gifts2017

Запуск конфигуратора в административном режиме руками пользователя

Опубликовал wwind wwind (wwind) в раздел Администрирование - Системное

Происходили случаи, когда необходимо было внести срочно какие-то изменения в конфигурацию удаленно руками пользователя или выполнить какие-то административные функции в конфигураторе. Пользователи естественно не имеют административных прав. Говорить администраторский пароль нельзя, потому что пользователи его могут записать (даже без злого умысла) и оставить на столе. Поэтому предлагаю использовать следующий способ:

Создать внешнюю обработку. Создать ее форму, где на событие "ПередОткрытием" вставить вызов процедуры модуля обработки "АдминистративныйЗапуск()". В модуле обработки добавить указанную процедуру со следующим текстом:

Процедура АдминистративныйЗапуск() Экспорт
    Если ТекущаяДата() < Дата(2009,7,24,20,0,0) Тогда // тут нужно установить дату,
 // после которой обработка
                                                      // действовать не будет.
// Лучше пользователю не сообщать об этом,
// а то догадается поменять дату системы
        ЗапуститьСистему("DESIGNER /NАдминистратор /Pпароль");
    КонецЕсли;
КонецПроцедуры

Потом на текст модуля установить пароль.

Обработку отправить любым доступным способом. Все остальное в телефонном режиме.

См. также

PowerTools от 1 000
Подписаться Добавить вознаграждение
Комментарии
1. Андрей (AndrewEv) 24.07.09 11:43
Когда я был простым оператором (< 2000 г.) у меня программист такую обработку мне прислал. Он, дурачёк, не думал, что я получив доступ к программе один раз, не смогу узнать его секрета. С того дня я стал выборочно цены в своём филиале менять, накладные под скидку об'единять и рассчитывать, что в недостачу показывать, а что под скидку выкупать.
Конец всему положил шеф, предложив делать то же самое (прямо скажем - мошенничать), но в головном офисе за гораздо большее вознаграждение и в больших масштабах...
2. oleg oleg (legioner) 24.07.09 12:41
Можно и пароль поставить. Обычный юзер в код не войдет
3. wwind wwind (wwind) 24.07.09 12:42
(1) Еще одной защитой от догадливых пользователей может быть метод СохранитьЗначение, который позволит запустить обработку не более N количества раз.
В целом срочное внесение изменений либо выполнение административных функций в удаленном режиме с помощью пользователя уже ненормально. Но реалии жизни заставляют иногда идти на такие шаги.
4. wwind wwind (wwind) 24.07.09 12:45
(1) Можно пойти дальше и добавить в конфигурацию константу, куда записывать уникальный код. В каждой обработке помещать новый уникальный код. Если при запуске обработки код в константе и код в обработке совпадает, то отказуемся от запуска. Если нет - устанавливаем новый код.
5. Юрий Тимофеев (Tatitutu) 24.07.09 13:47
Делал такую штуку, но немного подрогому

функция в глобальнике -
из даты и времени - формирует контрольное число
и оно Действует только (час, 30 минут или 15 как душе угодно- на каждый интервал времени свой пароль)

у себя запускаешь обработку - она тебе "число"
звонишь по телефону - заходи с Админскими правами
а там на вход или пароль Админа или Это "число".
Пользователь может его хоть записывать хоть наизусть изучать - больше с этим "числом" он в систему не войдет.

