> sniknik ©   (17.01.13 23:19) [79]


> ты про него ничего не знаешь. про мое решение... то что
> у тебя есть это твои выдумки о нем. очевидно.

так клещами выпытывать про решение что ли? все выводы по написанному в этой ветке.

> файл локально на компе, прикажешь админу обойти/пере подключиться
> к 400м/хххм компам чтобы разложить везде 1 файл? дефаулты
> вшитые в программу есть, но они для "на попробовать", а
> изменение в основном для смены тестового режима.

стоп, так файл в шаре должен находится что ли? так с этого и надо было начинать, а не х*ми всех крыть вокруг ), при чем здесь програм файлс тогда вообще? и про права там совсем другая история. с каких пор програм файлс стали общей папкой?

здесь можно порекомендовать использовать облачный сервис типа dropbox.

> "наш упертый подход" наоборот решает проблему с UAC, т.к.
>  делает все стандартным образом

Ну раз решение уже найдено и оно полностью устраивает и (главное) оно реально работает, то я самоустраняюсь из ветки.

> так клещами выпытывать про решение что ли?
c [0] оно не изменилось -
> sniknik ©   (09.01.13 13:26)
> Есть идеи как сделать? Пока у меня только одна, запустить себя же "RunAs" (с запросом логина/пароля как полагается) и передать туда данные на запись...
только вместо идеи стало кодом.

> стоп, так файл в шаре должен находится что ли?
плевать где, раз пять говорил. я это не контролирую. на усмотрение местных админов. шара равновероятное с програм файлес/или произвольной выделенной директорией на которую у одного больше пров чем у другого.

> так с этого и надо было начинать
так и начал. ли вот это, например, не то?
sniknik ©   (09.01.13 19:36) [17]
> т.к. сталкиваюсь только с результатом (звонки), а не с собственно настройкой/установкой.
> Вполне может быть, что ставят и не в "программ файлес", а в директорию по умолчанию, просто под админом, а настраивают/работают после под юзером (работать правильно, а вот для настроек зависит от прав юзера).
на что последовало про не правильную нашу работу с клиентами и т.д.
>> Я все-таки не понимаю.
> Не привязывайся к конкретным директориям, и все встанет на свои места.

> при чем здесь програм файлс тогда вообще?
предположение о причине. проверенное. т.к. установка туда, дает нужный эффект.

> и про права там совсем другая история.
да ну? про права всегда одна и та же история - у одного они есть у другого нет. даже если "тот другой" это тоже ты (о понижении прав работающим под админской учеткой). никаких других историй не знаю.

> с каких пор програм файлс стали общей папкой?
опля, а с чего нет? при варианте установки на один комп, для разных юзеров.

> здесь можно порекомендовать использовать облачный сервис типа dropbox
э... у меня прям руки опускаются.
а настройку о выборе, что работа с "dropbox"/"что то типа" куда писать? и не нужны ли будут опять права на ее запись? т.е. + дополнительная прослойка и айда на второй круг "обсуждений".
это кроме того, что интернет, он не всегда у всех есть.

+
> с каких пор програм файлс стали общей папкой?
общая <> шара. у тебя контекст поменялся.

Если есть инсталлятор, то надо при установке создать этот ini-файл с дескриптором защиты, разрешающим запись ограниченным юзерам, ну или вообще всем. По-моему любой инталлер умеет, да и кодом сделать элементарно. А вообще правильно тут говорили -нефиг программе писать в Program files.

еще один с "круглыми глазами" от "страшного слова" даже без попытки вникнуть в смысл. и почему в теме вообще упоминается "Program files"

начать сначала?

> А вообще правильно тут говорили -нефиг программе писать в Program files.
МС офис стоит? мс скл? ... нафиг их все, с виндой заодно, т.к. "нефиг программе писать в Program files", а это же тоже программы.
или все таки чуть мозгами попользоваться начать думать и понять разницу между пользовательскими и программными настройками.

p.s. вот говорят для решения проблемы нужна информация... ничего подобного! чем больше объясняешь/примеров/вариантов разных возможных приводишь тем больше возможности у "оппонентов" ее исказить/понять не правильно/"выцепить" из всего не смысл но "страшное" и отсюда - поспорить и "поучить жизни".

надо было просто, без примеров, объяснений почему и для чего и т.д, просто типа - "есть файл без доступа при текущих правах, нужно дать эти права" и все. ... хотя, тогда были бы другие придирки.

Удалено модератором

Удалено модератором

> До элементарного и очевидного решения с дескриптором защиты
????

> Чего туда ms office пишет, пользовательские настройки? юзерские документы?
> чуть мозгами попользоваться начать думать и понять разницу между пользовательскими и программными настройками.
речь с самого начала, и раз 8 уже повторялось, о настройках программы. не юзеров/их документы.

> А вообще мне пофиг до твоих проблем, гуляй, "умник"
проблемы??? [0] начинается с решения, и предложения обсудить/подкинуть других идей.

> Блин, не был здесь года три, и правильно делал
поддерживаю, еще 3 года погуляй где нибудь.

