Вход | Регистрация
 
1С:Предприятие :: 1С:Предприятие 8 общая

Как запретить запускать конфигуратор. (да, опять)

Как запретить запускать конфигуратор. (да, опять)
Я
   ELEA26
 
24.01.20 - 18:14
Спрашиваю редко, т.к. обычно отвечают не на вопрос, а на то, почему мне это не нужно и так никто не делает.
Но попытка не пытка.
________
Инфраструктура:
1С сервера 3шт.
Серверы лиц на каждом, но раздаются в общем.
Клиенты по VPN могут подключаться к любому из этих 3х серверов. Файлом ini получают лицензии с них же. Выдает не сервер, а менеджеры лицензий. Ключи железные.
Клиенты по всей стране и ставят клиента самостоятельно или с помощью техподдержки. Могут поставить и х86 и х64 и толстый и тонкий и у кого мак — то клиент на мак. Веб интерфесом не ходят.
На серверах поднят 2й экземляр сервера и в главный кластер прописан 2й рабочий сервер на другом порту.
Далее в «Требования назначения функциональности» установлено «не назначать» Designer на основном, а на 2м рабочем сервере наоборот не назначать все, но назначать Designer. Получается, что конфигуратор может работать только на 2м раб.сервере, который на порту 6540, а не 1540. Далее брандмауэром ограничивается доступ к этим портам из VPN и остается для компов программистов/админов.
Итог: пользователи которые за VPN не могут запускать конфигуратор независимо от прав. Программисты могут. В ночное время батник может обновить конфигурацию. И т. д.
С некоторого релиза лицензия сервера 1С не КОРП не позволяет крутить никакие настройки. За те же плюшки заново платить (да, было заявлено и т. д., но было, работало, потом заявили что низя, но все равно работало, а потом отобрали технически).
Подло, но да ладно. Вопрос не в этом, 5ю стадию принятия уже прошел :)
Ворос: как ограничить запуск конфигуратора за пределами VPN? На вид установки клиента повлиять не получится (в т.ч. Удаление dllок). Веб доступ не приемлем.
Идеи есть?
 
 
   pechkin
 
1 - 24.01.20 - 18:14
права админские забрать
   mikecool
 
2 - 24.01.20 - 18:23
тонкий клиент?
   ELEA26
 
3 - 24.01.20 - 18:31
(2) Кто что ставит. И тонкий ставят и толстый.
(1) как? Типовая конфа. Менять нельзя, можно только добавлять объекты и использовать расширения. Конфа ЗУП и БУХ. Там даже простому кадровику доступен вход в конфигуратор. Нет, не открытие или изменение конфигурации, а именно открытие конфигуратора. Да, в нем нифига не сделаешь, но открыть дает.

Администратоивно то работаем, по рукам стучим. Но находятся испытатели.
   Winnie Buh
 
4 - 24.01.20 - 18:34
если есть договор договор аренды с 1С, то КОРП дают бесплатно, но при условии, если даёте доступ к своим сервакам админам из 1С для контроля
   ELEA26
 
5 - 24.01.20 - 18:37
(4) Не понял. Какой договор аренды? 1С куплена, не в аренде. И админам из 1С никакого доступа не даем, никто никогда не просил.
Да и уже сообщили, что апгрейд лицензии стоит дофига денег и золотая ИТС у нее.
   Garykom
 
6 - 24.01.20 - 18:43
(0) Пароль на конфу блин
   craxx
 
7 - 24.01.20 - 18:48
(0) Если УФ то опубликовать базу на веб-сервере, и тонким клиентом к веб-базе цепляться
   bolero
 
8 - 24.01.20 - 19:05
(0) > Веб доступ не приемлем.
может таки пересмотреть ничем не подкрепленное утверждение?

плюсую (7) , у меня разъездные сотрудники имеют по два ярлыка на ноутах: тонкий клиент 1541 и тонкий клиент веб
разницы в скорости работы они не замечают совсем
при том, что сервер что по одной схеме, что по другой - на другом от клиент конце страны

какой-то там весомой нагрузки от апача при этом я не вижу, он чисто как прокси походу работает
   ELEA26
 
9 - 24.01.20 - 19:20
(7) много несвоместимого в веб клиенте. Проблем куча.
(8) это то, что я писал в 0 - написано не приемлем, а мне докажут, что пересмотреть. На маках глючат формы, на винде глючат ККМ и ЭДО. Не открывается многие "Дополнительные обработки".
Клиент постоянно выпадает (закрывается) у некоторых клиентов не понятно почему. Да, можете назвать криворукими, но такого гемора нам не надо.
   fyn
 
10 - 24.01.20 - 21:47
(3) А что смущает в возможности запуска конфигуратора, если там ничего плохого юзер с ограниченными правами сделать не в состоянии?
   Лефмихалыч
 
12 - 24.01.20 - 22:00
если не нужен толстый клиент, то просто удалить файл 1cv8.exe совсем и будет шасте
   Лефмихалыч
 
