Главная > OCS > Desktop Sharing в MOC 2007 R2 и UAC. Обманутые ожидания
  1. Stanky
    29.06.2010 в 01:58

    Хотелось бы сделать небольшие уточнения (к сожалению, в один они не влазят:))…Проблема возникает не "при установке приложений", а при любом запросе UAC\’а на повышение привилегий. И Secure Desktop, на самом деле — лишь часть проблемы.Сесия переходит в паузу не по причине изоляции процессов, а потому что, все запросы UAC\’а происходят на другом Desktop\’е, а Desktop, в свою очередь, является границей безопасности. Вот мы ничего и не видим:).

  2. Stanky
    29.06.2010 в 01:58

    Но если отключить Secure Desktop, мы уже будем наблюдать проблему связанную с изоляцией процессов, а именно Integrity Level. Так как все запросы UAC\’а будут происходить с уровнем High, а Communicator находится на уровне Medium, мы не сможем взаимодействовать с этими запросами.

  3. Stanky
    29.06.2010 в 01:58

    Легко это продемнстрировать на следующем примере — если человек, показывающий вам свой рабочий стол и давший к нему управление, запустит какое-то приложение от администратора, вы сможете управлять только той областью экрана, которое не перекрыто этим приложением. Ни действия мыши ни клавиатуры не будут иметь эффекта — всё дело в изоляции процессов!

  4. Stanky
    29.06.2010 в 01:59

    Ну и, конечно же, нужно отдать должное разработчикам UAC\’а — они предусмотрели такой параметр как UIAccess. Суть сводится к тому, что если в манифесте приложения, осуществляющего мониторинг удалённого компьютера, его значение установлено в True, то переключение на Secure Desktop не происходит, соответственно, сессия не уходит в паузу и мы видим всё происходящее.

  5. Stanky
    29.06.2010 в 02:00

    Мало того, в групповых политиках есть соответствующие параметры, настраивающие работу этого параметра и один из самых ярких примеров его использования — удалённый помощник! Причём, если в политиками не разрешено "отключение" Secure Desktop приложениям, использующим UIAccess, то удалённый помощник ведёт себя точно так же, как Communicator — ставит сессию в паузу.

  6. Stanky
    29.06.2010 в 02:02

    Когда я увидел такое поведение у Communicator\’а, то первым делом бросился писать для него манефест, но эффекта это не произвело. После чего я посмотрел в его ресурсах встроенный манифест (Embedded) и обнаружил, что UIAcces выставлен в True! Удивлению моему не было предела, я начал шерстить интернет в поисках причины и наткнулся на ту самую ветку, где в одном из ответов было написано "Note: The RDP 5.0 didnot support secure desktop or elevated prompts". После этого, мозаика сложилась:)!

  7. Artem
    29.06.2010 в 09:32

    > Также есть информация о том, что служба технической поддержки Microsoft знает и подтверждает наличие проблемы, но скорее всего хотфикса в текущей версии OCS не будет.ну так и в чём проблема-то? Сделайте запрос в поддержку — и будут не подозрения, а точное понимание ситуации 🙂

  8. Artem
    29.06.2010 в 09:40

    Вообще, я бы сказал так, что эта проблема высосона из пальца. Потому что эта функция должна служить для поддержки пользователей. Для поддержки пользователей не нужно выполнять действия черзе UAC. Её работа — помогать пользователям делать их пользователькую работу. Если у вас выполнение рутинных пользовательских операций требует UAC — то вы сами мудаки.

  9. Artem
    29.06.2010 в 09:40

    И наоборот. Если вам нужно выполнять административные действия (например, устанавливать или удалять программы) — какого хуя вам это надо делать в сессии пользователя? Открывайте административную сессию через обычный «Удалённый рабочий стол» — и делайте всё, что душе угодно.

  10. Artem
    29.06.2010 в 09:40

    Особенно это справедливо для Vista и старше — ведь при таком повороте событий пользователя из системы не выводит, а просто временно отключает его сессию. Т.е. ему больше не надо сохранять все данные и закрывать все приложения.А ещё лучше — настройте какое-то автоматизированное средство для выполнения этих самых административных задач 🙂 И прекратите уже, наконец, выполнять их вручную.

  11. Stanky
    29.06.2010 в 10:30

    Точное понимание ситуации есть и оно описано на форуме, куда дана ссылка;).А если для решения пользовательской проблемы требуется запустить ProcessMonitor или ProcessExplorer или ещё какое средство? Тоже нужно сделать десяток телодвижений, чтоб подключиться к компьютеру пользователя по RDP, который, возможно, не находится в прямой досигаемости и нужно поднять какой-нибудь VPN или прописать параметры подключений RD Gateway?

  12. Stanky
    29.06.2010 в 10:30

    Проничкин, главный мудак здесь — ты! В очередной раз припёрся со своими юнешескими идеалистическими воззрениями и начинаешь всех учить жизни.Если твоя помощь пользователям заключается в том, чтоб показать, как значение ячеек в Excel\’е складывать, то другие могут помогать и в более сложных ситуациях, где без админских прав не обойтись.

  13. Stanky
    29.06.2010 в 10:31

    Да-да-да — нужно заставить Microsoft, чтоб они, наконец-то, научили свою систему решать все возникающие проблемы! А ещё нужно, чтоб все криворукие программисты разом убили себя АП стену или прыгнули с высоты. Чтоб все программы без проблем устанавливались под админом, а работали под пользователем…В общем, ты живёшь в своём идеальном мирке, а нам, к сожелению (а может и к счастью), приходится жить в реальном…

  14. Denis
    29.06.2010 в 14:52

    Артем, есть множество сценариев, в ходе которых необходимы работы в профиле текущего пользователя с повышением полномочий. И не всегда есть возможность использовать продукты System Center, в отличии от OCS.

  15. Artem
    29.06.2010 в 15:11

    Я правильно понимаю, что теперь весь ВЗ будет по одному выходить защищать поруганую честь коллеги своей широкой грудью? Раз уж так — попроси, пожалуйста, у Олега полный лог чятика, чтобы мне по триста раз не пересказывать очевидные аргументы. И повторяться, что я не предлагаю использовать продукты System Center вместо OCS :). Не надо, пожалуйста, выхватывать мои слова из контекста. И — тем более — вкладывать в мои уста то, чго я вообще не говорил.

  16. Stanky
    29.06.2010 в 16:35

    Я участвовал в этой переписке и читал её содержимое от начала и до конца — аргументов там, чуть менее чем ноль;). Сплошной сферический конь в вакууме и личные домыслы, выдаваемые за позицию Vendor\’а.

  17. Alexander
    30.06.2010 в 13:07

    Просматривал сегодня видео с Teched. http://www.msteched.com/2010/NorthAmerica/UNC318На 12-ой минуте о невозможности выполнять административные задачи говорят как о фиче. Так что, если не сделают опцией, значит не сделают вообще.

  18. Stanky
    10.07.2010 в 18:34

    Microsoft любит заявлять о своих Bug\’ах как о фичах:).

  19. Stanky
    11.07.2010 в 13:06

    Кстати говоря, в том самом докладе (318) первый же вопрос в Q&A (1:13:18) как раз про административный доступ:)! Докладчик отвечает, что они поняли, что этот сценарий хотят и он нужен, но сейчас он не реализован — может быть, будет в следующей версии…

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: