Отправлено: 20.10.10 10:06. Заголовок: "Клиент-Сбербанк" стоит на терминальном сервере, пользователям пришлось дать права администратора

"Клиент-Сбербанк" стоит на терминальном сервере (Windows Server 2003), пользователи работают терминально.
Всем, кто работает с "Клиент-Сбербанк" пришлось дать права администратора на этой машине.
Иначе возникает ошибка "не открыт файл на диск C"
Можно ли как то сделать, чтобы не давать права администратора пользователям?

 Отправлено: 20.10.10 10:31. Заголовок: Где-то что-то уже пи..

Где-то что-то уже писали про терминальный сервер...

Стандартно, когда такая ситуация возникает, рекомендуется запустить servparam /install(находится в папке, где установлен АРМ) и запустить в службах - Служба параметров СБ РФ... должно решить проблему, но может появиться другая - необходимо будет переконфигурировать АРМ и сбросить привязки на банковском месте...

 Отправлено: 20.10.10 10:44. Заголовок: servparam /install з..

servparam /install запукали, не помогло.

 Отправлено: 20.10.10 10:47. Заголовок: lev пишет: servpara..

lev пишет:

цитата:

servparam /install запукали

так конечно с ним поступать не надо - может поэтому и не заработало?

А службу проверяли - тип запуска "авто" и состояние "работает"?

 Отправлено: 20.10.10 11:35. Заголовок: Да, службу прверяли...

Да, службу прверяли. тип запуска "авто" и состояние "работает".
А servparam /install нужно запустить в сеансе каждого пользователя и с какими правами?

 Отправлено: 20.10.10 11:42. Заголовок: вообще, как я понима..

вообще, как я понимаю надо запускать на той машине где установлено ПО... т.е. на серваке... вопрос в том, работает ли эта служба корректно под 2003 или нет... прога (servparam) запускается под админом (желательно локальным), потом пробуется вход в АРМ, дальше выходим из под Админа и заходим Юзером, проверяем АРМ... но это стандарт...

 Отправлено: 20.10.10 18:57. Заголовок: Под 2003-й виндой в ..

Под 2003-й виндой в терминальном режиме работает вполне корректно. Войдя в терминалку под пользователем проверьте, работает ли "Служба параметров компьютера СБРФ" (servparam). Служба должна работать в сеансе каждого пользователя.

Уже как то писал, что бывает полезно на время установки и настройки АРМ дать пользователю права локального админа, сделать всё что требуется, а потом права отобрать.

 Отправлено: 21.10.10 09:02. Заголовок: Нормально работает, ..

Нормально работает, только установку под 2003 надо производить !!!обязательно!!! из панели управления-установка программ. Тогда права выравниваются нормально.

 Отправлено: 24.10.10 19:26. Заголовок: SkrebAE пишет: Норм..

SkrebAE пишет:

цитата:

Нормально работает, только установку под 2003 надо производить !!!обязательно!!! из панели управления-установка программ. Тогда права выравниваются нормально.

Почему именно из "Установка программ"? Обычной установкой пробовали и не работает? И еще вопрос версия АРМ Клиент какая?
Ставили 07.006.01 на сервер (Win2003s) - ни в какую в терминале под юзером не работает(.

 Отправлено: 25.10.10 09:08. Заголовок: Именно из "Устан..

Именно из "Установка программ" потому, что устанавливаем на сервер, а не под ХР. Только с помощью этой оснастки правильно распределяются групповые политики, в т.ч. безопасности.
вер. 07,012,05

 Отправлено: 25.10.10 11:34. Заголовок: Сегодня бился с той ..

Сегодня бился с той же задачей на другом сервере - и ни в какую. Только админские права на пользователя помогают. Сервис ServParam ессно поднят.
Вышел из ситуации так:
1. Снял права Администратора у юзеров.
2. Прописал
runas /savecred /user:localhost\Администратор [Каталог программы]\wCLNt.exe
в ярлыке. Однократно ввел пароль админа - больше не спрашивает. Однако есть таки дупло для дятлов: теперь при запуске из командной строки runas /savecred /user:localhost\Администратор [что попало] это самое что попало запускается с правами админа БЕЗ запроса пароля. Только и радует, что юзер туповат.
Вопрос ко всем - кто пользовался программой AdmiLink? Там закладок нет случаем?

 Отправлено: 25.10.10 12:23. Заголовок: SkrebAE пишет: Толь..

SkrebAE пишет:

цитата:

Только и радует, что юзер туповат.

