Top menu

После распространения файла с настройками агента DeviceLock Service (.dls), содержащими учётные записи локальных пользователей клиентского компьютера, на нём некорректно применяются разрешения DeviceLock для пользователей или групп

ОПИСАНИЕ

Настройки доступа пользователей к портам / устройствам, распространённые на клиентские компьютеры с помощью файла настроек агента DeviceLock Service (.dls) применяются некорректно (напр., не предоставляется доступ к порту / устройству).

КОММЕНТАРИЙ

Возможной причиной проблемы может являться созданный при помощи консолей DeviceLock Service Settings Editor или DeviceLock Management Console файл настроек агента DeviceLock (.dls), который содержит разрешения для локальных учётных записей пользователей / групп клиентского компьютера.

Файл настроек агента DeviceLock (.dls) наряду с именем учётной записи пользователя / группы содержит информацию о SID (Идентификатор безопасности, security identifier), присвоенный данной учётной записи на компьютере, на котором она была создана. Однако, на разных компьютерах учётные записи пользователей / групп будут иметь разные SID. Так как операционная система, в основном, работает со значением SID, она не может разрешить SID, полученный из файла настроек агента DeviceLock, в имя пользователя / группы.

РЕКОМЕНДАЦИИ

1. Не используйте файл настроек (.dls) для распространения настроек, применяемых к локальным учётным записям пользователей. Используйте DeviceLock Management Console для подключения к каждому агенту DeviceLock и индивидуальной настройки разрешений DeviceLock.

2. Ниже приведено описание недокументированной процедуры редактирования файла настроек агента для того, чтобы локальные учётные записи пользователей / групп могли правильно разрешаться на различных компьютерах:

- Откройте файл настроек DeviceLock в любом текстовом редакторе (например в Блокноте);
- Для каждого правила доступа и/или правила Аудита/Теневого Копирования (Shadowing) удалите параметр "SID=  ...." и имя компьютера, привязанное к имени пользователя.

ПРИМЕР

Файл .dls содержит следующую информацию

<Removable>
           <Discretionary>
                <Permission Allow="1" SID="S-1-5-21-1801907219-2944528423-2448991922-1000" AccessMask="0xffffff" TimeMask="ffffffffffffffffffffffffffffffffffffffffffffffffffffffffff" Name="p4support2\User1"/>
            </Discretionary>
        </Removable>

Данные разрешения для съёмных устройств (Removable) должны быть заменены на следующие:

<Removable>
            <Discretionary>
<Permission Allow="1"  AccessMask="0xffffff" TimeMask="ffffffffffffffffffffffffffffffffffffffffffffffffffffffffff" Name="User1"/>
            </Discretionary>
        </Removable>