Уважаемые коллеги, кто не спит и на работе!
Работает терминал. 77.
Одновременная работа пользователей с двумя БД (Бухгалтерия).
Входят пользователи в терминал, запускают одну или две разных БД и работают. Проблема: при входе в терминал любой из пользователей получает доступ к файловой системе терминал-сервера и МОЖЕТ, к примеру удалить все файлы, запросто. Это неправильно.
Попробовали, организовали вход с запуском 1С на старте, но, при запуске ДВУХ БД у пользователя на экране ДВА сеанса терминала, он путается.(ему надо переключаться между сеансами постоянно.
Кто даст совет, можно ли как-то еще обеспечить безопасность?
С уважением всем,
Алексей

(0)
А политики безопасности настраивать не пробывали?
Может это поможет:
http://www.mista.ru/articles1c/terminal.htm

В указанной статье есть много полезного.
Но, как за одну терминальную сессию запустить две БД и не дать пользователю возможности увидеть кномку "Start", - вот в чем вопрос.
Спасибо.

Ковыряй реестр... есть туева хуча программ для сокрытия любых буковок в Винде, не говоря уже о кнопках и панелях...

(3) Здесь были споры по поводу игрищ с правами и контролем доступа, в том числе и в терминале...

В связи с тем, что понятия 1С и защита данных несовместимы - все указанные действа дают эффект только применительно к ламерам ... и сильно надеяться на непробивание не стоит... Мне показывали пару фишек в терминале - закачаешься.

Но делать все указанное все таки стоит - можно поймать на аудите и т.д. Вcе равно где то будет прокол.

попробуй выполнить команду
rundll32 powrprof,SetSuspendState ... только аккуратно, когда все файлы закрыты.
вообще то это команда укладки машины в гибернейт... Так что попробовать стоит аккуратно...
При определенных условиях сервант под терминалом ложится поспать....

Эксплорер находится в файле Explorer.exe.
Различные диалоги открытия файлов - в ComDlg32.dll.
Командная консоль - в cmd.exe.
Попробуй юзерам прикрыть к ним доступ - что будет?

Также надо прикрыть юзерам доступ к md/dd, ert и dll на запись.
Может быть, запретить просмотр содержимого папки (чтение и запись возможны, а просмотр - нет). Той, которая с базой, или вышестоящей.

Longhorn Systray Clock
http://www.neowin.net/forum/index.php?showtopic=157465
Маленькая приблуда. Вообще-то часы в сыстрее.
Умеет менять вид кнопки пуск, переносить пуск на часы в сыстрее, скрывать кнопку Пуск на панели задач.

Уважаемые коллеги!
Если запускать только одну БД, как start в терминальной сессии, проблема, как хорошо было сказано, "С точки зрения ламера", исчезает. Пользователь видит только свою 1С и не задумывается о другом. После завершения работы 1С пользователь автоматически вываливается из сессии и все ОК.
Другая тема, работа с двумя БД одновременно. Получается - две сессии, тоже нормально, но, пользователю трудно переключаться между сессиями, он путается.
Как бы в рамках одной сессии запустить сразу две 1cv7.exe со своими командными строками? А впереди стоит и третья одновременно подключаемая база.
С уважением всем, Алексей

Начинал ты с проблемы безопасности. А, какая разница, сколько ярлыков/баз у юзера. Он из любой базы нажмет кнопку "Открыть файл" зайдет в нужный каталог и при желании - запросто убъет твои файлы по правой кнопке.
Не майся дурью. Если юзер путается - выводи разные заголовки, фирмы по разному назови и т.п.

Можно попробовать использовать WSH.
1. Запуск еще одной 1с:
Синтаксис:
Run(<Command>,<WindowStyle>,<WaitOnReturn>)
Назначение:
Создаёт новый независимый процесс, который запускает заданное приложение.
2. Активирование окна по названию:
AppActivate(<Title>)
Назначение:
Активизирует указанное окно какого-либо приложения. Возвращает True в случае успеха и False в случае неудачи.

что получается:
-две разные конфы с разными названиями в титуле окна (ВАЖНО!)
-при в ходе в сеанс открывается 1с-ка
-на панели инструментов иконка для запуска скрипта, запускающий вторую 1с-ку
-тоже но переключение между окнами (по титулу окна)

Да. Или запускать одну 1С из другой

Да, коллеги!
(9)- это интересно.
(8)- изменим интерфейс, нечего пользователю файлы открывать. Это решаемо.
To (8). Я не совсем корректно сослался на безопасность.
Менять настройки, скрывать tray не хочется.
Пользователи меняются, будут ошибки.
Большое спасибо всем.
Много полезной информации.
Успехов, друзья!

