Application Data обычно имеет атрибут "скрытый", его нужно убрать!

2) даем права на следующие ветки реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\IntellectService] для x86
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\IntellectService] для x64


3) проверяем не блокирует ли антивирь/файрвол порты сервера/клиента (обычно порты: 9996 Zvit + 3050 FireBird)
+ есть ли инет (доступ на этот сайт браузером под "проблемным" пользователем)


После (не)успешности предыдущих пунктов, делам ТО ЧТО ДАЛЕЕ - САМОЕ ИНТЕРЕСНОЕ!!!!
- на тех.поддержке не говорят (не знаю: умалчивают или не знают)


4) даем права на запуск/остановку служб: "ZvitGrp" и "Firebird server - ZvitGrp"


ВАРИАНТ №1 (если политика домена не используется, автономная машина, нужен перегруз компУтера)
------------------------------------------------


через реестр (+перезапуск системы, не только службы!!!)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Firebird server - ZvitGrp<x>]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZvitGrp<x>]



ВАРИАНТ №2 ЛУЧШЕ ЧЕРЕЗ ПОЛИТИКИ ДОМЕНА (без перезапуска)
------------------------------------------------

как написано на сайте мелкомягких:
- проблема: http://support.microsoft.com/kb/256299
- решение : http://support.microsoft.com/kb/256345/EN-US

Там для Win2000 - но это 100% верно для ВСЕХ последующих Windows, вплоть до WinServer 2012 !!!

Для тех кто забыл где редактируется политика домена под вин.2003:
"Администрирование"=>"Пользователи+компьютеры"
=>правой кнопкой по домену: Свойства => закладка "Политики" => кнопка "Изменить"

Далее, политика:
"Конф.Компьютера" => "Конф.виндовс" => "Параметры безопасности" => "Системные службы"

Для служб "ZvitGrp<x>" и "Firebird server - ZvitGrp<x>" устанавливаем:
- "ативировать политику" = да
- "запускать" = автоматически
- "разрешения" = ставим галки у всех кто там есть, особенно "интерактивный пользователь"

Ждем пару минут (пока политика "распространится") и пробуем обновиться
от имени ОБЫЧНОГО пользователя.

Можно не ждать, а просто сделать "logoff/logon" для этого пользователя.

Проверить "есть ли у пользователя права start/stop на службу"
в командной строке пишем:

CMD> net stop ZvitGrp
... Команда выполнена успешно
CMD> net stop "Firebird server - ZvitGrp"
... Команда выполнена успешно
CMD> net start "Firebird server - ZvitGrp"
... Команда выполнена успешно
CMD> net start ZvitGrp
... Команда выполнена успешно

Если 4 раза увидели "успешно" - значит у пользователя
достаточно прав для запуска/остановки этих служб
и можно обновляться....


ВОТ И ВСЕ! Под терминалом обновления устанавливаются на "УРА!"


P.S. ---------- ЗАМЕЧАНИЕ!!!! ----------------------------

На фоуме встретил пост, где предлагается убрать порт и имя службы, типа:

[HKEY_LOCAL_MACHINE\SOFTWARE\IntellectService\BusinessDoc2]
"PATH"="C:\\Documents and Settings\\All Users\\Application Data\\Medoc\\Medoc_local2"
"ServiceName"="-1"
"Port"="-1"


НЕ ТРОГАЙТЕ!!!!
Это превратит сетевую версию в локальную (как бы "без служб")
и вы получите другую ошибку при обновлении сетевой версии:
а именно - "отказ в доступе к файлу" который занят "другим процессом",
т.к. службы продолжают работать, файлы ими уже открыты и обновление не сможет эти файл обновить.

Вот так-то...

Antoha
Повідомлень: 24
З нами з: 28 березня 2012, 10:15

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення Antoha » 25 квітня 2013, 23:22

...
Востаннє редагувалось 26 квітня 2013, 00:12 користувачем Antoha, всього редагувалось 2 разів.

Колпаков Б.И.
Повідомлень: 8802
З нами з: 29 липня 2011, 14:59
Звідки: Украина, Донецкая область, Бахмут
Контактна інформація:

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення Колпаков Б.И. » 25 квітня 2013, 23:26

Антоха зачем все цитировать? Спойлер используйте!

VIL
Повідомлень: 12
З нами з: 14 червня 2013, 14:29

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення VIL » 14 червня 2013, 14:41

Windows 2008 R2 Server. Установлена НЕ СЕТЕВАЯ версия. В терминалке работает только 1чел - иногда из локальной сети, иногда из интернета.
приведенное выше НЕ РАБОТАЕТ! Медок под пользователем с ограниченными правами не обновляется.

Из приведенного выше в локальной версии отсутствуют:
4) даем права на запуск/остановку служб: "ZvitGrp" и "Firebird server - ZvitGrp"
- для локальной версии firebird не устанавливается

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Firebird server - ZvitGrp<x>]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZvitGrp<x>]
- отсутствуют по той же причине

службы "ZvitGrp<x>" и "Firebird server - ZvitGrp<x>"
- отсутствуют по той же причине
------------

Остается из инструкции - только дать права на папку с медком, корень диска и на ключи рееста. Для виндовс 7 этого достаточно, для 2008-сервера - нет.