13 - 24.01.20 - 22:01
ну, или права забрать на файл у пользователей домена
   ELEA26
 
14 - 24.01.20 - 22:22
(10) батникам мешает и тем кому надо войти в конфигуратор. Приходится админа сервера просить выкинуть злодея.
(12) ох... еще config.dll удалить посоветуйте :(
   Фрэнки
 
15 - 24.01.20 - 22:38
(14) а в топике ты жалуешься, что уже не первый раз по пятницам вечерами задаешься одним и тем же вопросом об отбирании прав на конфигуратор или я что-то не понял, что ты там написал :-)
   Cyberhawk
 
16 - 24.01.20 - 22:59
Не ставить толстого клиента
   Garykom
 
17 - 24.01.20 - 23:20
   Garykom
 
18 - 24.01.20 - 23:37
(17)+ Кто мешает отнять права у всех юзеров кому они не положены?
В этом случае конфигуратор конечно запустится - но конфу открыть не даст "Недостаточно прав доступа".
А далее банальный периодический скрипт который проверяет не запустил ли кто левый конфигуратор (у кого прав нету) и рубить его как то.

(14) Это кстати хороший вариант права на config.dll урезать не давать на чтение кому не надо
   Garykom
 
19 - 24.01.20 - 23:41
И да это недоработка разрабов 1С что "Блокировка установки соединений с информационной базой" не пашет на сеанс Конфигуратора уже запущенный.
Хотя новым заходить в Конфигуратор не дает если уже установлена.
   vde69
 
20 - 24.01.20 - 23:57
(0) поставь в шедуллер программу которая будет по COM порту подключатся к серверу и получать список активных пользователей конфигуратора, далее определяй свои или чужие, и пиши лог + удаляй сеанс + блокируй его IP.

и возвращать подключение только после письменного объяснения
   vde69
 
21 - 24.01.20 - 23:59
ну или вообще можно настроить свич на блокировку первого пакета с запросом конекта к конфигуратору, там в заголовке в первом пакете параметр "DISIGNER" идет
   vde69
 
22 - 25.01.20 - 00:08
ну и почитать https://habr.com/ru/post/122037/
   craxx
 
23 - 25.01.20 - 05:01
(9) я не про веб-клиент.
я про тонкий клиент через веб-подключение.
Это разные режимы работы. Глюки именно в веб-клиенте
   Лефмихалыч
 
24 - 25.01.20 - 10:32
(18) полагаю, есть риск, что пользователь бросит открытый конфигуратор и тогда у ИТ начнутся приключения "найти и уничтожить"

(14) что не так?
   GROOVY
 
25 - 25.01.20 - 12:14
Чейто я не понял. Права на запуск толстого клиента отрубить и делов... Не?
   Garykom
 
26 - 25.01.20 - 14:23
(25) У него юзеры через толстый клиент в RDP сидят и в 8-ке даже юзер с урезанными правами администрирования может конфигуратор запустить но конфу открыть уже нет.
   Garykom
 
27 - 25.01.20 - 14:26
(24) >у ИТ начнутся приключения "найти и уничтожить"

ИТ там херовый, зачем вручную искать когда давно DevOps придуман
http://catalog.mista.ru/public/202805/
   pavig
 
28 - 25.01.20 - 15:16
(0)
Всё не читал, но решается двумя способами:
1. Отруби лишние права своим пользователям
2. Тупо устанавливай ТОЛЬКО тонкий клиент. Лучше - через веб-сервер, тогда прям железобетонно.
   ДенисЧ
 
29 - 25.01.20 - 15:19
(28) А зря всё не читал, там много интересного
   Garykom
 
30 - 25.01.20 - 15:29
(29) Это не отнимает того факта что в платформе (экосистеме) 1С есть глобальная недоработка в части запрета (штатно) запуска конфигуратора юзерам, которым таких прав не дали.
 
 Рекламное место пустует
   Фрэнки
 
31 - 25.01.20 - 15:32
(30) на актуальных релизах платформы для самых простых юзеров, с ограничением по правам, можно ставить тонкого клиента. И все. Никаких "лишних" кнопок не будет.
   Лефмихалыч
 
32 - 25.01.20 - 18:19
(27) это все равно - делать надо. И чаще сего это будет дополнительная внеплановая задача перед обновлением, которая пошлёт по звезде план обновления. Лучше, когда таких вещей происходить не может вообще
   Лефмихалыч
 
33 - 25.01.20 - 18:22
(30) это не недоработка. И на самом деле запрет такой существует - это отсутствие толстого клиента. Навешивать это на систему прав - очень плохая затея потому, что для того, чтобы вычислить есть у пользователя права или нет, надо залогиниться в базу, а для этого - запустить приложение. То есть в пределе - пока конфигуратор не запустится, не будет понятно, есть у пользователя права или нет. Или пришлось бы выносить авторизацию и аутентификацию в 1sestart.exe, а это еще более херовая идея.
   Garykom
 
34 - 25.01.20 - 18:50
(33) Проверка прав один хрен есть в конфигураторе, оно же не дает открыть конфу.
Хватило бы автоматического закрытия конфигуратора сразу после запуска если нет права на его запуск.

