Запуск процессов в профиле нужного пользователя из сервера 1С

11.07.15

Администрирование - Информационная безопасность

У меня возникла необходимость запустить приложение (на самом деле bat-ничек) из сервера 1С, но так, чтобы сам bat-ник выполнился с привилегиями и из под профиля другого пользователя (например, администратора). Сам сервер 1С запущен из под стандартной учетной записи USR1CV82, а она не имеет прав почти ни на что. И это хорошо. Решений для этой задачи масса. Боян еще тот, но... Сколько смотрел. Везде нужно оставить зачастую в открытом виде пароль от той учетной записи, под которой нужно выполнить запуски. Или необходимо скачать/установить какое-либо средство администрирования. Я же нашел решение, использующее только стандартные средства Windows.

Скачать файл

ВНИМАНИЕ: Файлы из Базы знаний - это исходный код разработки. Это примеры решения задач, шаблоны, заготовки, "строительные материалы" для учетной системы. Файлы ориентированы на специалистов 1С, которые могут разобраться в коде и оптимизировать программу для запуска в базе данных. Гарантии работоспособности нет. Возврата нет. Технической поддержки нет.

Наименование По подписке [?] Купить один файл
Обработка
.epf 5,82Kb
2
2 Скачать (1 SM) Купить за 1 850 руб.

Итак. Windows Server 2008R2 (Должно работать на всем начиная с Windows7, хотя, может, и под XP сработает, не проверял). В моем случае есть web-сервис. У него есть метод InserCustomer(sXML). Все это неважно. Важно, в каком контексте этот метод вызывается. А вызывается он в контексте пользователя USR1CV82. Т.е. очень ограниченные права. Запустить что-либо из под нее не всегда получается. В моем случае нужно было именно запустить приложение, которое не может выполняться под такой урезанной учетной записью.

На выручку приходит Планировщик задач. Создаем там задачу. Все просто. Расписание можно не указывать (а если нужно - можно и указать). Важно указать учетную запись, под которой задача должна запускаться, и ввести пароль от этой учетной записи. Все. Более пароль от этой учетки нам нигде оставлять не нужно (и уж тем более в открытом виде).

Далее нам нужно дать права на эту задачу пользователю USR1CV82 (в моем случае, а в вашем, может, и другой, из которого вам нужно давать команду на запуск). Для этого открываем папку C:\Windows\system32\Task. Надеюсь, все, у кого Windows установлен в другой директории, смогут найти эту папку самомстоятельно. В этой папке все задачи Планировщика лежат в виде файлов. Находим нашу (по названию) и ПКМ-Свойства-Безопастность. Ну и добавляем чтение/выполнение для пользователя USR1CV82. Да, кстати, если эту задачу нужно будет запускать и из-под других пользователей, то также можно добавить и их. На этом с безопастностью все.

 

Теперь как запустить эту задачу из web-сервиса 1С (в моем случае) или из любого серверного метода (или вообще от куда угодно). Для этого выполняем такой короткий код:

WshShell=Новый COMОбъект("Wscript.Shell");
WshShell.Run("schtasks /Run /TN НазваниеЗадачиВПланировщике");

Как видите, все очень просто. Удобно, что не требуется никаких внешних средств для администрирования такой простой задачи.

Всем спасибо за внимание. Надеюсь, кому-то помог.

См. также

SALE! 15%

Инструментарий разработчика Чистка данных Свертка базы Инструменты администратора БД Системный администратор Программист Руководитель проекта Платформа 1С v8.3 Конфигурации 1cv8 1С:Управление торговлей 10 1С:ERP Управление предприятием 2 1С:Бухгалтерия 3.0 1С:Управление торговлей 11 Россия Платные (руб)

Инструмент представляет собой обработку для проведения свёртки или обрезки баз данных. Работает на ЛЮБЫХ конфигурациях (УТ, БП, ERP и т.д.). Поддерживаются управляемые и обычные формы. Может выполнять свертку сразу нескольких баз данных и выполнять их автоматически без непосредственного участия пользователя.

8400 7140 руб.

