Re[14]: LogonUser в .Net-ых приложениях
От: Lloyd Россия  
Дата: 10.09.10 12:12
Оценка:
Здравствуйте, Jolly Roger, Вы писали:

JR>>>Ещё страннее. А на этот файл Вы настройки безопасности посмотрели?


L>>Да ничего особенного нет.

JR> А "не особенное" что-нибудь есть?

http://files.rsdn.org/8546/Capture.PNG
Галочки у всех одинаковые.

L>>Есть пользователь A, находясь в учетке которого я через runas запускаю новую консоль с правами пользователя B (локальный админ).

L>>В настройках домашнего каталога пользователя A прописано, что админы имеют полный доступ.
L>>Пытаюсь перейти в консоли в домашний каталог пользователя A и получаю отлуп (Access is denied).

L>>Чё за фигня? Я же админ! Так и должно быть???


JR>Насколько мне известно, под UAC без элевации членство в группе админов отключается. Также отключаются некоторые привилегии, но я не припомню, чтобы сюда входила SeChangeNotify, надо-бы поискать в MSDN. Если правильно помню, через WindowsIdentity или IdentityReferense можно получить список групп, в которые входит пользователь. Попробйте их получить и выложите сюда.


Гм.

S-1-5-21-758755112-1449539674-1150540125-513
S-1-1-0
S-1-5-32-545
S-1-5-4
S-1-2-1
S-1-5-11
S-1-5-15
S-1-5-64-10

Re[15]: LogonUser в .Net-ых приложениях
От: Jolly Roger  
Дата: 10.09.10 12:27
Оценка: 99 (6)
Здравствуйте, Lloyd, Вы писали:


L>Гм.

Гм, вообще-то можно было и в имена перевести Ну да ладно, и так ясно.
L>

L>S-1-5-21-758755112-1449539674-1150540125-513
L>S-1-1-0
L>S-1-5-32-545
L>S-1-5-4
L>S-1-2-1
L>S-1-5-11
L>S-1-5-15
L>S-1-5-64-10

Итак, группы админов здесь (S-1-5-32-544) нет, зато есть ограниченные юзеры (S-1-5-32-545). Зато в правах наоборот — юзеров нет, а есть доступ системе, админам и себе, любимому. Вот, собственно, и ответ — данному пользователю без элевации доступ запрещён. Чтобы работало, надо дать доступ Users, только не надо давать полный, дайте только нужное. Чтения, я думаю, хватит.
http://files.rsdn.org/82987/Img.GIF "Нормальные герои всегда идут в обход!"
Re[16]: LogonUser в .Net-ых приложениях
От: Lloyd Россия  
Дата: 10.09.10 12:39
Оценка: :)))
Здравствуйте, Jolly Roger, Вы писали:

L>>Гм.

JR>Гм, вообще-то можно было и в имена перевести Ну да ладно, и так ясно.

А как? Чисто на будущее.

L>>

L>>S-1-5-21-758755112-1449539674-1150540125-513
L>>S-1-1-0
L>>S-1-5-32-545
L>>S-1-5-4
L>>S-1-2-1
L>>S-1-5-11
L>>S-1-5-15
L>>S-1-5-64-10

JR>Итак, группы админов здесь (S-1-5-32-544) нет, зато есть ограниченные юзеры (S-1-5-32-545). Зато в правах наоборот — юзеров нет, а есть доступ системе, админам и себе, любимому. Вот, собственно, и ответ — данному пользователю без элевации доступ запрещён. Чтобы работало, надо дать доступ Users, только не надо давать полный, дайте только нужное. Чтения, я думаю, хватит.

Йокарный бабай! Заработало!!!
Спасибо огроменное.
Re[17]: LogonUser в .Net-ых приложениях
От: Jolly Roger  
Дата: 10.09.10 13:08
Оценка:
Здравствуйте, Lloyd, Вы писали:

L>Здравствуйте, Jolly Roger, Вы писали:


L>>>Гм.

JR>>Гм, вообще-то можно было и в имена перевести Ну да ладно, и так ясно.

L>А как? Чисто на будущее.


Я точно не помню, но примерно так — SecurityIdentifier.Translate(typeof(NTAccount)).ToString()
http://files.rsdn.org/82987/Img.GIF "Нормальные герои всегда идут в обход!"
Re[16]: LogonUser в .Net-ых приложениях
От: Lloyd Россия  
Дата: 10.09.10 13:24
Оценка:
Здравствуйте, Jolly Roger, Вы писали:

JR>Итак, группы админов здесь (S-1-5-32-544) нет, зато есть ограниченные юзеры (S-1-5-32-545). Зато в правах наоборот — юзеров нет, а есть доступ системе, админам и себе, любимому. Вот, собственно, и ответ — данному пользователю без элевации доступ запрещён. Чтобы работало, надо дать доступ Users, только не надо давать полный, дайте только нужное. Чтения, я думаю, хватит.


Блиин, рано я радоваться начал.

На тестовом локальном аккаунте — работает, на тестовом доменном — тоже.
А мне нужно на аккаунте из другого (доверенного) домена, а с ним — не работает, хотя runas прекрасно отрабатывает с таким аккаунтом.
Re[17]: LogonUser в .Net-ых приложениях
От: Jolly Roger  
Дата: 10.09.10 13:40
Оценка:
Здравствуйте, Lloyd, Вы писали:

L>На тестовом локальном аккаунте — работает, на тестовом доменном — тоже.

L>А мне нужно на аккаунте из другого (доверенного) домена, а с ним — не работает, хотя runas прекрасно отрабатывает с таким аккаунтом.

Ну путь-то тот-же, надо для начала посмотреть состав групп, в которые входит этот пользователь, а так-же набор его привилегий. Но я-бы предложил более радикальное решение — создать отдельную папку, к ней дать полный доступ юзеру, под которым будет стартовать приложение, и доступ всем (Everyone) на чтение. Туда и складывать все файлы, к которым должен быть общий доступ. Вы не расстраивайтесь, это стандартный подход в такого рода ситуациях
http://files.rsdn.org/82987/Img.GIF "Нормальные герои всегда идут в обход!"
Re[15]: LogonUser в .Net-ых приложениях
От: fddima  
Дата: 10.09.10 13:44
Оценка:
Здравствуйте, Lloyd, Вы писали:

L>Похоже, пользователь с админскими правами не может открыть домашние каталоги других пользователей, хотя в настройках каталога явно прописано иное.

L>Если запускаю консоль сразу в elevated-режиме (утилита elevated c wintellect.com), то могу нормально открывать каталоги.
L>Это нормальное поведение или у меня что-то не так?
Нормальное. Поизучай вывод whoami /priv из под limited user (админ с UAC), и с elevated, и для обычного юзера — разница колосальная. Более того, даже изменение некоторых локальных политик зачастую не оказывает влияние на этого самого limited user (может я просто не разобрался как ). Например кому-бы я ни давал привилегию на создание глобальных объектов, хоть своему пользователю, а не группе, — привилегии на деле всё равно не оказывается.
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.