Еще о правах доступа

[haviras.livejournal.com]

... и кривых рукам погромистов


Есть некая программа, которая запускается ТОЛЬКО из под учетки с правами локального администратора. То возникает проблема при вводе в домен данной машины.

Проще говоря при выставлении учетке под которой будут заходить пользователи групп
users, domain users, administrators мы получаем веселую картину того, что программе мало прав.
Зато из под энтерпрайз админс она ходит просто замечательно. Ну и из под просто домейн админс.

Естественно такое дело неприемлимо.

Прошу прощения, если кого достаю ламерскими вопросами, но я над этой проблемой приседаю уже с утра, комбинируя по всякому права и группы.

Пользователю выставлен доступ на все директории на диске, этого мало. Видимо надо чтото еще? Куда копать? Свободная запись в реестр? Но программа ничего не пишет в реестр на сессию.

Определение оборудования? Может быть с этим связано както, т.к программа через хитрую железку включает свет над биллиардными столами. Как проверить эту возможность?

Кросспост в ру_сисадминс: http://community.livejournal.com/ru_sysadmins/771268.html

Comments

[hilda67.livejournal.com]

стесняюсь спросить - а в группу локальных администраторов доменных пользователей добавлять не пробовали? ;))))

[haviras.livejournal.com]

Это я так полагаю добавить в группу Administrators просто?

Дык вот сделал - нифига

И опять стесняюсь спросить...

[hilda67.livejournal.com]

Log off / log on после добавления в группу делали? Все должно работать. Права вступают в силу после повторного входа в систему.

Re: И опять стесняюсь спросить...

[haviras.livejournal.com]

Естественно. Я в курсе этого

[vickvega.livejournal.com]

А что делает программа?
Работает только локально или по сети что-то гонит?
Как пример, когда кто-то там писал апликацию таково говно-рода, я сделал следующее.
Чистятся все логи, выставляется мониторинг на все директории и процессы. Запускается эта недоделка.
В security event log летят сообщения об ошибках.
А потом читаюся логи и корректируются права.
Если честно мне тяжело представить себе программу которая не хочет работать под локальным админом, если это конечно что-то не связанное с сетью.

[haviras.livejournal.com]

Локально как раз все ок.
Но только под админом
А я хочу что бы под юзером еще было. Причем, включенным в домен

[vickvega.livejournal.com]

Да пофиг какой пользователь.
Он-же в локальной группе.

[haviras.livejournal.com]

Ну надо в локальные админы из домена добавить юзера, так?


У меня какогото лешего обзор домена не идет.

[vickvega.livejournal.com]

Если комп в домене, проверь настройки tcp/ip.
Поставь заплатки и т.д.
Очисти логи и посмотри при загрузке что не работает.

[mastodont.livejournal.com]

А запуск от имени?

[haviras.livejournal.com]

Равносильно передаче пароля

[pieceofsummer.livejournal.com]

Ну на тему оборудования хотелось бы конкретики.
Например, если оно юзает (и динамически грузит) какой-то драйвер, то неплохо бы выставить SE_LOAD_DRIVER_PRIVILEGE у нужного юзера.

Кстати, как именно она "не работает"? Вылетает с ошибкой?
Тогда можно отладчиком диагностировать, чего ей не хватает для фен-шуя.

[haviras.livejournal.com]

Эмм...
EAccessViolation ошибка возвращается

[pieceofsummer.livejournal.com]

Ну вот приаттачиться отладчиком и посмотреть стек в момент падения было бы идеально :)

оффтоп:

[limonadloriskin.livejournal.com]

Какой гоаулд у вас на аватарке? Оо

Re: оффтоп:

[haviras.livejournal.com]

Херур. Хорус. Гор.

Re: оффтоп:

[limonadloriskin.livejournal.com]

Аааа, все, вспомнил :) Спасибо)

[guest-o.livejournal.com]

Дык это. А огласите хоть, что за программка и какой конкретно access violation вылетает. Есличо -- можно file и regmon'ом посмотреть, куда оно щемится и на чём обламывается. Писать в реестр оно может и не пишет, но зато запросто может пытаться оттуда что-либо читать.

[haviras.livejournal.com]

Биллиард.ехе
Самопальная, программер местный писал. Кто, когда и под чем - хз.
Похоже на дельфю
Вычитку реестра поставил на фул под юзером - хрен с два. Не хочет