Т.е. изменения в платформу минимальны, добавить право для роли и проверку после запуска в конфигураторе.
   Лефмихалыч
 
35 - 25.01.20 - 19:05
(34) это не просто закрыть. Это показать модалку, чтобы пользователь понял, что все работает, как и задумано. А модалка, пока висит, конфигуратор открыт и второй ты уже не откроешь. В общем, зачем ты заставляешь меня тебе это объяснять? Ты ж и сам все прекрасно понимаешь
   Garykom
 
36 - 25.01.20 - 19:37
(35) Показать модалку можно снаружи оставив ее висеть уже закрыв конфигуратор и прервав все процессы с базой/сервером.
Да будет краткий момент когда второй сеанс конфигуратора не запустить, но это решаемо даже без внесения изменений в платформу ибо момент очень краткий же.

А можно внесли легкие изменения, один хрен несколько предприятий же возможно (не монопольно) и вместе с одним конфигуратором так?
Ну так и разрешить два и более конфигураторов на одной базе запускать тоже можно, там аналогичный монопольному режиму механизму же можно.

Т.е. запускать несколько конфигураторов можно - но захватить конфу может только один, у кого прав нет - те не могут.
   Garykom
 
37 - 25.01.20 - 19:42
(36)+ Я понимаю что это дополнительная работы программеров и разные глюки в процессе, но нихрена не сложнее чем уже куча ненужных фич которые насовали в платформу.
А фишка реально нужная для защиты от юзеров.

Имхо было бы гениально если хранилище конфигурации было внутри самой платформы для совместной разработки. Т.е. своя копия конфы для каждого юзера и т.д. и совместная работа.

И туда же чатик всобачить и предупреждения если некто начал править объект на который у тебя планы )) Но это гм хотя и надо да.
   Фрэнки
 
38 - 25.01.20 - 19:45
(37) так одно время были разговоры, что конфигуратор в платформе больше дорабатываться не будет, а будет все в ЕДТ уводиться. А тут все так поперло, что и расширения все дальше, все больше функциональности в них, что и едт не особо развивается и конфигуратор тоже не особо.

Но вот же в платформу прикрутили новый интерфейс и новую библиотеку кросс-платформенную стали при сборке платформы использовать.
   palsergeich
 
39 - 25.01.20 - 20:07
(38) ЕДТ развивается, всё больше возмождностей конфигуратора поддерживается + ребята работают над оптимизацией.
   Лефмихалыч
 
40 - 25.01.20 - 20:11
(36) (37) "не ставить или удалить толстого клиента" - это во сколько десятков раз проще этого всего, о чем ты говоришь?
   ELEA26
 
41 - 25.01.20 - 23:05
(26) не через RDP. А через VPN. Клиенты 1С ставят себе сами на свои компы/нотики и т.д.

Вникните в (0) - клиенты не в RDP, клиенты на своих тачках, местами личных. Ставят все сами. Запретить поставить им толстого клиента или забрать права на папку/файл или удалить чтото с их компа - возможности нет.
   Лефмихалыч
 
42 - 25.01.20 - 23:14
(41) если "сами" и "местами личных", то только терпеть. Ибо так делать нельзя, а которые делают, у тех бобо наступает ещё и не такое. Конфигуратор, я бы сказал, тут наименьшая из всех проблем.
   ELEA26
 
43 - 25.01.20 - 23:22
(42) А какие еще проблемы то? Это единственная. А RDP лицензировать на 250 клиентов - не фонтан. Да и адский сервак нужен для этого.
   Лефмихалыч
 
44 - 25.01.20 - 23:27
(43) какие проблемы, когда в одном vpn'е живут пользюки со своими личными ноутами с правами устанавливать на них софт? Я правильно вопрос понял?
   ELEA26
 
45 - 25.01.20 - 23:46
(44) И? VPN с доступом только по нужным портам 1С до только нужных серверов и с изоляцией клиентов друг от друга. Нормально там все.
   Garykom
 
46 - 25.01.20 - 23:59
(43) Открой для себя RDP сервер на Linux, причем на свежих дистрах правильных оно из коробки.
Стандартным виндовым клиентом можно. И да 1С на linux давно пашет.

Но это к теме не относится. Короче файрвол ставь умный и руби порты кому не надо по пакетам. Ссылка пробегала.
   craxx
 
47 - 26.01.20 - 06:21
(45) Тогда писать регламентное задание, которое отрубает конфигуратор тем кому не положено
   craxx
 
48 - 26.01.20 - 06:22
(47) к (41)
   Cyberhawk
 
49 - 26.01.20 - 09:27
(40) Так толстый клиент-то нужен - им в режиме предприятия в инфобазе работают


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.