У пользователя группы iusr отсутствуют права на доступ к каталогу 1с
В одной конкретной папке в моем приложении мне нужно создавать и удалять файлы. После копирования файлов на новый сервер я продолжал видеть следующие ошибки при попытке удалить файлы:
Когда я проверяю IIS, я вижу, что приложение работает под учетной записью DefaultAppPool, однако я никогда не настраивал разрешения Windows для этой папки, чтобы включить IIS AppPool \ DefaultAppPool
Вместо этого, чтобы перестать кричать клиентов, я предоставил следующие разрешения для папки:
IUSR
- Читать и выполнить
- Список содержимого папки
- Читать
- Напишите
IIS_IUSRS
- Изменить
- Читать и выполнить
- Список содержимого папки
- Читать
- Напишите
Кажется, это сработало, но я обеспокоен тем, что было установлено слишком много привилегий. Я прочитал противоречивую информацию онлайн о том, нужен ли вообще IUSR здесь. Может ли кто-нибудь уточнить, какие пользователи / разрешения будет достаточно для создания и удаления документов в этой папке, пожалуйста? Кроме того, входит ли IUSR в группу IIS_IUSRS?
Обновление и решение
Пожалуйста, смотрите мой ответ ниже . Мне пришлось сделать это, к сожалению, поскольку некоторые недавние предложения не были хорошо продуманы или даже небезопасны (IMO).
Чтобы WordPress работал на IIS 8 на виртуальной машине Azure (Windows Server 2012 Datacenter), мне нужно было предоставить разрешения, которые вы перечислили для IIS_IUSRS, для IUSR для каталога блога в inetpub / wwwroot Работает нормально после добавления полного разрешения для папки для группы пользователей IIS_IUSRS. @ Thulasiram, но тогда вы предоставили все права всем пользователям IIS. Подумайте об этом с точки зрения хакера. Один слабый сайт, и они получают полный контроль над всеми остальнымиЯ ненавижу публиковать свой собственный ответ, но некоторые ответы недавно проигнорировали решение, которое я разместил в своем собственном вопросе, предлагая подходы, которые являются ничем иным как безрассудством.
Короче говоря - вам вообще не нужно редактировать какие-либо привилегии учетной записи Windows . Это только создает риск. Процесс полностью управляется в IIS с использованием унаследованных привилегий.
Применение прав на изменение / запись к правильной учетной записи пользователя
Щелкните правой кнопкой мыши домен, когда он появится в списке сайтов, и выберите « Редактировать разрешения».
Нажмите OK, чтобы добавить пользователя
Теперь, когда выбран новый пользователь (ваш домен), вы можете смело предоставлять любые разрешения на изменение или запись.
IUSR является частью группы IIS_IUSER. Поэтому я думаю, что вы можете удалить разрешения для IUSR, не беспокоясь. Дальнейшее чтение
Чтобы сделать его более безопасным, вы можете изменить IIS DefaultAppPool Identity на ApplicationPoolIdentity.
Что касается разрешения, Create и Delete суммирует все права, которые могут быть предоставлены. Поэтому все, что вы назначили в группу IIS_USERS, - это то, что им потребуется. Ни больше ни меньше.
Текст ошибки говорит сам за себя. Разделим его на 2 части: первая — « нет прав », вторая связана с « видом клиента », т. е. режимом запуска.
Это уведомление появляется в процессе входа в информационную базу 1С. Когда вы уже ввели свои имя пользователя и пароль.
При попытке открытия базы программа проверяет ваши полномочия (права) и отказывает, если вашему пользователю явно не разрешен тип клиента, с которого вы входите.
Закономерный вопрос, даже два:
- Где находятся эти разрешения и как их настроить?
- Какие типы клиентов бывают? — для проверки входа в другом режиме.
Если конфигурация типовая
- откройте 1С в режиме «Конфигуратор», войдите в меню « Администрирование — Пользователи », в списке выберите пользователя, у которого возникает ошибка;
- нажмите « Изменить », на вкладке « Прочее » назначьте необходимые роли и сохраните изменения.
Если конфигурация своя (нетиповая)
Возможно, в созданных ролях не указан тип запуска. Также зайдите в «Конфигуратор» и проверьте созданные роли. В ролях устанавливается разрешенный режим запуска различных приложений.
✅ Как видите, всё дело в правах. Причина в том, что у пользователя нет минимального набора прав для запуска программы.
Поэтому, первым делом проверьте какие полномочия установлены для учётной записи пользователя.
Варианты запуска программы 1С
📝 Всего — четыре, отличаются принципом работы и требовательностью к ресурсам ПК, на котором работаете. Рассмотрим подробнее.
1. Толстый клиент
Наиболее требовательный к ресурсам рабочей машины, поскольку обработка данных выполняется на компьютере пользователя. Здесь же хранятся необходимые для работы файлы.
Не зависит от Интернета, не представляет возможности удалённой работы. Для запуска толстого клиента используется файл 1cv8.exe .
2. Тонкий клиент
Представляет программную оболочку для доступа к серверу 1С. Привычный интерфейс меню и настроек, но, поскольку обработка происходит на сервере, не требователен к мощности оборудования.
Пользователю предоставлен ограниченный функционал, возможна работа как с удалённым сервером через Интернет, так и на самом компьютере в специальной программной среде. Запуск тонкого клиента выполняется файлом 1cv8c.exe .
