KÄYTTÖOIKEUKSIEN ASETTAMINEN WINDOWSISSA, ELLEI OHJELMAA
SALLITA KÄYTTÄÄ WINDOWSIN TÄYSILLÄ OIKEUKSILLA
Päivitetty 14.3.2011
1. YLEISTÄ
Tämä ohje on tarkoitettu yrityksen mikrotukihenkilöille jotka pitävät yllä yrityksen tai muun organisaation verkon
käyttöoikeuksia ja tietoturva-asetuksia. Ohje edellyttää että käyttäjä tuntee windowsin termit.
FuturSoftin ohjelmistot käyttävät windowsin rekisteriä moneen asiaan, jonka vuoksi rekisteriin pitää antaa tarvittavat
luku- ja kirjoitusoikeudet kaikille käyttäjätunnuksille jotka FuturSoftin ohjelmia tulevat käyttämään.
AutoFutur tekee rekisteriin monia muutoksia ja tarkistuksia ennen käynnistymistä. Mikäli käyttäjille ei anneta
Administrator- oikeuksia, kuten toimitaan pienverkoissa, tulee oikeudet asettaa seuraavassa kerrotulla tavalla.
Oletuksena Microsoftin yrityskäyttöön tehdyt käyttöjärjestelmät antavat täydet käyttöoikeudet vain
järjestelmänvalvojalle tai rekisterihaaran luojalle. Eli jos ohjelma on asennettu esim. järjestelmänvalvojan tunnuksin,
niin tällöin rekisterien käyttöoikeus on vain tällä tunnuksella. Myös yrityksen tietoturvavastaajan omat määritykset
voivat myös aiheuttaa suojausongelmia.
Ongelmia ei siis tule, jos kirjautumisen yhteydessä käytetään järjestelmänvalvojan tunnuksia tai määritellään
käyttäjä kyseisen koneen PAIKALLISEKSI järjestelmänvalvojaksi.
Kuitenkin tämä toimintatapa ei välttämättä onnistu, johtuen organisaation tietoturvapolitiikasta. Merkkejä siitä, että
nämä käyttöoikeuksien määrittelyt ovat tekemättä, ovat mm. seuraavat:
- Ilmoitus ODBC-ajureiden puuttumisesta
- Tulostinajurin puuttuminen
- Yhteyden epäonnistuminen päätietokantaan
Vaikka ohjelma lähtisi käyntiinkin, voi tulla myöhemmin seuraavia ongelmia:
- Rivien haku tapahtumalle ei onnistu, herjaa ” PDOXUSRS.NET” tiedostosta.
- Hinnastojen nouto ei onnistu, vaatii käyttöoikeudet esim. ”c:\Elma” kansioon tai sen alikansioihin
- Ei anna luoda uusia kansioita, joita voi olla esim. ”c:\tukkurit” ja ohjelman hakemiston alle tehtävät kansiot
Muutokset käyttöoikeuksiin koostuvat rekisterimuutoksista ja tiedostojen ja kansioiden käyttöoikeuksien
muuttamisesta.
WINDOWSIN REKISTERIN MUOKKAUS
Rekisterin muokkaamiseen käytetään esim. REGEDT32.EXE / REGEDIT ohjelmaa, joka sisältää rekistereiden
käyttöoikeuksien määrittelymahdollisuuden.
Seuraaviin rekisterihaaroihin tehdään käyttöoikeuksien salliminen kyseisille käyttäjille:
Ohje oikeuksien määrittelyyn
-1-
32-bittisessä käyttäjärjestelmäss’:
HKEY_LOCAL_MACHINE\SOFTWARE\Futursoft
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers
64-bittisessä käyttöjärjestelmässä:
HKEY LOCAL MACHINE/software/wow6432Node/FuturSoft
HKEY LOCAL MACHINE/software/wow6432Node/ODBC
HKEY CURRENT USER/printers
Näihin rekisterihaaroihin määritellään käyttöoikeudet kaikille tarvittaville käyttäjille.
