|
Сравнение политик безопасности WinXP Win2003Server
При настройке терминального сервера под Win2003R2 RUS столкнулся с тем, что некоторые программы, нормально работающие под юзерским аккаунтом на WinXP отказываются работать на Win2003Srv (дело не в терминале, а именно в правах, поскольку под админским аккаунтом работают нормально). Разумеется, права на запись в папку каждой программы юзерам разрешаются.
Например, чудная програмка для заказа билетов "Формула Отдыха" пишет при запуске Цитата:
Цитата:
Цитата:
Что удобно, она позволяет создавать виртуальный флоп не только глобально, но и персонально, для каждого отдельного сеанса. Имидж дискеты я делаю с помощью RawWriteWin. Прога без нареканий работает под админским аккаунтом, но под юзерским отказывается извлекать диск. Т.е. без проблем создаётся виртуальный флоп на любой букве, так же без проблем монтируется образ дискеты, но закрыть образ (грубо говоря, извлечь дискету) не получается. Сначала выскакивает окно с ошибкой: цитата: -------------------------------------------------------------------------------- Failed to lock the volume. Make sure thet any files are not in use. Continuing forces all files to be closed. -------------------------------------------------------------------------------- Если нажать "Продолжить", то пишет цитата: -------------------------------------------------------------------------------- Failed to close the image on drive 0. Access denied -------------------------------------------------------------------------------- Это просто смешно. Я могу СОЗДАТЬ или ОТКЛЮЧИТЬ флоп, но не могу извлечь дискету! Под WinXP Prof работаю под юзерским аккаунтом уже год и никаких проблем небыло. Собственно, вопрос. Очевидно, что дело в более жёстких политиках безопасности ОС Win2003Srv в сравнении с клиентской осью. Несколько дней глазами сравнивал gpedit.msc на XP и 2003 - чуть не ослеп. Даже попробовал импортировать параметры безопасности групповых политик из шаблона compatws.inf - не помогло... Может у кого-то будут идеи? |
Цитата:
|
А разве под ХР политика записи в реестр отличается от 2003?
|
Я вот думаю, можно ли экспортировать локальные политики безопасности с WinXP и применить их на сервере?
Имеет ли значение язык ОС? И ещё. Можно ли как то автоматизировать сравнение двух политик? Что бы не глазами смотреть каждый пункт, а типа выгрузить в файлы и сравнить какой то тулзой. Что бы результатом были именно отличающиеся пункты. Тогда можно было бы их поочереди пробовать |
Удалось заставить работать "Кадровый учёт" - прога на платформе 1С, часто поставляется вместе с правовой системой "Кодекс", имеет собственный ключ защиты производства "Катран".
1. Необходимо использовать хоть и однопользовательский, но обязательно сетевой ключ. 2. Нужно запустить сервер защиты (всё по аналогии с Аладдиновским) 3. Нужно пользователям (либо конкрентному пользователю) разрешить создание глобальным объектов в групповых политиках: Локальные политики/Назначение прав пользователя/Создание глобальных объектов Так же я достучался до Инфо-Центра MS в Ростове и мне дали такой совет: Цитата:
|
Изучив справку по Secedit, произвёл следующие манипуляции:
Взял с ОС WinXPPro En MUI файл "C:\WINDOWS\security\templates\setup security.inf", содержащий шаблон политики по умолчанию, применяемый при установке. Скопировал его на сервер (Win2003SP1 En MUI) Под аккаунтом администратора выполнил команду Код:
secedit /analyze /db secedit.sdb /cfg "setup security.inf" /log DBAnalize.logЦитата:
Теперь возникает вопрос, как и где мне искать, например "Не соответствует - SeAssignPrimaryTokenPrivilege." Как он будет называться по русски (или хотя бы по английски) и в какой ветке находится? |
Barvinok Приятно поговорить с умным человеком
|
Пришёл ответ от разработчиков Банк-Клиента "Инист" (который использует "Кедр")
Цитата:
|
А вот мой ответ, если кому интересно
Цитата:
|
Собственно, запустил Regmon и на все ключи, где был <ACCDENIED> разрешил полный доступ для пользователя, работающего с этим клиентом.
Вроде заработал... Насколько безглючно - посмотрим завтра |
| Время: 19:39. |
Время: 19:39.
© OSzone.net 2001-