3. Веб-клиент
Для работы понадобится веб-браузер и Интернет-соединение. Нет привязки к месту работы. Нагрузка на оборудование минимальная, так как вычисления происходят на удалённом сервере. Веб-клиент системы 1С функционирует под управлением браузера.
4. Конфигуратор
Специальный режим для тонкой настройки программы, работающий только при использовании толстого клиента.
Если у вас не получается настроить роли, проверьте каким образом вы открываете приложение 1С. Возможно, вы запускаете не « 1cestart.exe », а открываете напрямую приложение 1cv8.exe (толстый клиент).
Выберите ярлык 1С, нажмите правую кнопку мыши и откройте «Свойства». На вкладке « Ярлык » в поле «Объект» поменяйте название запускаемого приложения на 1cv8c.exe (тонкий клиент), нажмите «ОК».
Если открывается менеджер 1cestart
Попробуйте принудительно в свойствах подключения к ИБ установить необходимый вам режим, сняв признак «Выбирать автоматически».
Использование веб-сервера и публикаций информационных баз — один из способов оптимизации 1С. Особенно при работе с ИБ в файловом варианте. Так безопаснее. Сотрудники подключаются к ИБ 1С через браузер или тонкий клиент , не имея прямого доступа к файлам.
В статье расскажем, как решали возникающие вопросы по настройкам Internet Information Services. Через призму своего опыта и коллег.
Сертификат выдается сроком на 90 дней. Для автоматического продления создается периодическое задание в Планировщике. При запуске задачи сайт должен быть доступен (пройти проверку домена) по 80-му порту.
II. Типовая настройка и публикация информационных баз на IIS
На что обратить внимание:
1. Состав компонентов IIS — в Интернете полно инструкций и указаний. Повторяться не будем.
2. Установка 1С необходимой разрядности . Варианта 2: x86 (32-разрядное приложение) или x64. Обязательно выбираем «Модули расширения веб-сервера».
3. Права для встроенной группы /пользователю веб-сервера (IUSR) на папки:
- с установленной платформой — на «чтение и выполнение» (для старта процессов);
- самих расположений ИБ — на «изменение» (в случае файлового варианта).
4. Публикация базы через Конфигуратор 1С . Возможно потребуется открыть программу с повышенными правами — «Запуск от имени администратора».
5. Для 32-разрядного клиента 1С в диспетчере IIS включаем разрешение запуска ( DefaultAppPool — Дополнительные параметры — Разрешены 32-разрядные приложения = True ). Для 1C x64 — значение не меняем.
6. На странице сопоставления обработчиков для «1С Web-service Extension» потребуется указать путь к исполняемому модулю :
- x86 — «C:\Program Files (x86)\1cv8\8.3.x.xx\bin\wsisapi.dll»;
- x64 — «C:\Program Files\1cv8\8.3.x.xx\bin\wsisapi.dll».
Либо изменяем путь к библиотеке в файлах web.config через Блокнот (располагается, как правило, в c:\inetpub\wwwroot\<имя базы>).
Если в п. 2 все сделано правильно — по указанному пути должен присутствовать файл wsisapi.dll.
7. В частных случаях требуется перезапуск служб IIS . Выполните «Перезапустить» в оснастке управления или перезагрузите сервер.
✅ Соблюдаем соответствие разрядности: если запускаем и публикуем 64-разрядный клиент 1С:Предприятие, то dll также должна быть 64-битной версии.
Если публикуем 32-разрядную версию 1С, то ставим разрешение запуска 32-разрядных приложений на IIS и проверяем путь к wsisapi из каталога x86.
III. Если клиент 1С зависает при подключении к базе по web
Прежде посмотрите этот материал — там общие рекомендации.
Другой случай. Файловая ИБ опубликована на IIS. После авторизации зависает на эмблеме 1С. При открытии Конфигуратора — все нормально.
В журналах Windows ошибка «Процесс, обслуживающий пул приложений "1С", не ответил на команду ping».
- проверьте права на папку с базой 1С для IUSR/IIS_IUSRS, уровень доступа — на «изменение»;
- в оснастке IIS «Пулы приложений — <пул_1С> — Дополнительные параметры — Модель процесса» задайте для « Максимальная задержка отклика при проверке связи » значение, превышающее 90 секунд;
- посмотрите на поведение IIS при «Проверка связи включена» = False.
📝 Из справки: установка [pingingEnabled] (Проверка связи) в значение false не позволит IIS проверять, выполняется ли рабочий процесс, и таким образом сохранит его активным до остановки процесса отладки.
✅ Установка «Максимальное время отклика пинга» в большое значение позволит IIS продолжать наблюдение за рабочим процессом.
Информационная база 1C опубликована на IIS. При работе через тонкий клиент, при нажатии на «Отчеты» вываливается ошибка.
Описание: Необработанное исключение при выполнении текущего веб-запроса. Изучите трассировку стека для получения дополнительных сведений о данной ошибке и о вызвавшем ее фрагменте кода.
✅ Откройте настройки пула приложений и проверьте «Режим управляемого конвейера» = «Classic».
Типовой функционал, встроенный в прикладные решения 1С
Настройка и доработка 1С:Документооборот для борьбы с ошибками. Гарантия на все результаты работ.
Оперативные консультации по 1С без предоплаты. