УАТ 3 на терминальном сервере - требует наличия прав администратора у пользователя?

Добрый день, Алексей!

Вам необходимо обновить пп до последнего релиза(3.0.23.1) в котором исправлена ситуация с правами пользователей, в нем потребуется запуск под пользователем "Администратор" только в первый раз.

София, верно ли я понял, что после обновления мне будет необходимо зайти на терминальный сервер с правами администратора и запустить базу, войти в базу под непривилегированным пользователем. После данных действий другие пользователи данного терминального сервера, которые не являются администраторами ни в 1С, ни в ОС сервера, смогут беспрепятственно запускать 1С УАТ?

Требуется запустить один раз программу/систему защиты с правами администратора в сеансе пользователя.

София, мы не можем предоставить пользователю сеанс администратора, так как мы не имеем контроля над выполняемыми им процедурами в этот момент.
Напоминаю, это не рабочая станция, а терминальный сервер, на котором работают сотни пользователей. Что именно сделает пользователь и к каким данным получит доступ, мы не можем предугадать.

Необходимо другое решение, не подразумевающее участия привилегированного пользователя ( администратора ) в процедуре первого запуска ИС.
Прошу уточнить, возможно ли это выполнить путем предоставления каких-либо прав на конкретные области ос (реестр\диск\wmi).

Необходимо дать данному пользователю права Администратора именно на терминал, сделать запуск "От имени администратора"(правой кнопкой мыши на значке 1С), а после вернуть ему его стандартные права.  

Мы с вами друг друга не понимаем, кажется.
Проблема именно в том, что в нашей инфраструктуре есть как проблема с предоставлением доступа уровня "администратор" пользователю, так и с подключением к сеансу пользователя и "запуском от имени администратора".

Нам необходимо каким-либо образом настроить терминальный сервер так, чтобы пользователь (входящий впервые на сервер) сразу мог использовать 1С УАТ, не требуя ИТ-специалиста (администратора) при первом запуске 1С УАТ. Предоставление пользователю прав администратора "заранее", естественно, тоже не вариант.

В рамках данного форума мы не предполагаем консультаций по настройке серверов Windows.
Необходимо разрешить выполнение файла RarusFirstStartSetup.exe, так же, возможно потребуется выполнить некоторые файлы из этого каталога с правами Администратора.  Попробуйте дать доступ к этим файлам.

София, я не прошу вас консультировать по настройке серверов Windows, я прошу указать условия, при которых запуск ПО возможен без участия пользователя с правами администратора. Мне приходится "раскапывать вслепую", что пытается сделать ПО Рарус, чтобы ему нормально запуститься.

Итак, я озвучу требования, предъявляемые к современному ПО:
1. Отсутствует требование запуска с административными привилегиями
2. Требуется единоразовая инсталляция данного ПО администратором на ПК (в нашем случае - терминальный сервер), с которого будет производиться запуск. В нашем случае инсталляция это первый запуск ПО (то есть, вход в базу)
3. После инсталляции любой пользователь может запустить ПО и работать.

Соответственно, пункт 1 исполняется вашим ПО не до конца (требуется повышение прав пользователя для первого запуска), а пункт 3 не работает совсем.

Вот что мне удалось "раскопать":
К сожалению, предоставления прав пользователей к каталогу защитного ПО Рарус недостаточно для нормального первого запуска без административных прав.

RarusFirstStartSetup.exe, который обязателен к запуску при входе в базу 1С УАТ, пытается при запуске записать в ветку реестра свои данныеПри налиции административных прав это возможно, но без наличия данных прав, пользователь получает отказ (как видно из строки монитора выше), в связи с чем ПО возвращает ошибку.

После того, как я дал разрешения всем пользователям на запись в ветку (эта ветка является одной из исходных для HKCR, в соответствии со спецификацией реестра Windows)проблема запуска исчезла (по крайней мере 1С уже не рапортует об ошибках при запуске, а я, будучи не-1с-ником, не знаю, как проверить работоспособность)

Соответственно, я бы хотел уточнить следующее:
1. Достаточно ли предоставления доступа к данной ветке реестра для работы ПО без какого-либо вмешательства администраторов (наша группа 1С проверит это в ближайшее время, я отпишуть в данном топике)
2. В данной ветке никакие параметры не изменяются. Возможно ли вашему ПО поставить условие проверки корректности данного ключа реестра перед попыткой данные в этом ключе изменить? Так как ключ формируется из списка системы и списка пользователято почему вообще нужно его перезаписывать при каждом запуске? Раз класс уже зарегистрирован (причем, системно - в HKLM), то зачем его регистрировать повторно? Хотелось бы, по возможности, получить комментарий со стороны разработчика или хотя бы направить это в качестве потенциально полезной доработки.

Я обяательно отпишу в данном топике, достаточно ли предоставления прав на указанную ветку реестра для решения проблемы.

Наши сотрудники 1С подтвердили, что все работает.
Соответственно, я прошу, если возможно, подтверждения от ваших технических специалистов, что предложенные разрешения достаточны, а также, по возможности, информации о том, возможно ли организовать аналогичное решение без предоставления соответствующих прав (как мне кажется, проблема в ПО "RarusFirstStartSetup.exe", которое пытается регистрировать соответствующий CLSID независимо от того, что он уже зарегистрирован ранее.

Алексей, ответ будет дан позже, в этой ветке форума.

Доброго времени!
Для терминальных подключений (Windows server 2012 R2) начиная с предыдущих версии компоненты защиты (конфигураций 1.0 Проф&Стандарт) достаточно одному из пользователей с правами Администратора запустить компоненту защиты и все необходимые регистрации производятся для всех пользователей. Из практики могу сказать что проблема после такого запуска более не возникает у рядового пользователя с ограниченными правами.

P/S выше было сказано о требованиях к современному ПО п.2 - удовлетворяет

Добрый день, Алексей!

К сожалению, манипуляций, указанных Вами в предыдущем сообщении, не достаточно для решения данного вопроса. Первый запуск необходимо осуществлять от имени пользователя с правами администратора, об этом сказано в Руководстве Пользователя к пп.
Так же, обращаем Ваше внимание, что данный программный продукт в 2011 года снят с продаж и поддержки, консультации по нему не оказываются и соответственно дорабатываться он не будет.
Данную ситуацию возможно решить при помощи индивидуальных доработок решения, для этого Вам необходимо написать запрос на почтовый адрес auto@rarus.ru
Благодарим за обращение!