käyttöoikeuksien asettaminen windowsissa, ellei
KÄYTTÖOIKEUKSIEN ASETTAMINEN WINDOWSISSA, ELLEI OHJELMAA SALLITA KÄYTTÄÄ WINDOWSIN TÄYSILLÄ OIKEUKSILLA Päivitetty 14.3.2011 1. YLEISTÄ Tämä ohje on tarkoitettu yrityksen mikrotukihenkilöille jotka pitävät yllä yrityksen tai muun organisaation verkon käyttöoikeuksia ja tietoturva-asetuksia. Ohje edellyttää että käyttäjä tuntee windowsin termit. FuturSoftin ohjelmistot käyttävät windowsin rekisteriä moneen asiaan, jonka vuoksi rekisteriin pitää antaa tarvittavat luku- ja kirjoitusoikeudet kaikille käyttäjätunnuksille jotka FuturSoftin ohjelmia tulevat käyttämään. AutoFutur tekee rekisteriin monia muutoksia ja tarkistuksia ennen käynnistymistä. Mikäli käyttäjille ei anneta Administrator- oikeuksia, kuten toimitaan pienverkoissa, tulee oikeudet asettaa seuraavassa kerrotulla tavalla. Oletuksena Microsoftin yrityskäyttöön tehdyt käyttöjärjestelmät antavat täydet käyttöoikeudet vain järjestelmänvalvojalle tai rekisterihaaran luojalle. Eli jos ohjelma on asennettu esim. järjestelmänvalvojan tunnuksin, niin tällöin rekisterien käyttöoikeus on vain tällä tunnuksella. Myös yrityksen tietoturvavastaajan omat määritykset voivat myös aiheuttaa suojausongelmia. Ongelmia ei siis tule, jos kirjautumisen yhteydessä käytetään järjestelmänvalvojan tunnuksia tai määritellään käyttäjä kyseisen koneen PAIKALLISEKSI järjestelmänvalvojaksi. Kuitenkin tämä toimintatapa ei välttämättä onnistu, johtuen organisaation tietoturvapolitiikasta. Merkkejä siitä, että nämä käyttöoikeuksien määrittelyt ovat tekemättä, ovat mm. seuraavat: - Ilmoitus ODBC-ajureiden puuttumisesta - Tulostinajurin puuttuminen - Yhteyden epäonnistuminen päätietokantaan Vaikka ohjelma lähtisi käyntiinkin, voi tulla myöhemmin seuraavia ongelmia: - Rivien haku tapahtumalle ei onnistu, herjaa ” PDOXUSRS.NET” tiedostosta. - Hinnastojen nouto ei onnistu, vaatii käyttöoikeudet esim. ”c:\Elma” kansioon tai sen alikansioihin - Ei anna luoda uusia kansioita, joita voi olla esim. ”c:\tukkurit” ja ohjelman hakemiston alle tehtävät kansiot Muutokset käyttöoikeuksiin koostuvat rekisterimuutoksista ja tiedostojen ja kansioiden käyttöoikeuksien muuttamisesta. WINDOWSIN REKISTERIN MUOKKAUS Rekisterin muokkaamiseen käytetään esim. REGEDT32.EXE / REGEDIT ohjelmaa, joka sisältää rekistereiden käyttöoikeuksien määrittelymahdollisuuden. Seuraaviin rekisterihaaroihin tehdään käyttöoikeuksien salliminen kyseisille käyttäjille: Ohje oikeuksien määrittelyyn -1- 32-bittisessä käyttäjärjestelmäss’: HKEY_LOCAL_MACHINE\SOFTWARE\Futursoft HKEY_LOCAL_MACHINE\SOFTWARE\ODBC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers 64-bittisessä käyttöjärjestelmässä: HKEY LOCAL MACHINE/software/wow6432Node/FuturSoft HKEY LOCAL MACHINE/software/wow6432Node/ODBC HKEY CURRENT USER/printers Näihin rekisterihaaroihin määritellään käyttöoikeudet kaikille tarvittaville käyttäjille. Ohjelmassa on siis (käyttöjärjestelmästä riippuen) kohta Suojaus/Käyttöoikeudet, jossa näitä suojauksia määritellään. Muista myös laittaa erikseen ruksi kohtaan Korvaa olemassa olevien aliavainten oikeudet päälle. Yksikertaisin tapa on tietenkin antaa kaikille verkon käyttäjille täydet oikeudet ko. rekisterihaaroihin. Sillä ne eivät ole yleensä mitenkään kriittisiä. Ainakin rekisterihaarat ODBC ja Printers voivat olla muidenkin ohjelmien käyttäjien käytössä, joten suositeltavaa on määritellä niihin kaikille käyttäjille vähintään luentaoikeus. Ohje oikeuksien määrittelyyn -2- OHJELMAN SUORITTAMINEN JÄRJESTELMÄNVALVOJAN OIKEUKSIN Ohjelma saadaan käynnistymään järjestelmänvalvoja oikeuksin kun ohjelman kuvakkeen ominaisuuksista mennään Yhteensopivuus -välilehdelle ja ruksataan ”Suorita tämä ohjelma järjestelmänvalvojana”. TIEDOSTOJEN JA KANSIOIDEN KÄYTTÖOIKEUKSIEN MÄÄRITTELY Seuraaviin kansioihin tulee antaa luku- ja kirjoitusoikeus: - - Ohjelman asennuskansioon, joka on oletuksena AutoFuturissa C:\Program Files\AutoFuturPro ja KoneFuturissa C:\Program Files\KoneFutur Kaikkiin sen alikansioihin Oikeus luoda uusia alikansioita ko. asennuskansioon c:n juuressa tiedostoon PDOXUSRS.NETja PDOXUSRS.LCK, jos juuressa on nämä tiedostot ohjelman ensimmäisen käyttökerran jälkeen. Uusissa versioissa niitä enää pitäisi tulla sinne, vaan ohjelman asennushakemistoon. Jos juureen annetaan oikeuksia, riittää kuitenkin vain kirjoitusoikeus, ei täysiä oikeuksia. Oikeudet kansioon c:\tukkurit Oikeudet c:\elma kansioon ja sen alikansioihin Jos ohjelma käytön aikana herjaa, ettei kirjoitus tai luku onnistunut, ja viittaa johonkin tiedostonimeen, pitää tähän tiedostoon antaa käyttöoikeus. Jos käytetään lisämoduuleita, niillä voi olla oma kansionsa, esim. Online toiminnoissa c:\etilaus. Pääsääntöisesti uudet kansiot kuitenkin luodaan ohjelman asennuskansion alle. Ohje oikeuksien määrittelyyn -3- UAC:N KYTKEMINEN POIS PÄÄLTÄ ONGELMATAPAUKSISSA Käytännössä on havaittu, että palvelinympäristöissä Windowsin UAC (User Account Control), käyttäjätilien valvonta, vaikuttaa oikeuksiin siten, että se estää ohjelman käyttämisen normaalikäyttäjän oikeuksilla. Tämä ilmiö on todettu ainakin Windows Server 2008 R2 64-bit ympäristössä. Ellei asennus siis onnistu edellä olevien ohjeiden mukaan, tulee siis UAC kytkeä pois. Englanninkielisessä Windowsissa kohta on seuraava: Control Panel --> User Accounts --> Change User Account Control Settings --> "Never notify") LISÄTIETOJA FuturSoft Oy Lars Sonckin Kaari 16, 02600 Espoo Vaihde 0207- 288 730 Helpdesk 0600-9-4044 (1,39/min) [email protected] www.futursoft.fi Ohje oikeuksien määrittelyyn -4-
© Copyright 2024