Остается актуальный вопрос - как обновлять ЛОКАЛЬНОГО медка из-под доменного пользователя с ограниченными правами в терминальной сессии.

ЗЫ имхо медок где-то сохраняет врменный файл во время обновления - там, где ему не нужно лазить (к-л системная папка или реестр). из-за этого и происходит трабла.

Нина Юрилина
Администратор
Повідомлень: 4920
З нами з: 02 серпня 2012, 15:48
Звідки: [email protected]

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення Нина Юрилина » 14 червня 2013, 15:09

VIL
а что именно Вам пишет при попытке обновления?

VIL
Повідомлень: 12
З нами з: 14 червня 2013, 14:29

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення VIL » 17 червня 2013, 13:41

Нина Юрилина писав:VIL
а что именно Вам пишет при попытке обновления?
Получилось обновиться при следующих условиях:
1) права на папку с медком
2) права на корень диска, на котором установлен медок (не у всех усерам позволено галить в корне) - имхо медок создает временный файл в корне! диска
3) права на реестр Intellectservice
4) доменному усеру, который работает с локальным медком в терминал-сессии, дать права
Востаннє редагувалось 17 липня 2013, 15:28 користувачем VIL, всього редагувалось 2 разів.

Нина Юрилина
Администратор
Повідомлень: 4920
З нами з: 02 серпня 2012, 15:48
Звідки: [email protected]

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення Нина Юрилина » 17 червня 2013, 13:47

Добавьте ему еще прав на установку приложений и на папку которая в переменных средах указана

VIL
Повідомлень: 12
З нами з: 14 червня 2013, 14:29

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення VIL » 17 червня 2013, 19:45

Нина Юрилина писав:Добавьте ему еще прав на установку приложений
Нет. Так нельзя. Ведь не просто-так пользователей ограничивают в правах, тем-более на сервере.

Верный компетентный ответ должен звучать имхо следующм образом:
1) программа создает временные файлы в таких-то папках,
2) в таких-то системных (непоятного дела) создает такие-то файлы (я же могу разрешить только создавать именно эти файлы, а не давать полный длоступ на системную папку в которой этой программе делать нечего)
3) создает такие-то ветви реестра, помимо ветки Intellectservice
и только на это и нужно дать права пользователю на изменение, создание, удаление.

Нина Юрилина
Администратор
Повідомлень: 4920
З нами з: 02 серпня 2012, 15:48
Звідки: [email protected]

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення Нина Юрилина » 18 червня 2013, 09:12

VIL
Всех вышеперечисленных папок будет достаточно, по временным папкам я уже говорила, это то что в переменных средах указано на ту папку и даете права. А какая именно у Вас ошибка возникает Вы так и не написали

VIL
Повідомлень: 12
З нами з: 14 червня 2013, 14:29

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення VIL » 18 червня 2013, 10:56

up
Востаннє редагувалось 17 липня 2013, 15:30 користувачем VIL, всього редагувалось 2 разів.

Нина Юрилина
Администратор
Повідомлень: 4920
З нами з: 02 серпня 2012, 15:48
Звідки: [email protected]

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення Нина Юрилина » 18 червня 2013, 11:08

VIL
а логе системы что-то пишет?

VIL
Повідомлень: 12
З нами з: 14 червня 2013, 14:29

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення VIL » 18 червня 2013, 11:14

Нина Юрилина писав:VIL
а логе системы что-то пишет?
извините, но может мне на украинском или польском вопросы задавать?
вы издеваетесь?

при нажатии на кнопочку получить обновления выцскакивает окно требующее ввода логина администратора и пароля администратора. Если эти данные не ввести выскочит окно, что update.exe требует админские права и никакого обновления не произойдет. такая же реакция если сразу запустить это файло из папки с установленным медком. Ну в чем же проблема осознать эту простую истину?

В логах зафиксирует такое же событие, как при попытке устакновки ЛЮБОГО софта из-под ограниченной учетной записи с вводом пароля ОГРАНИЧЕННОГО усера, а не администратора или с повышенными привилегиями на установку софта и доступом в системные папки.

может он с каждым обновлением пытается установить/обнвить .net или еще что, или просто тупо пытается создать мусор в system32 или другой системной папке, в которой ему делать нечего, а может маскируясь под обновление втюхивает бакдо? почему я джолжен выгадывать причины? неужели разрабы настолько некомпетентны?

для чего ему для добавления пары-тройки файлов в СВОЕЙ папке нужны права админа?!!!!
для чего ему получать полный контроль над пк пользователя?!!!!

