Задать вопрос

Можно ли в Windows назначить права для папки так чтобы приложение имело права на чтение и запись, а обычные пользователи использующие его нет?

Собственно в случае с 1С например. Чтобы программа 1С имела права на чтение и запись из папки, а пользователь который запускает эту программу этих прав не имел? То есть чтобы он НЕ мог зайти в папку с БД и скопировать\изменить\удалить эти файлы.
Вариант с SQL известен. Но я сейчас про файловый вариант с использованием сервера терминалов.
Слышал про вариант что программу можно запускать из-под другого пользователя. Не очень понятно насколько это надежно, ведь пароль где-то должен сохраняться что небезопасно.
  • Вопрос задан
  • 1548 просмотров
Подписаться 5 Оценить Комментировать
Решения вопроса 1
Jump
@Jump
Системный администратор со стажем.
Итак вариант решения проблемы -
Создаем батник примерно следующего содержания:
runas /savecred /user:WORKSTATION\test "C:\Program Files (x86)\1cv8\common\1cestart.exe"


WORKSTATION\test - имя машины и пользователя, если у вас домен то пишется наоборот и через собаку.
C:\Program Files (x86)\1cv8\common\1cestart.exe- путь к файлу запуска 1с.

Ищем папку, где лежит база 1с, идем во вкладку безопасность, делаем владельцем пользователя test, отключаем наследование, даем ему полные права, всем остальным права удаляем.

При первом запуске с ярлыка программа запросит пароль пользователя тест - вводим его и он будет сохранен в хранилище паролей windows.

Но есть проблема - через интерфейс 1с - меню - открыть файл - пользователь будет прекрасно иметь доступ к каталогу базы с правами пользователя test и может скопировать базу.
Победить это можно - отберите права на запись у пользователя test во все директории кроме папки с базой, и своего профиля.

И еще один момент - пользователю 1с нужно урезать права не только на доступ к папкам, но и на запуск программ, и тех же батников.
Т.е разрешить запуск программ только из системных директорий в которые он не может записывать.
У него не должно быть возможности создать батник на рабочем столе и запустить его.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
aenikitin
@aenikitin
Инфраструктурный администратор
Собственно ПО (в данном случае 1С) запускается в контексте пользователя, а значит использует его (пользователя) права.

Можно как вариант сохранить пароль от специально созданного пользователя в виде secure string и написать скрипт, который будет эту строку читать и потом использовать в качестве пароля для запуска 1с от этого специально созданного пользователя. Это будет относительно секьюрно.

blogs.technet.com/b/robcost/archive/2008/05/01/pow...
Вот тут есть примеры как использовать этот метод.
Ответ написан
A1ejandro
@A1ejandro
youtube блогер, ИТ-специалист
нужно причислить отдельными приказом ген.дира 1С к числу приложений требующих администраторские привелегии, а пользователи пусть дальше работают под ограниченной учеткой... сами наверное сталкивались, некоторые программы при запуске сами говорят что им требуются админские права и ты подтверждаешь что разрешаешь проге так запуститься....
Ответ написан
Зачем такие выкрутасы?
Вы наверное хотите обезопасить себя от кражи базы?
Сделайте терминальный сервер, урежьте там все политиками по-максимуму, чтобы юзер мог только запускать 1С, запретить буфер обмена и подключение локальных дисков.
Бэкап базы - защита от порчи.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы