Разработали систему управления документооборотом и поставили ее в одно госучреждение...
Данная система хранит документы в единой общей папке, которая расположена на сервере. Эта папка
подключается как сетевой диск для всех пользовательских ПК. Программные файлы системы также расположены на сетевом
ресурсе сервера и доступны клиентам.
Через некоторое время выяснилось, что кто-то стирает созданные в системе документы, расположенные в общей папке.
Вопрос: Каким образом можно закрыть доступ к данной папке обычным пользователям и давать работать с ней только в
системе документооборота?

Здравствуйте, Rickkk, Вы писали:

R>Разработали систему управления документооборотом и поставили ее в одно госучреждение...
R>Данная система хранит документы в единой общей папке, которая расположена на сервере. Эта папка
R>подключается как сетевой диск для всех пользовательских ПК. Программные файлы системы также расположены на сетевом
R>ресурсе сервера и доступны клиентам.
R>Через некоторое время выяснилось, что кто-то стирает созданные в системе документы, расположенные в общей папке.
R>Вопрос: Каким образом можно закрыть доступ к данной папке обычным пользователям и давать работать с ней только в
R>системе документооборота?

А система не от собственной учетной записи работает?

Здравствуйте, DOOM, Вы писали:

DOO>Здравствуйте, Rickkk, Вы писали:

R>>Разработали систему управления документооборотом и поставили ее в одно госучреждение...
R>>Данная система хранит документы в единой общей папке, которая расположена на сервере. Эта папка
R>>подключается как сетевой диск для всех пользовательских ПК. Программные файлы системы также расположены на сетевом
R>>ресурсе сервера и доступны клиентам.
R>>Через некоторое время выяснилось, что кто-то стирает созданные в системе документы, расположенные в общей папке.
R>>Вопрос: Каким образом можно закрыть доступ к данной папке обычным пользователям и давать работать с ней только в
R>>системе документооборота?

DOO>А система не от собственной учетной записи работает?


R>> Честно говоря нет. Каким образом пользователь, зашедший в Windows под одной учетной записью может запустить нашу систему
с правами на другую учетную запись? Я начинающий программист --объясните пожалуйста...

Здравствуйте, Rickkk, Вы писали:

R>Здравствуйте, DOOM, Вы писали:

DOO>>Здравствуйте, Rickkk, Вы писали:

R>>>Разработали систему управления документооборотом и поставили ее в одно госучреждение...
R>>>Данная система хранит документы в единой общей папке, которая расположена на сервере. Эта папка
R>>>подключается как сетевой диск для всех пользовательских ПК. Программные файлы системы также расположены на сетевом
R>>>ресурсе сервера и доступны клиентам.
R>>>Через некоторое время выяснилось, что кто-то стирает созданные в системе документы, расположенные в общей папке.
R>>>Вопрос: Каким образом можно закрыть доступ к данной папке обычным пользователям и давать работать с ней только в
R>>>системе документооборота?

DOO>>А система не от собственной учетной записи работает?


R>>> Честно говоря нет. Каким образом пользователь, зашедший в Windows под одной учетной записью может запустить нашу систему
R>с правами на другую учетную запись?
Ну это-то можно, но как тогда ваша система будет отличать кто

R>Я начинающий программист --объясните пожалуйста...
А-а-а... Система вашей разработки? Тогда я бы сказал, что неправильно сделано взаимодействие клиента и сервера. Если необходимо, чтобы документы обрабатывались исключительно в рамках системы документооборота, то доступ к ним любыми другими средствами должен быть исключен.

Как вариант — все взаимодействие клиента и сервера вынести в отдельный сервис, который будет работать от специализированной учетной записи, которая и будет иметь права на чтение/запись.

Здравствуйте, DOOM, Вы писали:

DOO>Как вариант — все взаимодействие клиента и сервера вынести в отдельный сервис, который будет работать от специализированной учетной записи, которая и будет иметь права на чтение/запись.

>Программные файлы системы также расположены на сетевом ресурсе сервера и доступны клиентам.

Это всю архитектуру перелапачивать придется.

Попробуйте использовать встроенную систему авторизации (Active Directory),
1. создайте группу, которая имеет доступ к этому ресурсу (только СИСТЕМА оставьте)
2. заберите у группы права на удаление (если такое есть, давненько уже с Win2003 не работал)
3. Добавьте в группу пользователей.

Ну а вообще-то DOOM прав, только варинты могут быть разные, и необязательно свой велосипед писать для взаимодействия с сетевыми ресурсами.

Здравствуйте, Alexander Pazdnikov, Вы писали:

AP>Здравствуйте, DOOM, Вы писали:

DOO>>Как вариант — все взаимодействие клиента и сервера вынести в отдельный сервис, который будет работать от специализированной учетной записи, которая и будет иметь права на чтение/запись.

>>Программные файлы системы также расположены на сетевом ресурсе сервера и доступны клиентам.

AP>Это всю архитектуру перелапачивать придется.

Честно говоря, система защиты должна вкладываться при _проектировании_ системы. А этого не было. С другой стороны, не было наверно и в ТЗ (если оно вообще было)
.

AP>Попробуйте использовать встроенную систему авторизации (Active Directory),
AP>1. создайте группу, которая имеет доступ к этому ресурсу (только СИСТЕМА оставьте)
AP>2. заберите у группы права на удаление (если такое есть, давненько уже с Win2003 не работал)
AP>3. Добавьте в группу пользователей.

Ну тут еще вопрос, программа то наверно может удалять. Некоторые программы при изменени документа сначала удаляют, потом создают новый (с защитой по bak или ren)

AP>Ну а вообще-то DOOM прав, только варинты могут быть разные, и необязательно свой велосипед писать для взаимодействия с сетевыми ресурсами.


самое простое включить аудит, найти кто гадит, и по рукам. Это не решит проблему глобально, но смягчит немного