Нина Юрилина
Администратор
Повідомлень: 4920
З нами з: 02 серпня 2012, 15:48
Звідки: [email protected]

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення Нина Юрилина » 18 червня 2013, 11:26

VIL
ну, теперь все понятно. как я выше и писала у пользователя нет прав на установку программ\обновлений. для этого не обязательно давать АДМИНСКИЕ права пользователю, а нужно просто дать соответствующее разрешение

VIL
Повідомлень: 12
З нами з: 14 червня 2013, 14:29

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення VIL » 18 червня 2013, 11:51

Нина Юрилина писав:VIL
ну, теперь все понятно. как я выше и писала у пользователя нет прав на установку программ\обновлений. для этого не обязательно давать АДМИНСКИЕ права пользователю, а нужно просто дать соответствующее разрешение
ок. а вчем же отличаются права на установку обновлений медка от прав на установку других программ? как это осуществить?
или вы все-таки хотели сказать, что дать пользователям разрешение на устаногвку ВСЕХ программ? включая большую половину залетных вирусов?
по вашему мнению, как администратора по безопасности, это допустимо? (дать пользователю такие права)
вы, как администратор безопасности (или хоть какой администратор - бд, кд, локальный, сетевой, пр), считаете уместно и приемелево вообще рассматривать такую возможность?

или вы настолько некомпетентны в администрировании, что у вас все в домене наделены полными правами? и такие стандарты, например как ISO/IEC 17799 или ISO/IEC 27002 или 53152 - ГОСТ 17799-2005 существуют для упоротых ботанов, а не для реальных всезнающих пацанов?

Русский
Повідомлень: 37
З нами з: 28 червня 2012, 10:59

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення Русский » 18 жовтня 2013, 02:53

Какая интересная тема!
Фактически получается, что эта программа соглашается работать, только получив полный контроль над системой и доступ в интернет. Либо вы запустите службу Zvitgrp под системной учетной записью, либо сам «медок» с правами администратора. Зачем бы это могло понадобиться программе не связанной с обслуживанием системы? Для установки бэкдора?

igrmik
Повідомлень: 6
З нами з: 14 липня 2011, 12:22

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення igrmik » 13 лютого 2014, 19:20

Все эти описанные решения не помогают в решении проблемы!
А все потому что разработчики заранее сделали так, что бы обновление UPDATE.EXE запускалось исключительно под админскими правами. Если открыть папку с медком и выбрать все EXE файлы, то можно увидеть что приложения UPDATE и BACKUPMANAGER должны выполняться исключительно под админскими правами, только вот вопрос ЗАЧЕМ?????
Вобщем "господа разработчики" внесите соответствующие изменения в эти файлы в их МАНИФЕСТЫ и замените уровень привелегий с highestAvailableна asInvoker
если непонятно, то вместо:

Код: Виділити все

<?xml version="1.0" encoding="utf-8"?>
<asmv1:assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1" xmlns:asmv1="urn:schemas-microsoft-com:asm.v1" xmlns:asmv2="urn:schemas-microsoft-com:asm.v2" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <assemblyIdentity version="1.0.0.0" name="update.exe"/>
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
    <security>
      <requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3">
        <requestedExecutionLevel level="highestAvailable" uiAccess="false" />
      </requestedPrivileges>
    </security>
  </trustInfo>
</asmv1:assembly>
должно быть

Код: Виділити все

<asmv1:assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1" xmlns:asmv1="urn:schemas-microsoft-com:asm.v1" xmlns:asmv2="urn:schemas-microsoft-com:asm.v2" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <assemblyIdentity version="1.0.0.0" name="update.exe"/>
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
    <security>
      <requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3">
        <requestedExecutionLevel level="asInvoker" uiAccess="false" />
      </requestedPrivileges>
    </security>
  </trustInfo>
</asmv1:assembly>
Надеюсь, что вы сможете быстро устранить данную оплошность.

Yspex
Повідомлень: 2
З нами з: 17 березня 2015, 13:10

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення Yspex » 17 березня 2015, 14:15

Прочитал данную тему, честно столкнулся с такой же идентичной проблемой. Просто немного не пойму, почему разработчики данного софта не учитывают что есть еще и сервера, и давать пользователям полные права, не есть хорошо, хоть убей не пойму. Неужели нельзя уделить время и сделать по человечески? Тем более что мы как клиенты купили данный продукт, и почему я как клиент должен испытывать какие либо осложнения в его работе?

Вариант № 1 При формировании ЕСВ в 1С и выгрузке его с 1С в Медок, получаем ошибку, не установлено следующие ПО VFPOLEDBSetup.msi

Вариант № 2 При запуске ПО Медок от имени "Администратор", ЕСВ успешно импортируется без каких либо ошибок.

Доступ к папке Медок для определенных пользователей выставлен и на "чтение" и на "запись"

Какие будут Варианты?

Ярослав Заец
Повідомлень: 1324
З нами з: 19 березня 2014, 11:22

Re: (РЕШЕНО!) Обновление обычным юзером. Терминальный сервер

Повідомлення Ярослав Заец » 17 березня 2015, 15:25

Yspex
Возможно VFPOLEDBSetup.msi установлен только для пользователя администратор. Попробуйте выполнить переинсталяцию данной утилиты для всех пользователей.

Відповісти

Повернутись до “При встановленні оновлень”