а вдруг юзер форум почитает?

 Отправлено: 25.10.10 12:32. Заголовок: Подниму ему рейтинг ..

Подниму ему рейтинг до "туповат, но читать умеет"
Все ж таки про софтину AdmiLink - вроде бы в описании хороша, но давать пароль админа стороннему софту... как то не кошерно. Ссылку намеренно не даю.

 Отправлено: 25.10.10 12:43. Заголовок: SkrebAE пишет: Все ..

SkrebAE пишет:

цитата:

Все ж таки про софтину AdmiLink

ни разу не юзал...

SkrebAE пишет:

цитата:

но давать пароль админа стороннему софту... как то не кошерно.

вот это бы очень сильно насторожило...не стал бы рисковать...

 Отправлено: 25.10.10 20:20. Заголовок: SkrebAE А Вы Group ..

SkrebAE
А Вы Group Policy сами раздаёте или до Вас подобная раздача уже состоялась?

 Отправлено: 25.10.10 21:13. Заголовок: SkrebAE пишет: дава..

SkrebAE пишет:

цитата:

давать пароль админа стороннему софту... как то не кошерно

Абсолютно согласен! Низзяяя такого делать!

Смысел в том (неважно какая ОС), что программе надо считать некие данные с железа компа. Программе, запущенной из под администратора система это позволяет. Если прав нет, то помогает эта самая служба ServParam, которая запускается от имени системы и служит проводником между пользователем и железом. Запущенная терминальная сессия мало чем отличается от локального входа в систему. Значит нужно искать причину, почему либо служба не может до железа достучаться или программа до службы (что менее вероятно).

Проверьте параметры "Службы параметров компьютера СБ РФ" - от чьего имени она у вас запускается.

 Отправлено: 25.10.10 21:40. Заголовок: Mike666 пишет: А Вы..

Mike666 пишет:

цитата:

А Вы Group Policy сами раздаёте или до Вас подобная раздача уже состоялась?

В обоих случаях групповая политика не конфигурировалась. Задача стояла простая - дать руководству возможность удаленно подписывать платежки. Active directory не разворачивалась, сервера заточены под терминальные, файловые и принт-сервера. Сетку конфигурят роутеры, ну и т.д. Хотя, за чужой сервер я так не отвечу, кто там лазил. У меня было минут двадцать свободных на задачу и все.
sb77 пишет:

цитата:

Проверьте параметры "Службы параметров компьютера СБ РФ" - от чьего имени она у вас запускается.

Пробовал от админа, от юзера справами админа, потом их лишенными, и от local service, все одно. Не жилец.

 Отправлено: 26.10.10 10:44. Заголовок: У меня проблема так ..

У меня проблема так и не решилась.
Служба параметров компьютера СБ РФ" работает в сеансе каждого пользователя.
Установка была сделана как обычная установка и давно. После этого были смена версий, тоже как обычная установка.
Юр. лицо много. На данный момент стоят вер. 003, 006, 012.

 Отправлено: 26.10.10 10:54. Заголовок: lev попробуйте снач..

lev
попробуйте сначала деинсталировать ServParam.exe /uninstall
а затем еще раз инсталлировать ServParam.exe /install
естественно, это делается под локальным админом...потом запустить службу "Служба параметров компьютера СБ РФ"

 Отправлено: 27.10.10 00:04. Заголовок: Клиент-Сбербанк под ..

Клиент-Сбербанк под Citrix без прав админа на сервере?
Я бился с этим кучу времени - бесполезно.
Пытался мониторить обращение Клиент-СБербанка под Citrix к реестру и локальному диску. Обнаружил, что при запуске КлБанка от админа и от пользователя используются разные ветки. Как я понял в реестре считываются какие-то системные данные, которые доступны только админу. Причем предоставление полных прав на реестр обычному пользователю проблему не решает. Sevparam под Citrix корректно не работает.
В общем я забросил все это мероприятие.....

 Отправлено: 27.10.10 05:22. Заголовок: Ruzana пишет: попро..

Ruzana пишет:

цитата:

попробуйте сначала деинсталировать ServParam.exe /uninstall а затем еще раз инсталлировать ServParam.exe /install естественно, это делается под локальным админом...потом запустить службу "Служба параметров компьютера СБ РФ"

Сделала, не помогло.

KYUM пишет:

цитата:

Клиент-Сбербанк под Citrix без прав админа на сервере?

У меня Windows Terminal Server. Тоже никак не могу победить.