20.08.2024    7777    57    22    

66

Инструменты администратора БД Роли и права Системный администратор Программист Пользователь 8.3.14 1С:Розница 2 1С:Управление нашей фирмой 1.6 1С:Документооборот 1С:Зарплата и кадры государственного учреждения 3 1С:Бухгалтерия 3.0 1С:Управление торговлей 11 1С:Комплексная автоматизация 2.х 1С:Зарплата и Управление Персоналом 3.x 1С:Управление нашей фирмой 3.0 1С:Розница 3.0 Платные (руб)

Роли… Вы тратите много времени и сил на подбор ролей среди около 2400 в ERP или 1500 в Рознице 2, пытаясь понять какими правами они обладают? Вы все время смотрите права в конфигураторе или отчетах чтоб создать нормальные профили доступа? Вы хотите наглядно видеть какие права дает профиль и редактировать все в простом виде? А может хотите просто указать подсистему и дать права на просмотр и добавление на объекты и не лезть в дебри прав и чтоб обработка сама подобрала нужные роли? Все это теперь стало возможно! Обновление от 18.09.2024, версия 1.2

16800 руб.

06.12.2023    8845    42    5    

73

SALE! 15%

Инструменты администратора БД Инструментарий разработчика Роли и права Программист Платформа 1С v8.3 Конфигурации 1cv8 Россия Платные (руб)

Расширение позволяет без изменения кода конфигурации выполнять проверки при вводе данных, скрывать от пользователя недоступные ему данные, выполнять код в обработчиках. Не изменяет данные конфигурации, легко устанавливается практически на любую конфигурацию на управляемых формах.

10000 8500 руб.

10.11.2023    10431    36    24    

61

SALE! 35%

Инструментарий разработчика Инструменты администратора БД Системный администратор Программист Платформа 1С v8.3 Управляемые формы Конфигурации 1cv8 Россия Платные (руб)

Универсальный инструмент программиста для администрирования конфигураций. Сборник наиболее часто используемых обработок под единым интерфейсом.

4800 3120 руб.

14.01.2013    187987    1140    0    

912

Закрытие периода Инструменты администратора БД Корректировка данных Бухгалтер Пользователь Бухгалтерский учет 1С:Бухгалтерия 3.0 Россия Бухгалтерский учет Платные (руб)

Расширение «Оперативное проведение» в 4 раза уменьшает время проведения документов и закрытия месяца. Является комплексным решением проблем 62 и 60 счетов. Оптимизирует проведение при включенной функциональной опции «Раздельный учет НДС». Используется в более 10 организациях уже 2 года. Совместимо с конфигурацией Бухгалтерия 3.0 (+КОРП).

14400 руб.

29.04.2020    32671    106    152    

73

Архивирование (backup) Инструменты администратора БД Платформа 1С v8.3 Управляемые формы Конфигурации 1cv8 Платные (руб)

Данная разработка позволит решить вопрос с резервным копированием Ваших баз в автоматическом режиме, расположенных на сервере 1С. Система умеет ставить блокировки на вход, блокировать фоновые задания, принудительно отключать сеансы пользователей. И все это система делает в автоматически при создании бэкапа (или через команду). Выгрузка происходит в родной формат 1С - .dt. Так же система умеет архивировать данные выгрузки с установкой пароля. Умеет менять расширение файла zip или dt на любое указанное вами, что позволит сохранить выгрузки от шифровальщика. Может удалять старые копии выгрузок, оставляя указанное количество резервных копий, начиная с самой поздней. Только для WINDOWS!

6000 руб.

06.11.2012    72789    626    45    

84

Инструменты администратора БД Системный администратор Платформа 1С v8.3 1С:Комплексная автоматизация 1.х 1С:Управление производственным предприятием Платные (руб)

Конфигурация Комплексная автоматизация 1.1 (и УПП 1.3 тоже) хранит файлы и изображения в справочнике Хранилище дополнительной информации в реквизите Хранилище типа ХранилищеЗначений. Та же история с ВложениямиЭлектроннойПочты. Но при этом присоединенные файлы в Электронном документообороте хранит в томах на диске. Эта доработка позволяет использовать стандартный механизм хранения файлов, изображений и вложений электронных писем в томах на диске. При этом можно разделить тома хранения по объектам конфигурации.

