19 ответов в этой теме

[p@uk]

добрый день.

есть ноут, с вистой. на ноуте агент drweb es 4.44.3.200804270.
так же на ноуте два пользователя, один с админскими правами, другой обычный пользователь

так вот админ может отключать файловый монитор. у обычного пользователя пункты:
- настройка файлового монитора
- настройка почтового монитора
- файловый монитор

неактивны, соответственно недоступны..
в консоли на станции в пункте "права" установлены все "галки" кроме "остановка интерфейса drweb enterprise agent".
вопрос, как разрешить пользователю останавливать монитор?

[pig]

Никак. На то он и ограниченный пользователь.

[Eugeny Gladkih]

как разрешить пользователю останавливать монитор?

дать ему права администратора

[p@uk]

по вашему дать права админа для пользователя - выглядит забавно?
не на этих ли и подобных форумах все кричат не давать юзеру прав администратора?

я так понимаю - это связано с ограничением ос, а не drweb es?

[sergeyko]

по вашему дать права админа для пользователя - выглядит забавно?
не на этих ли и подобных форумах все кричат не давать юзеру прав администратора?

я так понимаю - это связано с ограничением ос, а не drweb es?

Это связано с тем, что ЕС - корпоративный продукт, предназначенный для Windows и созданный для повышения ее безопасности. Он не может не следовать рекомендациям производителя ОСи в области безопасности.
Политика.

[p@uk]

имхо, если уж это корпоративный продукт, логичней было бы "слушаться" указаний самого сервера drweb es. админ как настроил в консоли так пускай и делает агент. здесь уж приоритетней должна быть политика самого drweb es сервера а не оси...
почему-то агент может обновить системные компоненты доступ к которым пользователю с ограниченными правами запрещен и это почему-то не противоречит политике, а остановить/запустить файловый монитор - это уже проблема? нелогично как-то.

[maxic]

Почувствуйте разницу: обновляет сервер (агент), а не юзер. Ограниченный юзер тут не имеет прав.

[p@uk]

ага, обновляет агент, это я знаю, в чем и является прелесть es. собственно и перешли с обычного доктора на es по этой причине... но пользователь то командует тоже через агента. а вот что можно делать агенту (читай пользователю) а что нельзя, назначается на сервере es из консоли администратора... имхо, очень даже справедливо! запретил в консоли в "права" станции что-то делать, вот и недоступны данные пункты пользователю (неважно админ он на станции или простой юзер).

[pig]

Если доводить эту идею до логического завершения, то администратор ES должен для рабочих станций раздавать права не только станциям в целом, но и пользователям, на них работающим. Тому можно, этому нельзя.

[p@uk]

возможно, но лично я не уверен в такой необходимости. редко когда на одной рабочей станции работает несколько человек да и еще с разными правами (речь про мою сеть). скорее это исключение. в таком случае админ es всегда может при необходимости временно подправить права станции.
другое дело ноутбук который в данный момент не подключен к серверу es, а гард блокирует файл из-за ложного срабатывания... как выйти из ситуации??
к тому же в консоли явно написано "редактирование прав станции такой-то" (именно СТАНЦИИ, а не пользователей)... если уж это станция - то давайте и распространять конфигурацию на станцию! а то в данный момент какое-то половинчатое решение

[Eugeny Gladkih]

p@uk

вам не кажется половинчатым то, что простой пользователь не может останавливать службы и устанавливать ПО?

[p@uk]

именно для этого его обделяют правами!
для установки по и запуска/остановки служб есть админ, который делает это один раз на рабочей станции. при наличии домена проблем вообще на порядок меньше. там если для рабочей станции политиками домена заблокировано запускать софт или службу - то будь ты локальный админ хоть в третьей степени - ниче не выйдет.
мы берем антивирус как часный случай. если уж конфигурим станцию - то именно (!)станцию(!) со всеми пользователями. если мы разрешили агенту стопать файловый монитор - то его можно стопать любому пользователю.

в общем, где-то так...

[userr]

другое дело ноутбук который в данный момент не подключен к серверу es, а гард блокирует файл из-за ложного срабатывания... как выйти из ситуации??