Все.
6. Александр Глотов (_Xelon_) 24.07.09 14:29
(5) А как же со входом в конфигуратор?
7. Алексей Коробов (WiseSnake) 24.07.09 18:37
Гы. То же самое что отдать свой логин пароль в "хорошие руки" )))))
Пользуюсь RDP ну на крайняк TeamViewer. Особых проблем не ощущаю... На поддержке далеко не одна организация...
8. wwind wwind (wwind) 24.07.09 18:44
(7) Это если организация тебе дает возможность подключения RDP. Некоторые крупные (и не очень) организации по соображениям безопасности не хотят такое делать. И когда в отчетный период что-то не так, а ты в другом городе, то единственным выходом есть удаленное исправление ошибки либо доработка системы руками пользователя. Очень неприятная процедура.
9. Алексей Коробов (WiseSnake) 24.07.09 19:01
(8) Смешно! Были у меня такие организации, но это их личные проблемы с ними просто пусть ждут тогда моего приезда, платят за срочный вызов и т.д. в конце концов все сломались :). ИМХАется мне что их админы тупят или просто не умеют организовать безопасный доступ (например через VPN).

P.S. Ну да конечно давать обычному пользователю.. даже единовременно... "конечно безопаснее" для базы клиента ))))). Хорошо еще если бекапы каждую ночь делаются )))
10. Алексей Коробов (WiseSnake) 24.07.09 19:05
(0) Да и еще... Подумайте о том, что вдруг такая обработка попадет в руки их "местному", хитрющему программисту )))) (ведь она 100 пудов так и останется болтаться где нить на винте). Считайте, что Вы в его руках )))). Все шишки то на Вас упадут...
11. wwind wwind (wwind) 24.07.09 19:35
(10)
1. Если есть хитрющий программист, то обработка не понадобится.
2. Даже если и понадобится, что с ней хитрющий программист делать будет, если она под паролем. Если он мастер по взлому и расшифровке программного кода в запароленных обработках 1С, то см. п.1.
12. wwind wwind (wwind) 24.07.09 19:40
(9) Сейчас не то время, чтобы говорить клиенту ждать приезда. Клиент просто поменяет внедренца. Мы не можем себе позволить терять крупных клиентов.
13. wwind wwind (wwind) 24.07.09 19:42
(9) А с УПП проблемы "личными" у клиента быть не могут. Так уж в УПП "хорошо" работают некоторые модули (в особенности регламентированные отчеты и подсистема расчета зарплаты). Поэтому клиент просто не поймет такой формулировки отказа.
14. Алексей Коробов (WiseSnake) 24.07.09 21:00
(11-13) Читаем внимательно п. 10 и понимаем, что если вы поставили в известность клиента о возможностях настройки и уведомили его о проблемах при его отказе в удаленном подключении, то клиент не имеет ни какого основания Вас поменять. Тем более можно и быстро среагировать, если это не город за тысячи километров. Такси никто не отменял... Но соответственно клиент должен раскошелится... К слову сказать Вы уведомили клиента о Ваших действиях и о возможных последствиях? И если произойдет "слив" информации, не решит ли клиент "поменять" внедренца в этом случае?

(11) Так дело в том что взлом БАЗЫ это одно. Ну взломает злоумышленник, ну удалит всех пользователей(подругому админские права не получить), ну и что он будет потом делать? Это откроется через 2 мин. А вот взлом Вашей обработки с помощью которого просто узнают Ваш пароль и логин. И свободные действия под ними можно вообще никогда не обнаружить... ;)
15. Александр Зубцов (iov) 24.07.09 23:26
сталкивался с подобной проблемой...
был пользователь SOS с Разовым запуском обработка вшита в конфу...
вслучае срочного по телефону решался вопрос и при закрытиии генерился новый код запуска которой был шифрован определенным алгоритмом который без ключа не расшивровать а сним за 2 минуты... Тоесть надо было второй раз запустить расшифровываем пароль говорим пользователю. работаем а привыходе он сообщает его нам (тут была скрыта одна хитрость даже хитрый прогер не мог ничего делать при неудачном запуске обработке пароль менялся тоесть если последний названный пароль не совпадает с текущим следовательно была попытка взлома и лог содержит всю инфу.Кстати уведомление об этом шло на мыло и если оно не приходило админу был выговор).
А если прогер имеет доступ к коду тогда смысла не вижу в этих извращениях.