Ohjelmassa on siis (käyttöjärjestelmästä riippuen) kohta Suojaus/Käyttöoikeudet, jossa näitä suojauksia määritellään.
Muista myös laittaa erikseen ruksi kohtaan Korvaa olemassa olevien aliavainten oikeudet päälle.
Yksikertaisin tapa on tietenkin antaa kaikille verkon käyttäjille täydet oikeudet ko. rekisterihaaroihin. Sillä ne eivät ole
yleensä mitenkään kriittisiä. Ainakin rekisterihaarat ODBC ja Printers voivat olla muidenkin ohjelmien käyttäjien
käytössä, joten suositeltavaa on määritellä niihin kaikille käyttäjille vähintään luentaoikeus.
Ohje oikeuksien määrittelyyn
-2-
OHJELMAN SUORITTAMINEN JÄRJESTELMÄNVALVOJAN OIKEUKSIN
Ohjelma saadaan käynnistymään järjestelmänvalvoja oikeuksin kun ohjelman kuvakkeen ominaisuuksista mennään
Yhteensopivuus -välilehdelle ja ruksataan ”Suorita tämä ohjelma järjestelmänvalvojana”.
TIEDOSTOJEN JA KANSIOIDEN KÄYTTÖOIKEUKSIEN MÄÄRITTELY
Seuraaviin kansioihin tulee antaa luku- ja kirjoitusoikeus:
-
-
Ohjelman asennuskansioon, joka on oletuksena AutoFuturissa C:\Program Files\AutoFuturPro ja
KoneFuturissa C:\Program Files\KoneFutur
Kaikkiin sen alikansioihin
Oikeus luoda uusia alikansioita ko. asennuskansioon
c:n juuressa tiedostoon PDOXUSRS.NETja PDOXUSRS.LCK, jos juuressa on nämä tiedostot ohjelman ensimmäisen
käyttökerran jälkeen. Uusissa versioissa niitä enää pitäisi tulla sinne, vaan ohjelman asennushakemistoon. Jos
juureen annetaan oikeuksia, riittää kuitenkin vain kirjoitusoikeus, ei täysiä oikeuksia.
Oikeudet kansioon c:\tukkurit
Oikeudet c:\elma kansioon ja sen alikansioihin
Jos ohjelma käytön aikana herjaa, ettei kirjoitus tai luku onnistunut, ja viittaa johonkin tiedostonimeen, pitää
tähän tiedostoon antaa käyttöoikeus.
Jos käytetään lisämoduuleita, niillä voi olla oma kansionsa, esim. Online toiminnoissa c:\etilaus. Pääsääntöisesti
uudet kansiot kuitenkin luodaan ohjelman asennuskansion alle.
Ohje oikeuksien määrittelyyn
-3-
UAC:N KYTKEMINEN POIS PÄÄLTÄ ONGELMATAPAUKSISSA
Käytännössä on havaittu, että palvelinympäristöissä Windowsin UAC (User Account Control), käyttäjätilien
valvonta, vaikuttaa oikeuksiin siten, että se estää ohjelman käyttämisen normaalikäyttäjän oikeuksilla.
Tämä ilmiö on todettu ainakin Windows Server 2008 R2 64-bit ympäristössä.
Ellei asennus siis onnistu edellä olevien ohjeiden mukaan, tulee siis UAC kytkeä pois.
Englanninkielisessä Windowsissa kohta on seuraava:
Control Panel --> User Accounts --> Change User Account Control Settings --> "Never notify")
LISÄTIETOJA
FuturSoft Oy
Lars Sonckin Kaari 16, 02600 Espoo
Vaihde 0207- 288 730
Helpdesk 0600-9-4044 (1,39/min)
[email protected]
www.futursoft.fi
Ohje oikeuksien määrittelyyn
-4-