Задача в небольшой сети (до 5-6 компьютеров) организовать доступ к 1С. Терминальный сервер я уже поднял, VPN (для стучащихся через инет) настроил. Проблема следующая - для половины из пользователей нужен только 1С, соответственно, мне не нужно, чтобы у них на удаленном рабочем столе были другие ярлыки, а также доступ к Моему компьютеру, его локальным дискам, Сети, к Панели управления, пункту Администрирование и проч. Остальной половине что-то из перечисленного будет разрешено.
Если еще права на папки я могу раздать каждому пользователю или группе через свойства Безопасности, то почистить Рабочий стол и пункты Пуск - уже проблематичнее. Гугление инета показывает, что это возможно через оснастку Групповые политики, а это работает, как я понял (да, я программист, а ни разу не сисадмин =) только если сеть - это домен.
Так вот мне нужно понять, нужно ли мне поднимать этот домен, контроллер домена, ради всего этого из-за нескольких пользователей? Ибо очень не хочется, это все сложно наверняка...
А для чего вообще домен вам? Для 5-6 я могу придумать только применение централизованное управление учетками и права на шары и то слишком мало компов для домена. Локальные политики на юзеров и так можно настроить через gpedit.msc и реестр. Можно прописать запрет на просмотр файловой системы и принудительный запуск сугубо 1c, без остального интерфейса в свойстве юзера.
Про домен спрашиваю, потому что не могу настроить с помощью локальных политик. Например, они выключают пункт Мой Компьютер для ВСЕХ пользователей сразу. Собственно все настройки применяются ко всем одинаково. А мне нужно это сделать в разрезе пользователей или групп. Половине дать доступ на все или практически все, другой половине - оставить на рабочем столе только пару ярлычков, закрыть доступ к обзору дисков и по максимуму выпилить значки из меню Пуск, такие как Панель управления, администрирование и проч. Изучение вопроса привело к осознанию того, что как-то просто это решается на уровне групповых политик, но их настройка у меня без домена запуститься отказалась. Решение через RemoteApp меня бы удовлетворило в какой-то степени, но там глюки с модальными окнами в 1С, которые до сих пор не решены.
Кстати, я еще наткнулся на оснастку Applocker, но правила по доступу к диску, определенные в ней у меня почему-то не заработали
Если нужна только 1с, то можно в свойстве самого юзера прописать запуск 1с без остального интерфейса, и не будет ни пуска, ни прочего для конкретных юзеров - попробуйте так, возможно будет проще.
А потому, что вы не там меняете в групповых политиках))) Вы меняете на всех юзерах, а надо на одного (в mmc надо добавлять оснастку политик с выбором конкретного юзера), аналог как HKLM в реестре и HKCU (чтобы менять не залогиненного юзера - надо подгружать его hive), всё что вы меняете в групповых политиках есть в реестре.
rionnagel: Вот это то, что мне нужно было! Теперь я понял, благодарю! Единственное, среди всех этих "Скрыть пункт ХХХ из меню Пуск" и проч. нет Скрыть пункт Администрирование, т.е. он так и остается болтаться один одинешенек в меню Пуск после отключения всего остального. Его только через реестр вырубать (видел где-то)??
Его как-то можно вручную просто удалить, не помню, но помню, что делал такое, когда kiosk mode на xp и win7 настраивал... но вроде с правами юзера там особо начудить не получится - на всё будет требовать повышение прав. Для хп использовал windows steady state, для win7 64 его же, но приходилось хексом модифицировать инсталятор.
На 5-6 компов я бы домен не разровачивал - гемору с развертыванием будет больше чем профита, т.к. до 10 компов и вручную можно быстро админить.
Да и желтопрога на 5-6 компов еще нормально держится даже в сетевом режиме, но раз уже подняли терминал то хорошо.
