Program vyzaduje admin ucet pro spusteni (terminal server)
Ahojte, mam takovy bezpecnostni problem. Na terminal serveru je nainstalovan program Solid Works. Ten se bouzel spusti jen kdyz je uzivatel clenem admin. Uzivatele pristupuji pres remote desktop, pricemz sposteci ikonu u sebe na lokale maji nastavneou ze se jim program natahne automaticky, takze do nastaveni windows se nedostanou. Staci ale zrusit zatrzeni spustit pri startu a muzou vesele adminovat ...
Volal jsem firme co instalovala ten Solid ale manik dle reakci to asi jeste neresil, prijde pristi tyden.
Napadlo mne spustet batak s prikazem runas, jenze tam se heslo neda naprogramovat, ceka vzdy na zadani.
Nenapada vas neco ? (server neni v domene)
Kontaktovat dodavatele a poradit se s nimi. Většinou ale když někdo takhle zhovadilý program prodává, tak
a) má dementní programátory kteří to nejsou schopni udělat lépe
b) je to firma která skoupila zkrachovalou firmu která kopuila zkrachovalou firmu která to kdysi programovala pro Windows 3.11. Nová firma žádné programátory nemá
c) dodavatel na všechno se*e, vždycky se najde nějaký blbec co to koupí
Důvodem proč to nefunguje pod neadminem může být složitý nebo naopak triviální (např. : jediný ini soubor v C:\WINDOWS) a ty triviální se dají řešit. Pomůžou regmon, filemon, procesmon od Microsoftu.
Dávat uživatelům adminsitrátora na TS nepřichází v úvahu.
jj, zlatá slova. rozchodit se dá 98% SW, z toho 50% naprosto bez problémů, 30% s trochu větším úsilím, 10% s hodně velkým úsilím a zbylých 8% sice taky jede, ale má nějaké menší mušky (např. špatná/nedefinovatelná uživ. nastavení apod.)
podobné prasárny dělá většina drahých cad nebo jiných spec.programů pro úzký trh, i když nemusí být nutně složitější než excel. jsou zvyklí že it ví o těchto specialitách prd, a nechávají radši userům admošská práva. nebo jde o první verze portované z -uxů, a to je v prostředí win taky veselé.
na lokálu to řeším bruntálně - povolením zápisu do program files a windows pro users.
To je obvykle jedine reseni, jak podobne programy rozchodit. Stačí povolit zápis do adresáře v program files (ne do celých program files) pro USERS a v regitru v HKLM povolit zápis do příslušné větve programu i pro USERS.
Je to sice ustupek bezpečnosti, ale ne zase tak velký, aby něco důležitého ohrozil...
dal jsem full pristup na adr windows, program files, i celou vetev HKML pro skupinu solid works a stejne to nejde, mrcha.
presne tak, ten soft stal neco pres 200tacu, v tech program files ma celkem tri adresare - daval jsem na toho uzivatel full pristup, zkusim jeste na windows ...
Sem zvedav co pristi tyden ten manik vymysli, spis mam strach abyc nam nerozdrbal celej system ... Radsi zaghostuju :)
diky vsem
já si ten J.F. nápad s přístupovými právy do HLM\sw\výrobce_sw ukládám do paměti, to by mohlo pomoct.
přístup do adresáře \windows k tomu nemusí být nutný, jenže u nás se těch softů a ovladačů průmyslových karet schází víc a tak to dělám preventivně.
stáhni si regmon a filemon, dej si tam logování neúspěchů (do obého), smaž buffer a spusť tu aplikaci. Mělo by ti to vypsat, kam se ta aplikačka snaží zapsat a nejde jí to. Tam pak nastav práva.
P.S.: jinak doufám, žes to na ten TS nainstaloval tak jak se na TS má správně instalovat (není to jen "spustit setup.exe")
no s tou instalaci si prave nejsem jistej, nestal jsem mu bohuzel za zady. Ale myslim ze to pres pridat nebo odebrat programy prave nedal ... Zkusim to, dik
neco mi rikalo pust ten regmon az nebude provoz na serveru, neposlechl jsem tuseni, pustil a buch, servr sel do resetu ...
(poustel jsem ho pres vzdalenou plochu)
to je nějaký renonc. regmon na TS pouštím úplně normálně...
Já taky, a je tam třeba přes dvacet userů.
Jinak žádná práva nikam nenastavuj, dokud nezjistíš přes procesmon /regmon /filemon co je potřeba. je zbytečné hned dávat celá C:\Windows nebo celé program files.
tka jsem se dostal do slepe ulicky. V registrech jsem na vsechny hlavni vetve dal ze skupina Solid (kde je zatim jeden uzivatel) ma full pristup. Pak zvoni telefon ze ucetnim nejde neco spustit, nasledne sem zjitil ze ani se nemuzu nikam dostat - po zalogovani admin uctu se objevila jen prazdna plocha bez moznosti delat cokoliv.
Pri resetu hlasil ze ukoncuje Explorer.exe. Dostal jsem se do systemu jedine v nouzovem rezimu, dal vse do puvodniho stavu, bohuzel bez vysledku.
Musel jsem tedy obnovit system ze zalohy (PQ IMAGE) z brezna.
Takze jsem se zbavil Solid Works a premyslim kam ho necham nainstalovat. Asi nejlepsi bude na virtualnim serveru ... (vmware)
Ani obed jsem dnes nestihl ...
zkusil jsem ted znovu spustit primo lokalne na tom serveru (regmon i filemon) a jede ok. Ulozil jsem si logy a projdu to kde co ten program delal behem startu.
(Ten reset jsem prezil bez toho aniz by zacal zvonit telefon :) )
Dikes.
tak ze mne solid udelal peknyho blbce. Nainstaloval se na stanici s XP prof a tam v pohode bezi i pod uctem s omezenym opravnenim. Nechapu proc na serveru musel mit admina ...
Pres vzdalenou plochu ten program ale pry maji trhanej (pobocka je jinde na adsl) takze stejne ten kompl budou muset mit na miste a vzdalenou plochu resit nebudem.