> Чего туда ms office пишет
именно это, например -  DOC.CFG (ну да ini в cfg переименовали)

Удалено модератором

> > Чего туда ms office пишетименно это, например -  DOC.CFG
> (ну да ini в cfg переименовали)

О как :) И какой-же из этих параметров юзер может менять во время работы?

> Не знаешь что такое дескриптор защиты? Не умеешь его менять? Настраивать? А гуглем пользоваться умеешь?
не знаю нафига он мне, в моем случае. и каким боком применять, нужно же от "бесправного" юзера (на исходной) писать.

> которые может менять юзер?
речь о админе, а не юзере. иначе он не сможет пользоваться "ранас", и да, админ может работать под юзерской учеткой. нес па?

> О как :) И какой-же из этих параметров юзер может менять во время работы?
про время работы ты тоже сам придумал (а еще обижаешься на сравнение/цитату о не читающих), у меня речь о переходе/перенастройке с тестового режима на "боевой", или смене оборудования (фискальника) после поломки/его драйвера, или ... не помню уже что приводил, что нет. в общем о нестандартной ситуации (кроме перехода, она как минимум раз бывает у каждого).

т.е. у меня полный аналог приведенного файла мс, содержимое только другое, но по сути оно самое.

> дескриптор защиты?
что то кажется речь должна идти больше о привилегиях, а не свойствах объекта... и не буду ничего объяснять :), во избежание "вывертов".

> > Не знаешь что такое дескриптор защиты? Не умеешь его менять? Настраивать? А гуглем пользоваться умеешь?
> не знаю нафига он мне, в моем случае. и каким боком применять, нужно же от "бесправного" юзера (на исходной) писать.

ну так файл изначально создаётся админом, у которого все права есть. Вот в этот момент и можно установить файлу дескриптор, в котором чтение и запись разрешены ограниченным юзерам. Именно в ней и будет админ, вошедший без элевации. В наше время(с) это большинство инсталляторов умели, да и кодом это делается элементарно.

Если нужно вручную папку переносить, то при первом запуске после переноса можно проверить дескриптор и при необходимости добавить ACE. Но если нужна таки защита от обычного юзера, то лучше требования запустить от имени админа ничего не придумаешь.

Ну а так, ЕМНИП, есть функция CredUIPromptForCredentials (CredUIPromptForWindowsCredentials), если не путаю за давностью лет. Но она не вполне безопасна, если опять же не путаю. Да и с LogonUser на старых системах будет облом. Впрочем, вместо неё можно вроде было LsaLogonUser задействовать, но дальше моя память  двигаться отказывается 😊

И да, ещё вспомнилось - если это админ без элевации, то в его маркере есть ссылка на полный маркёр, и его оттуда можно вытащить, ну а дальше - стандартная имперсонация должна сработать. Для запуска новых процессов не годится, а вот для записи файлов должно пройти.

> ну так файл изначально создаётся админом, у которого все права есть.
файл изначально "неизвестной природы", вариант (описанный ранее как и остальное)  - сетевая установка с копированием в расшаренную папку файлов клиента на одном компе, и попыткой изменить/перенастроить с другого компа.

> В наше время(с) это большинство инсталляторов умели, да и кодом это делается элементарно.
"мой" инсталятор (inno setup) умеет, сервис от него ставится "влегкую", но блин, "проблема" вообще не в том на что обращаете внимания вы (участники ветки, а не конкретно ты).
прописать в сетапе манифесте программы повышенные права нет проблем... но нельзя, это будет не правильно, что работать нужно только админом. и другие манипуляции правами тоже неправильно, т.к. это дело админов настраивать права. и т.д.
программе которая "мимо клиента" начинает рулить настройками компа/правами по собственным резонам, место в корзине. это гораздо более существенный "проступок", чем запись в "программ файлес" которого тут все так шугаются... НЕ ИМХО.

> Но если нужна таки защита от обычного юзера,
обязательно. простой кассир обычно "туп" в делах системы.

> то лучше требования запустить от имени админа ничего не придумаешь.
ну так, в [0]  это и было "как идея", единственное не требование, а предложение прямо из старой копии программы. (не все админы админы, и домохозяйка может программу поставить/посмотреть/... и т.д. неограниченно)

> Ну а так, ЕМНИП, есть функция CredUIPromptForCredentials (CredUIPromptForWindowsCredentials), если не путаю за давностью лет.
> Но она не вполне безопасна, если опять же не путаю. Да и с LogonUser на старых системах будет облом.
> Впрочем, вместо неё можно вроде было LsaLogonUser задействовать, но дальше моя память  двигаться отказывается 😊
смысл? получить логин пароль админа/... из под бесправного юзера невозможно, чтобы выполнить нужны права, т.е. пришли к тому же "ранас" просто написанному "велосипедным" способом ничего не решив по сути.

> если это админ без элевации, то в его маркере есть ссылка на полный маркёр
смысла "колупаться" нет, "ранас" это отслеживает, если можно "поднять права" то просто нет окна ввода логина/пароля/переключения юзера. т.е. визуально, будет то же самое, что сейчас.