4200 руб.

10.11.2015    62817    94    59    

79

Инструменты администратора БД Пользователь Платформа 1С v8.3 1С:ERP Управление предприятием 2 1С:Управление торговлей 11 1С:Комплексная автоматизация 2.х Платные (руб)

Многие сталкиваются с проблемой когда изображения, находящиеся в базе разные по объему и размерам. Менеджеры могут добавить файлы в очень высоком разрешении, объемом свыше 20 Мегабайт. База данных становится слишком большой, выгрузка на сайт идёт медленно и требуется много место на хостинге. Как сжать картинки и уменьшить размер базы 1С? Это можно сделать с помощью данной обработки. Существует возможность выбрать различные варианты для того чтобы уменьшить картинки: в разы, в процентах от первоначального объема, а также сделать картинки одинаковой ширины. В результате размер базы 1С значительно сократится (в зависимости от количества и размера картинок), а изображения станут небольшого объема, равными по ширине, почти без потери качества. Работает на управляемых формах для УТ 11, КА, ERP.

3000 руб.

21.07.2022    9832    7    4    

15
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. demkonst 2 12.07.15 06:33 Сейчас в теме
А как хранится список задач планировщика? Держу пари, в виде какого-нибудь конфига, завернутого в хеш, или тот же стандартный виндовый DPAPI. Я к тому, что там пароль тоже хранится наверняка в открытом виде (или условно-открытом).
3. gep 23 13.07.15 17:14 Сейчас в теме
(1) demkonst, Да, вы правы. Это просто файл. Но доступ на запись есть только у Владельца изначально (т.е. тот кто создал). Далее он и Администратор могут дать доступ на чтение и/или запись другим пользователям.
По поводу его содержимого. Вот что содержит файл задачи которую я создал при написании статьи:
c:\Windows\System32\Tasks>type НазваниеЗадачиВПланировщике
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2015-07-11T20:35:43.1013854</Date>
    <Author>Тут_имя_сервера\Администратор</Author>
  </RegistrationInfo>
  <Triggers>
    <TimeTrigger>
      <StartBoundary>2015-07-11T20:32:25.2460687</StartBoundary>
      <Enabled>true</Enabled>
    </TimeTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <RunLevel>LeastPrivilege</RunLevel>
      <UserId>Тут_имя_сервера\Администратор</UserId>
      <LogonType>Password</LogonType>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>­
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries­>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>­
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>P3D</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>НашаПрограмма</Command>
    </Exec>
  </Actions>
</Task>
Показать

Как видите кроме слова PASSWORD ничего о паролях. (К слову, у меня пароль не PASSWORD). При попытке записи задачи система запрашивает пароль того пользователя, под которым она будет в дальнейшем исполнятся. Без ввода пароля указать пользователя нельзя. Запись в этот каталог пользователи не имею. Сложно представить ситуацию при которой возможен обход пароля. Не исключаю что путь есть, но не уровня продвинутого пользователя.
5. gep 23 13.07.15 17:43 Сейчас в теме
(1) demkonst, Кстати, а DPAPI вы считаете условно открытым?
2. Dimasik2007 430 12.07.15 11:56 Сейчас в теме
Советую еще посмотреть в сторону http://admilink.narod.ru/admilink.htm, тулза очень полезная.
AdmiLink - утилита, при помощи которой Администратор может создать ярлык, дающий возможность пользователям с ограниченными правами запускать конкретную (без возможности подмены!) программу с правами Администратора (или любого другого пользователя) без (интерактивного) ввода пароля.
4. gep 23 13.07.15 17:29 Сейчас в теме
(2) Dimasik2007, Спасибо. Действительно интересная программа. Да и сайт содержит интересную информацию. Но... Я прямо говорю о том, что мой подход хорошо тем, что не требует установки каких-либо сторонних приложение на ваш сервер (ну или просто компьютер). На мой взгляд это бывает важно. Несомненно, возможности предоставляемые программой AdmiLink очень широки, особенно начиная с версии 1.5. И это здорово.
Оставьте свое сообщение