 Отправлено: 27.10.10 05:34. Заголовок: SkrebAE пишет: Норм..

SkrebAE пишет:

цитата:

Нормально работает, только установку под 2003 надо производить !!!обязательно!!! из панели управления-установка программ. Тогда права выравниваются нормально.

Сделала установку из панели управления/установка уи даление программ. Не помогло, таже ошибка- "не открыт файл на диск C" .

 Отправлено: 27.10.10 10:40. Заголовок: lev пишет: Не помо..

lev пишет:

цитата:

Не помогло

Попробуйте создать WCLNT.BAT файл со следующим кодом внутри:
Если сервер русский, то

runas /savecred /user:localhost\Администратор wCLNt.exe

а если английский, то соответственно

runas /savecred /user:localhost\Administrator wCLNt.exe

Этим мы запускаем у пользователя прогу от имени админа.
Далее снимаем права админа с юзеров. Заходим юзером и в ярлыке запуска клиента wCLNt.exe заменяем на созданный нами wclnt.bat
В CMD окне попросят ввести пароль админа. Вводим, эта операция однократная (для одного пользователя). Далее возможно некоторое подвисание, это нормально, программа должна запуститься.
Как я выше писал, решение частичное, но явные права админа забрать таки можно.

ServParam не поможет, его можно вообще снять. Проблема в том, что wCLNt использует в какой-то момент операцию прямого доступа к жесткому диску, а это в ОС Сервер2003 однозначно запрещено всем, кроме админа. Правда у меня как-то получилось на одном сервере запустить, но ... не знаю. Может глюк.

 Отправлено: 27.10.10 20:09. Заголовок: Если используется Ci..

Если используется Citrix, то есть такой сайт - citrix.pp.ru. По его рекомендациям я много чего "наваял" года три назад. Сделали даже прожку, которая "никакому" юзеру (ваще "никакому") разворачивала заранее настроенный профиль, который позволял полномасштабно работать любому пользователю. Что любопытно, Microsoft подобную возможность опровергал изначально. Ну мож мы чёт не дочитали...

 Отправлено: 27.10.10 20:46. Заголовок: Mike666 пишет: Если..

Mike666 пишет:

цитата:

Если используется Citrix

Дык это если Citrix! У них много чего понаделано, о чём мелкософт не подозревает. Здесь, как я понял, стандартный удалённый рабочий стол юзается.

Ремюзе: Заставить клиента работать под 2003 виндой в терминале можно. Тока в системке порыться надо...

 Отправлено: 28.10.10 03:26. Заголовок: Согласен. :sm75: ..

Согласен.

 Отправлено: 28.10.10 12:14. Заголовок: SkrebAE пишет: Попр..

SkrebAE пишет:

цитата:

Попробуйте создать WCLNT.BAT файл со следующим кодом внутри: Если сервер русский, то runas /savecred /user:localhost\Администратор wCLNt.exe а если английский, то соответственно runas /savecred /user:localhost\Administrator wCLNt.exe Этим мы запускаем у пользователя прогу от имени админа. Далее снимаем права админа с юзеров. Заходим юзером и в ярлыке запуска клиента wCLNt.exe заменяем на созданный нами wclnt.bat В CMD окне попросят ввести пароль админа. Вводим, эта операция однократная (для одного пользователя). Далее возможно некоторое подвисание, это нормально, программа должна запуститься. Как я выше писал, решение частичное, но явные права админа забрать таки можно. ServParam не поможет, его можно вообще снять. Проблема в том, что wCLNt использует в какой-то момент операцию прямого доступа к жесткому диску, а это в ОС Сервер2003 однозначно запрещено всем, кроме админа. Правда у меня как-то получилось на одном сервере запустить, но ... не знаю. Может глюк.

Так уже делали, программа работает нормально, с печатью проблема. Ошибка "There is no defalt printer currently selected"

 Отправлено: 29.10.10 06:42. Заголовок: lev пишет: There is..

lev пишет:

цитата:

There is no defalt printer currently selected"

Принтер, случаем, не хьюлетт или самсунг? :)
Тут вам в помощь только отвертка. Вот, скопипастил:

Screwdrivers v4 Server License

Разработан для удаленных корпоративных Windows приложений. Если вы используете терминальные службы, виртуальные рабочие столы, или XP удаленные рабочие столы, ScrewDrivers гарантирует пользователю правильную обработку сложных удаленных запросов печати.

ScrewDrivers может преодолеть различные ограничения печати, возникающие у других решений, независимо от приложения или драйвера принтера.