Это теория, или Вы реально столкнулись с такой проблемой? Тогда давайте конкретно.
Что-то мне ситуация "так же на ноуте два пользователя, один с админскими правами, другой обычный пользователь" - и при этом разные люди, пользователь не знает пароль админа - кажется надуманной

[p@uk]

Это теория, или Вы реально столкнулись с такой проблемой? Тогда давайте конкретно.

это прогнозируемая ситуация. к ней подтолкнул такой случай бывший с предыдущими версиями drweb. пользователь забирает письмо почтовым клиентом. spiderml "клинит" и почта не забирается. ситуация как положено происходит поздно вечером, почта забирается из дому, письмо очень важное и.д. и т.п. выход был. поставили spiderml "на паузу" (не помню как точно называлось на тот момент) письмо благополучно было скачано. хорошо что заранее в конфиге были прописаны необходимые опции для spiderml которые на тот момент в конфиге по умолчанию даже не присутствовали.
спрашивается: почему вдруг похожая ситуация НЕ может произойти с гардом?

Что-то мне ситуация "так же на ноуте два пользователя, один с админскими правами, другой обычный пользователь" - и при этом разные люди, пользователь не знает пароль админа - кажется надуманной

вы это серьезно??? вам мало в это верится? хм... меня чесно говоря очень удивило ваше предположение..
есть админ с правами админа, есть пользователи домена которые работают с правами пользователей, так на всех компах в сети. ни один пользователь не знает пароль администратора, ему это ненужно, ему это противопоказано!! зачем пользователю знать пароль админа?? устанавливать юзер ничего не должен, настраивать тоже, все политиками или локальным админом.

а ноутбуки с вистой - это вообще отдельная песня, они конечно не в домене, но пользователя два, админ для установки и настройки софта и т.д. и пользователь работающий с этим софтом. фсё!

почему-то я больше чем уверен - что это не просто нормальная практика, а так должно быть!!

[userr]

...ни один пользователь не знает пароль администратора, ему это ненужно, ему это противопоказано!! зачем пользователю знать пароль админа?? устанавливать юзер ничего не должен, настраивать тоже, все политиками или локальным админом.
...
почему-то я больше чем уверен - что это не просто нормальная практика, а так должно быть!!

Совершенно с Вами согласен. Я Вас немного спровоцировал.
Перечитайте своё замечательное логичное письмо и скажите - как в эту логику вписывается возможность для юзера отключать монитор антивируса? Да пользователь его насовсем отключит и дело с концом, скажет "работать мешает".

P.S. для ноутов всё-таки зачастую правило "работать только под юзером" нарушается, особенно если это ноут начальства.

[Borka]

как в эту логику вписывается возможность для юзера отключать монитор антивируса? Да пользователь его насовсем отключит и дело с концом, скажет "работать мешает".

Примерно так же, как вписывалось в 4.44

[userr]

как в эту логику вписывается возможность для юзера отключать монитор антивируса? Да пользователь его насовсем отключит и дело с концом, скажет "работать мешает".

Примерно так же, как вписывалось в 4.44

Мы как раз про 4.44 и говорим. ЕС 4.44.

[p@uk]

Перечитайте своё замечательное логичное письмо и скажите - как в эту логику вписывается возможность для юзера отключать монитор антивируса? Да пользователь его насовсем отключит и дело с концом, скажет "работать мешает".

за что будет жестоко наказан - убрав эту возможность в настройках агента, и мотивировать я буду это словами "сам виноват, мы тебя предупреждали"

P.S. для ноутов всё-таки зачастую правило "работать только под юзером" нарушается, особенно если это ноут начальства.

знаю, проходили, вот за такое "нарушение правила" и расплата бывает... сидишь потом с этим ноутом и выковыриваешь всякую пакость руками.

в общем я так понял фич-реквест писать бесполезно.. что-то я сторонников ненаблюдаю

[Borka]

как в эту логику вписывается возможность для юзера отключать монитор антивируса? Да пользователь его насовсем отключит и дело с концом, скажет "работать мешает".

Примерно так же, как вписывалось в 4.44

Мы как раз про 4.44 и говорим. ЕС 4.44.

А! Забыл. В 4.44 пункт недоступен, но работает net...

[basid]

как разрешить пользователю останавливать монитор?

Выдать права на останов и запуск службы spidernt?