Как заставить службу добавить запись в бд от имени другого пользователя?

Question

[vista1x]

Здравствуйте! Постараюсь подробно описать всю суть проблема:
Под Win8 есть два пользователя, user1 (администратор) и user2(простой пользователь). Есть служба, работающая от user1. Что она делает? Она принимает через сокеты некоторые данные и запускает другую программу (proga.exe) от имени user2 с параметрами, полученными из сокетов. Далее, proga.exe создает в определенной директории файл со скриптом SHELL и запускает его. Что делает скрипт: создает несколько файлов txt (это выполняется успешно) и добавляет некоторые данные в БД Access через odbc (это не выполняется).
Причем записи в бд не пишутся только если proga.exe запущена из службы. Если готовый скрипт запустить из под user2, то данные записываются.

Из службы запускаю proga.exe процедурой RunAs, описание ниже

procedure StrResetLength(var S: AnsiString);
begin
  SetLength(S, StrLen(PChar(S)));
end;

function GetUserObjectName(hUserObject: THandle): string;
var
  Count: DWORD;
begin
  // have the the API function determine the required string length
  GetUserObjectInformation(hUserObject, UOI_NAME, PChar(Result), 0, Count);
  SetLength(Result, Count + 1);

  if GetUserObjectInformation(hUserObject, UOI_NAME, PChar(Result), Count, Count) then
    StrResetLength(Result)
  else
    Result := '';
end;

function SetUserObjectFullAccess(hUserObject: THandle): Boolean;
var
  Sd: PSecurity_Descriptor;
  Si: Security_Information;
begin
  Sd := PSecurity_Descriptor(LocalAlloc(LPTR, SECURITY_DESCRIPTOR_MIN_LENGTH));
  InitializeSecurityDescriptor(Sd, SECURITY_DESCRIPTOR_REVISION);
  SetSecurityDescriptorDacl(Sd, True, nil, False);

  Si := DACL_SECURITY_INFORMATION;
  Result := SetUserObjectSecurity(hUserObject, Si, Sd);

  LocalFree(HLOCAL(Sd));
end;

procedure RunAs(var UserDomain, UserName, Password, CommandLine: string);
const
  Environment: PChar=nil;
  // default values for window stations and desktops
  CreateProcDEFWINSTATION = 'WinSta0';
  CreateProcDEFDESKTOP    = 'Default';
  CreateProcDOMUSERSEP    = '\';
var
  ConsoleTitle: string;
  Help: string;
  WinStaName: string;
  DesktopName: string;
  
  hUserToken: THandle;
  hWindowStation: HWINSTA;
  hDesktop: HDESK;
  StartUpInfo: TStartUpInfo;
  ProcInfo: TProcessInformation;
  Runned: boolean;
begin
  // Step 2: logon as the specified user
  if not LogonUser(PChar(UserName), PChar(UserDomain), PChar(Password),
                   LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, hUserToken) then
    log('ERROR LogonUser');

  // Step 3: give the new user access to the current WindowStation and Desktop
  hWindowStation:= GetProcessWindowStation;
  WinStaName := GetUserObjectName(hWindowStation);
  if WinStaName = '' then
    WinStaName := CreateProcDEFWINSTATION;

  if not SetUserObjectFullAccess(hWindowStation) then begin
    CloseHandle(hUserToken);
   // raise EJclCreateProcessError.CreateResRecFmt(@RsCreateProcSetStationSecurityError, [WinStaName]);
    log('ERROR SetUserObjectFullAccess(hWindowStation');
  end;

  hDesktop := GetThreadDesktop(GetCurrentThreadId);
  DesktopName := GetUserObjectName(hDesktop);
  if DesktopName = '' then
    DesktopName := CreateProcDEFDESKTOP;

  if not SetUserObjectFullAccess(hDesktop) then begin
    CloseHandle(hUserToken);
   // raise EJclCreateProcessError.CreateResRecFmt(@RsCreateProcSetDesktopSecurityError, [DesktopName]);
    log('ERROR SetUserObjectFullAccess(hDesktop)');
  end;

  // Step 4: set the startup info for the new process
  ConsoleTitle := UserDomain + UserName;
  FillChar(StartUpInfo, SizeOf(StartUpInfo), #0);
  with StartUpInfo do begin
    cb:= SizeOf(StartUpInfo);
    lpTitle:= PChar(ConsoleTitle);
    Help := WinStaName + '\' + DeskTopName;
    lpDesktop:= PChar(Help);
  end;

  // Step 5: create the child process
  Runned :=  CreateProcessAsUser(hUserToken, nil, PChar(CommandLine),
                                 nil, nil, False, CREATE_NEW_CONSOLE or CREATE_NEW_PROCESS_GROUP,
                                 Environment, nil, StartUpInfo, ProcInfo);

  if(not(Runned)) then begin
    case GetLastError of
      ERROR_PRIVILEGE_NOT_HELD:
        {raise EJclCreateProcessError.CreateResRecFmt(@RsCreateProcPrivilegesMissing,
          [GetPrivilegeDisplayName(SE_ASSIGNPRIMARYTOKEN_NAME), SE_ASSIGNPRIMARYTOKEN_NAME,
          GetPrivilegeDisplayName(SE_INCREASE_QUOTA_NAME), SE_INCREASE_QUOTA_NAME]); }
          log('ERROR_PRIVILEGE_NOT_HELD :: ' + IntToStr(GetLastError));
      ERROR_FILE_NOT_FOUND:
        //raise EJclCreateProcessError.CreateResRecFmt(@RsCreateProcCommandNotFound, [CommandLine]);
          log('ERROR_FILE_NOT_FOUND :: ' + IntToStr(GetLastError));
      else
        //raise EJclCreateProcessError.CreateResRec(@RsCreateProcFailed);
          log('ERROR NUM :: ' + IntToStr(GetLastError));
    end;
  end;

  // clean up
  CloseWindowStation(hWindowStation);
  CloseDesktop(hDesktop);
  CloseHandle(hUserToken);

  if Runned then begin
    WaitForSingleObject(ProcInfo.hProcess, INFINITE);
    { Free the Handles }
    CloseHandle(ProcInfo.hProcess);
    CloseHandle(ProcInfo.hThread);
  end;
end;

Собственно, как сделать так, что бы запущенная из под службы proga.exe отработала нормально?
Уже много перепробовал, не понимаю, где еще искать ошибку.
Было подозрение, что у user1 не хватает каких то прав в "локальных политиках безопасности", пробовал давать ему самые различные права, ничего не помогло.

Comments

[Freeman]

Замечание не по существу: run -- неправильный глагол, в прошедшем времени -- ran.

Answer 1

[OvLab]

Возможно ошибка кроется в содержимом CommandLine. Например какой-либо путь или файл недоступен пользователю SYSTEM, под которым работают службы.

Comments

[vista1x]

служба запускается от user1(администратор), так что доступ к файлам точно есть

[OvLab]

В таком случае, может наоборот, запустить службу под SYSTEM, как это и должно быть?