(7) Может, запускать батник при начале сессии? В батнике два запуска двух баз.

1 вариант настраиваешь доступ Права к каталогам, естественно к файлам базы доступ ты не закроешь

2 вариант есть в win2k такая программка из  Resourse Kit которая позволяет устанавливать разрешение на запуск только одних программ а другие не разрешать запуск

3 вариант ставишь citrix и публикуешь 1С, здесь такая фишка для клиента отображается только 1С и не каких терминалов т.е. с виду получается 1С запущена на машине клиента хотя на самом деле запущена в терминале

Единственным решением проблемы вижу Citrix. Удобство для запуска пользователями 1С, превосходные администартивные функции для сети. защита сервера.

Я делал: обязательный профиль + через реестр корректировал вид и доступность меню пуск, настроек рабочего стола, доступа к диспетчеру задач и т.д...(убрал все), кроме этого - для этого пользователя указывал список разрешенных программ (достаточно explorer и 1С). Указывал ему домашнюю папку и все документы, сохраняемые им идут туда, на другой сервер. Прятал от него все диски на сервере (через реестр), и выставлял правильные права на доступ к базе. Ярлык 1С на рабочий стол. Кроме этого, все собираюсь выставить права на доступ пользователя к ветви реестра, где хранится список запускаемых баз 1С - чтобы он туда не смог добавить базу самостоятельно. Кроме этого, надо запретить (средствами 1С) запуск из под 1С всех внешних обработок (в типовых - лежащих в каталогt extforms).

(15)
"Я делал: обязательный профиль + через реестр корректировал вид и доступность меню пуск, настроек рабочего стола, доступа к диспетчеру задач и т.д...(убрал все),"

пох.., дорогой  друг, пробивается элементарно...


"кроме этого - для этого пользователя указывал список разрешенных программ (достаточно explorer и 1С). Указывал ему домашнюю папку и все документы, сохраняемые им идут туда, на другой сервер."

нормально. Маленько ограничивает...


"Прятал от него все диски на сервере (через реестр), и выставлял правильные права на доступ к базе. Ярлык 1С на рабочий стол."

Защита от ламеров 100%.


"Кроме этого, все собираюсь выставить права на доступ пользователя к ветви реестра, где хранится список запускаемых баз 1С - чтобы он туда не смог добавить базу самостоятельно."

Обходится. Как - не помню, но демонстрировали


"Кроме этого, надо запретить (средствами 1С) запуск из под 1С всех внешних обработок (в типовых - лежащих в каталогt extforms)."

Нас рать на все запреты - этого не запретишь....

(16)
Если все описанное в (15) применить все вместе, то пробить защиту будет сложновато. Вообще то, для защиты нужно: 1) контролировать в сеансе доступ к уже запущенным программам на сервере 2) контролировать запуск приложений в сеансе пользователя 3) контролировать возможность запуска обработок из под 1С.
Считаем, что на терминальном сервере работает необходимый минимум программ, настроенный админом. Сервер Win2003
Запретив пользователю делать все на рабочем столе, кроме запуска 1С по ярлыку (отключив обсолютно все), запретив вызовы проводника и т.д..., спрятав для пользователя все диски на сервере и выставив доступ только непосредственно к рабочей базе, а к предшествующим каталогам - только в объеме, необходимом для запуска базы - скорей всего полностью его органичим в возможности куда-то залесть, используя графический интерфейс (в том числе и из под 1С).
Выставив через политики или в реестре разрешение на запуск только 2-х программ explorer (для отображения рабочего стола, кстати, можно вместо explorer  использовать сторонний :) ) и 1С - для работы, остальные программы пользователь просто не сможет запустить.
Остаются внешние обработки (считаем, что в MD не встроено ничего опасного). Разве для невозможности их запуска в комплексной, к примеру, не достаточно отключить обработку "Дополнительные возможности", а каталог с внешними печатными формами, да и вообще extforms - разрешение только на чтение?
Ну и запретить подключать базы 1С.
Да, пользователь для терминала - отдельный, не тот, под которым пользователь работает локально на своем компе, обладающий минимальными правами.
Базы 1С находятся в не расшаренных папках (для запуска баз путь вида d:\data\complex\), и работа с ними только через терминал.
Что я упустил?



Конечно, лучше всего при старте сеанса терминала запускать сразу нужную базу 1С.

(17) > extforms - разрешение только на чтение
Рег отчеты не сохранишь.

терминал пробивается гораздо сложнее, чем обычная сетевая (дбф и сиквел)...
Но пробивается...
Но нужно иметь четкую инструкцию...

P.S. Надолго ли дураку стеклянный....?