none
Проблема с правами доступа к очередям (Message Queuing) RRS feed

  • Общие обсуждения

  • Здравствуйте.
    Проблема моя в следующем: есть сервер, на котором собираются сообщения в очередях. Для каждой очереди назначены следующие права доступа (лишние не описываю):
    • Группа "XXX" - Full Control
    • Группа "SYSTEM" - Delete + Get Propirties
    В группу "XXX" на AD входят все компьютеры сети, включая тот, на котором находятся очереди. Сообщения из очередей читают сервисы, запускаемые под LocalSystem'ом. Проблема, собственно, в том, что при такой расстановке прав, сервисы доступа к очередям не имеют (Access is denied); если же группе "SYSTEM" дать соответствующие права, всё начинает работать.

    Вопрос в следующем: почему к службам не применяется правило группы "XXX", при том, что она запускается от имени системы, входящей в эту группу?
    Коллеги утверждают, что права должны суммироваться, но на деле видно, что права группы "XXX" не учитываются. Есть предположение, что в связи с тем, что и очереди, и сервисы расположены на одном сервере, запроса к AD на предмет его вхождения в группу "XXX" просто не происходит после того, как находятся права на группу "SYSTEM".
    12 февраля 2009 г. 14:16

Все ответы

  • BlackKeyKeeper написал:

    Здравствуйте.
    Проблема моя в следующем: есть сервер, на котором собираются сообщения в очередях. Для каждой очереди назначены следующие права доступа (лишние не описываю):

    • Группа "XXX" - Full Control
    • Группа "SYSTEM" - Delete + Get Propirties
    В группу "XXX" на AD входят все компьютеры сети, включая тот, на котором находятся очереди. Сообщения из очередей читают сервисы, запускаемые под LocalSystem'ом. Проблема, собственно, в том, что при такой расстановке прав, сервисы доступа к очередям не имеют (Access is denied); если же группе "SYSTEM" дать соответствующие права, всё начинает работать.

    Вопрос в следующем: почему к службам не применяется правило группы "XXX", при том, что она запускается от имени системы, входящей в эту группу?
    Коллеги утверждают, что права должны суммироваться, но на деле видно, что права группы "XXX" не учитываются. Есть предположение, что в связи с тем, что и очереди, и сервисы расположены на одном сервере, запроса к AD на предмет его вхождения в группу "XXX" просто не происходит после того, как находятся права на группу "SYSTEM".


    Используются исключительно ntfs permissions или share permissions так же участвуют ?

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    13 февраля 2009 г. 7:35
  • cognize_ написал:

    Используются исключительно ntfs permissions или share permissions так же участвуют ?


    Только NTFS Permissions.
    13 февраля 2009 г. 8:37