COM+ aplikace a trable se SP-1 (Windows 2003 Server)

Snad se tu najde znalec problematiky multitier aplikací na NT systémech. Upozorňuji na to že to je dost zamotané, doporučuji něco ostřejšího před čtením

Cílem je, aby přihlášený uživatel X na konzoli mohll spustit COM+ klienta (psaný v Delphi, je to normálně dvojice server - typová knihovna naklikaná v D6 + nějaké metody, kompilováno jako dll pro COM+ runtime a klient - komponenta DCOM connection). COM+ Server je instalován jako Component Services aplikace na stejném serveru.
Situace je taková, že pod uživatelem X to nefunguje, ale funguje to pod jinými uživateli (přes run as spuštěný klient na konzoli) s némlich ty samými právy. Potřeboval bych to ale rozchodit pod stejným uživatelem X, pod kterým běží i onen COM Server. Na stroji bez SP-1 to není problém.

Situace:

- Windows 2003 SP-1 (Component Services - připojení po instalaci SP-1 povoleno)
- uživatel X (je ve skupině Distributed COM Users)
- zabezpečení COM+ na úrovni lokálního počítače je nastaveno na vyjímku pro Distributed COM Users, Local Administrators - mají práva na Local i Remote Launch i Activation.
- zabezpečení na úrovni aplikace je nastaveno na process a component level a enforce access checks. Účet je nastaven na interactive user (ale chová se to stejně i když je zadán uživatel X jako uživatel pro spuštění).
- v případě nastavení interaktivního přihlášení a přihlášení usera X na konzoli a spuštění klienta pod účtem X se do event logu zapisuje:

The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{57131FF5-58C4-4F1C-BDEF-F45A71C369A1}
to the user X SID ([i]následuje SID, z bezpečnsotních důvodů cenzurováno). This security permission can be modified using the Component Services administrative tool.

Když to zkusím s jiným uživatelem Y (se stejnými právy) přes runas spustit toho klienta, když je X na konzoli přihlášen, klient jde spustit a vše je OK.

Otázka tedy zní - má SP-1 nějaký problém s tím, když klient a server běží pod stejným NT účtem? Případně kde ještě jsem mohl udělat chybu.

Zatím to řeším tak, že klienta pouštím pod jiným účtem přes runas, ale píšu to sem kdyby náhodou někdo věděl jak na to...

Předmět	Autor	Datum
Vypadá to, že jsem to vyřešil. Nicméně si nejsem úplně jistý postupem - tak dlouho jsem šiboval s už… Vladimir 11.09.2006 19:31	Vladimir	11.09.2006 19:31
Sice absolutně netuším o co jde, ani nepoznám jestli je to psaný česky, ale mám radost že máš radost… poslední Pavel 11.09.2006 20:04	Pavel	11.09.2006 20:04

Předmět

Autor

Datum

Vypadá to, že jsem to vyřešil. Nicméně si nejsem úplně jistý postupem - tak dlouho jsem šiboval s už…

Vladimir 11.09.2006 19:31

Vladimir

11.09.2006 19:31

Sice absolutně netuším o co jde, ani nepoznám jestli je to psaný česky, ale mám radost že máš radost… poslední

Pavel 11.09.2006 20:04

Pavel

11.09.2006 20:04

Vypadá to, že jsem to vyřešil. Nicméně si nejsem úplně jistý postupem - tak dlouho jsem šiboval s uživateli, skupinami a oprávněními, až to vyšlo

Vypadá to ale, že je jedno kdo pod jakým účtem běží, ale pokud je zvoleno "security property will be included in object context", měl by být uživatel přidaný do rolí. Vypadá to, že lokálních administrátorů se to netýká - členů Distributed COM users však ano.

Sice absolutně netuším o co jde, ani nepoznám jestli je to psaný česky, ale mám radost že máš radost