Сам пользовался, другим ставил.

 Отправлено: 16.11.10 21:45. Заголовок: что-то не могу найти..

что-то не могу найти свой пост, про эти мытерства .... если вкратце, то:

Выход - взять тулзу из комплекта PsTools - psexec.exe нормально отрабатывает, запуская приложения из под учетной записи администратора*.

строка в батнике - psexec.exe -u учетнаязаписьадмина -p пароль -d путьдоклиентбанкаwCLNT.exe

Чтоб с флэшкой особо не маяться, можно взять прогу vfdwin (эмуляция флоппи) и сделать образ флэшки, и добавив в батник код, запускать нужную учетку c образа:
copy H:\RogaIKopita\admin\* H:\*.* /y - для админа
copy H:\RogaIKopita\buh\* H:\*.* /y - для буха


*Если досовское окно подвиснет, можно увидеть пароль админа =)

 Отправлено: 07.02.12 18:01. Заголовок: Коллеги, под пользов..

Коллеги, под пользователем клиента работать заставил. При локальном входе или входе НЕ ЧЕРЕЗ rdp под пользователем клиент прекрасно работает. для этого запустил servparam (служба servrd), зарегил ocx для решения проблем печати. И клиент работает под пользователем.

Но при запуске через rdp - проблемы. Мысли вслух:

- .cfg пересоздан под клиентом-пользователем, под пользователем в принципе всё работает, значит клиент прекрасно вяжется со службой, служба получает необходимые данные.

- разница не в привилегиях. проверил локальные политики, никакой значимой разницы для локального и удалённого входа не нашёл.

- права на доступ к rdp давал полные, не помогло, так что дело и не в них.

- устройства дополнительные не пробрасываю через rdp, только буфер обмена.

учитывая, что не под rdp сеансами всё в ажуре, копать следует в сторону rdp. Только вот что не так? Честное слово, возникает желание отладчик запустить уже... МОжет кто поделиться информацией, какую технологию IPC использует клиент для общения со службой? У меня всё-таки сложилось впечатление, что именно в rdp сеансах возникает проблема между клиентом и службой. но вот какая?

буду рад любой информации!!!

 Отправлено: 07.02.12 18:10. Заголовок: Спасибо, Сергей Серг..

Спасибо, Сергей Сергеевич!
Читал Ваш коммент на Amicon.ru, прекрасно разъяснили по поводу изначальной "упаковки" и распаковки пакетов.
Ну... хоть нас в сопровождении, к сожалению, всё меньше и меньше - всегда рады здравому мышлению!

 Отправлено: 11.11.16 03:02. Заголовок: Dark

Стояла схожая задача. Заставить работать клиент банк не давай админские права пользователям, хотя на все вопросы банковская поддержка говорила одно - "а у пользователя есть админские права?! Дайте!"
От Citrixa пришлось отказаться - не давал почему-то одновременно делать несколько сеансов. От терминала тоже - по схожей причине. Вышли из ситуации так:
1. Базы оставили на сервере и расшарили для нужных юзеров
2. Клиенты (целиком папки установленного клиента без баз) скопировали на РМ юзеров (не корректно конечно, но дистрибов нет, клиенты разных версий с 2010 года - дистрибов просто не нашли (ну или не искали))
3. Локально на РМ юзеров дали права полные на папку с клиентом (иначе не конфигился kfgшник)
4. Под локальным админом принудительно прописали доступ к базе на серваке под доменными учетками юзеров (ну можно и отдельную было завести) (и да, работаем в домене, но не принципиально)
5. Далее, как уже говорилось, в ярлыках прописываем конструкцию типа:
runas.exe /savecred /user:[computername]\Администратор "D:\.......\Client1601\wCLNt.exe"
Замечание: при работе в домене конструкция "/user:localhost\Администратор" не работает, поскольку к имени ПК добавляеться префикс домена и учетка ищется уже не на локалке. Отсюда ошибка "неизвестная ошибка". Если комп не в домене, то и так сойдет
6. Дальше все по инструкции: в конфиге указываем пути к базе и клиенту, генерится kfgшник, запускает, однократно вводим пароль, проходим регистрацию и генерацию ключа, и опля - все работает.
Ну как то так проблему решили. Но думаю стоит уточнить, пока вспомнил, это проделали со старыми базами, архивными, эти клиенты на связь с банком не выходят. Будет ли работать в режими онлайн - не ведаю.
Может кому-нить поможет.