Бизнес Навигатор и потребител с (много) ограничени права

Бизнес Навигатор е софтуерен продукт на Комерс Финанс. При инсталация по подразбиране единствено потребител с пълни права (администратор) може да работи с него. Това в много случаи е неприемливо и създава ненужни рискове.

Забележка:
Промените описани в тази статия заобикалят проблема, но нарушават препоръчителните настройки за сигурност. Това може да създаде потенциални входни точки за пробив в сигурността на работната станция.

За да работи Бизнес Навигатор от името на потребител с ограничени права трябва да се направят следните промени:

1. Бизнес Навигатор се стартира и лицензира веднъж от потребител с пълни права (администратор).

2. Ограниченият потребител трябва да се включи с права за запис и четене в настройките за сигурност (Security) на следните файлове:

– Всички файлове, папки и подпаки в C:\Nav

– Всички файлове, папки и подпаки в C:\NavZapl (за модул Заплати)

– C:\WINDOWS\NAV.INI

– C:\WINDOWS\NavZapl.INI

– C:\WINDOWS\MKDEMSG.LOG

– C:\WINDOWS\MKDEWE.TRN

– C:\WINDOWS\navdrvme.INI

– C:\WINDOWS\FRB_NLS.INI

3. Ограниченият потребител трябва да се включи с права за запис и четене на следните ключове (и техните подключове) в регистрите:

– HKEY_LOCAL_MACHINE\SOFTWARE\Btrieve Technologies

След тези промени потребителят с ограничени права може да работи безпроблемно с Бизнес Навигатор.

Драйверът за защита (navdrvme.exe) трябва да се стартира ежедневно за да имате право да ползвате Бизнес Навигатор. Той също не може безпроблемно да работи от потребител с ограничени права, защото създава (и обновява) файлове, подобни на:

C:\WINDOWS\Lfnpack.dat

C:\WINDOWS\Lfmpack.dat

C:\WINDOWS\System32\mcrworp.drv

C:\WINDOWS\System32\mcxworp.drv

Даването на права върху тези файлове не решава проблема и програмата дава грешка при стартиране. Проблемът може да се заобиколи по следния начин:

1. Създава се нов потребител, който да е локален администратор за работната станция (например navadmin).

2. От потребител с права на локален администратор се създава Scheduled Task с име navdrvbn (повече информация – http://support.microsoft.com/kb/308569). В тази задача се избира да се стартира файл C:\Nav\navdrvme.exe и да се стартира от името на локалния администратор, създаден в т.1 (navadmin).

3. Променят се правата (Security) на задачата така, че потребителя с ограничени права да има права да я стартира и променя.

4. От профила на ограничения потребител се създава файл startbndriver.cmd, който има следното съдържание:

schtasks /run /tn navdrvbn

exit

Този файл (или път към него) се слага в StartUp папката на потребителя (C:\Documents and Settings\име на потребителя\Start Menu\Programs\Startup). По този начин при всяко влизане в профила на ограничения потребител той ще стартира задачата (а с нея и драйвера за защита) от името на локалния администратор, без да се налага да знае неговата парола.

Вижте още статии