Если части пользователей нужна только желтопрога, то им в принципе и не нужна винда. Можно поставить систему "Тонкий клиент" на той же WinCE или каком линуксе. Задача: При включении коннектиться по RDP на сервак, а там скроете раб стол и назначите в автозапуск желтопрогу и на месте ничего админить не надо.
Остальным либо локальные политики либо удаленные реестры.
Не совсемпонял. То есть пользователи в вашем решении подключаются к удаленному рабочему столу, на котором все ярлыки, кроме 1С и пункты меню Пуск скрыты? Я про этот вариант и писал, что не пойму, как этого добиться. Такое ощущение, что удобного интерфейса настройки состава ярлыков и пунктов Пуск нет, нужно править какие-то ключи в реестре. В локальных политиках я нашел вариант пункты, отключающие пункты мой компьютер, сеть и другие, но они отключаются у всех пользователей, а не выборочно!
khataev: Если на некоторых компьютерах нужна только 1С и не нужны больше никакие программы, то WinServer позволяет вообще скрыть рабочий стол в терминале (будет показан абсолютно серый экран без всего), а при подключении запускать определенную программу, это есть в настройках терминального сервера.
У нас используется так: мы пользователям в RDP рабочий стол не показываем, при подключении к RDP у части пользователей сразу запускается 1С с конкретной базой, у другой часки которые работают с несколькими базами, версиями при подключении запускается самописный лаунчер на bat или delphi (программистом пишется за 5 мин.) в котором пользователь выбирает с какой прогой хочет работать. Мой компьютер всяким кладовщикам которые только вносят/читают данные из базы не нужен, а если надо что выгрузить из желтопроги, то ее сэйвдиалога для этого предостаточно.
khataev: Давно настраивал, но на сколько помню в 2003 масдайке делается так: настройка служб терминала/параметры сервера/Рабочий стол Active Desctop/отключить, потом Настройка служб терминала/подключения/RDP-tcp/Свойства/Среда/запускать следующую программу при входе пользователя
AntHTML: не совсем понял? это в gpedit.msc? потом 1) как отключение стола Active Desktop заблокирует рабочий стол и 2) как это настроить в разрезе пользователей, чтобы у одних было, а у других не было?
khataev: Это в tscc.msc
1) Отключение Active Desktop приводит к тому что юзеру в терминале вообще ничего не показывается - абсолютно пустой экран, но при этом при старте сесии можно запустить прогу или свой лаунчер и из него запустить нужную прогу.
2) Применяется увы ко всему терминальному серверу, но в лаунчере мы вытягиваем из winapi юзернейм пользователя и или запускаем сразу желтопрогу с параметрами базы или показываем ему формочку с соответствующими button-ами, а кликом по button-у - shelexec на соответствующую прогу.
У нас в терминале используется только желтопрога, но есть 4 базы и батник вида:
if /i %username:~0,8%==Ingener1 (goto :_A)
if /i %username:~0,8%==Mark1 (goto :_B)
:_A
start i:\1Cv77\Bin\1cv7.exe enterprise /D "i:\_Base_2004"
goto:eof
:_B
start i:\1Cv77\Bin\1cv7.exe enterprise /D "i:\_Base_Mark"
goto:eof
В итоге при открытии RDP-сессии у юзера уже открыта его база и ни на какие ярлычки тискать не надо, так же т.к. в сессии висит только процесс желтопроги, то по закрытию желтопроги, автоматом шутдаунится сама сессия и юзеру не надо по сто раз кликать крестики
Во-первых, лицензия для серверной винды стоит конских денег (для 5-6 человек), во-вторых 1С может спокойно быть установлена в клиент-серверном режиме (сервер на серверном компе, у пользователей - клиентская установка), или вам принципиально чтобы на компы людей не ставить локально 1С?
Да, принципиально, чтобы все было на сервере, зачем на локалки ставить? При том к сети могут подключаться внешние пользователи через интернет, им тоже не хотелось бы ничего ставить. Да и с терминальным сервером централизация какая-никакая, хоть и без домена
khataev: у вас что, кто попало в 1С работать будет? :)
На локальные компы ставить затем, что трафик от удалённых 1Сок гораздо меньше, чем трафик от нескольких RDP, постоянно транслирующих экран. У вас же по интернету будут сессии, вы уверены что у клиентов не окажется какого-нибудь тормознутого канала, на котором RDP будет сущим мучением?
khataev: я не про ваши каналы спросил, а про клиентские. Смогут ли комфортно работать через ADSL? А через мобильный 3G? Или работать будут только с подключения витухой?
SyavaSyava: Вы хотите сказать, что трафик одинэски выше трафика RDP протокола?
Если удалённый клиент через свой ADSL попробует передать на сервак относительно толстый файл и тем самым забьёт свой исходящий канал, то ему гарантировано слайд-шоу с перерисовкой экрана квадратиками, при котором работать просто невозможно от слова совсем, в то время как при работе клиента 1С просто увеличивается ожидание данных, без постоянных тормозов на всё время передачи файлов.
SyavaSyava: Вообще-то автор изначально сказал, что для удалённых подключений он уже настроил VPN, безопасность через который для 1С ничуть не хуже RDP.
А передавать файлы клиент может не на тот же сервер, а на другой. Да хотя бы в дропбокс заливать. Не имеет значения чем забивать худой обратный канал.
khataev: Ну не совсем "нельзя":
запустите mmc.exe, "файл\добавить оснастку\редактор объектов групповой политики", "объект политики\обзор\пользователи", и там можно немного повыбирать пользователей, "администраторы", "не администраторы".
Если расти не собираетесь то домен не нужен. Дорого (мы же честные люди ^_^ ).
Достаточно в управление компьютером в группу Администраторы добавить Вашу учетную запись, а после через пуск - Выполнить - \\%computer_name% уже смотреть, что у сотрудников на рабочей станции.
Ну и тут же настроить учетные записи на локальных машинах.
А вот если будете расти, то вручную это админить уже будет тяжко, тогда да, нужна будет автоматизация.
Групповые политики доступны и локально на сервере, без АД - gpedit.msc.
Для разграничения доступа публикуйте приложения, а не давайте доступ к раб.столу. При этом не включайте веб доступ, т.к. через веб доступ клиент сможет получить доступ ко всем опубликованным приложениям - расставляйте приложения на клиентах в ручную, это можно делать либо предоставив rdp файл приложения, либо сгенерировав msi пакет и отдав его клиенту.
1) Вы наверное имели в виду технологию RemoteApp? Я ее уже попробовал, она вроде работает, но говорят глючит ) Например, у меня исчезает окно 1С после запуска, хотя процесс висит. Лечится повторным запуском программы - появляется и новое и предыдущее окно ) Потом, у этой технологии есть минус - пользователь может используя те же логин и пароль подключиться к удаленному рабочему столу и получить доступ к незапрещенным файлам и программам )
2) Насчет gpedit.msc, то есть вы утверждаете, что и без домена ее настройки будут распространяться на пользователей имеющихся сейчас на сервере пользователей? Попробую еще раз ее посмотреть, но мне показалось, что внесенные там настройки не имели эффекта...
khataev: remoteapp это суть тот же rdp только пользователь не видит раб. стола. Проблема с повторный запуском 1с известная, гуглите, думаю рецепт найдёте. Gpedit - изменения автоматически в силу не вступают. Винда с какой-то периодичностью обновляет политики, можно принудительно обновить. Часть политик требуют перезагрузки.
Константин Фролов: через открыть видит файловую систему это не есть раб. стол. Оставьте пользователям пользовательские права и доступ только к самому необходимому и тогда пусть хоть заоткрываются.
Дмитрий: я немного разобрался с локальными и групповыми политиками, да gpedit это локальная как оказалось. В ней нельзя в разрезе пользователя настроить что-то. А групповая политика требует, чтобы я зашел под пользователем домена, которого у меня нет
Средний
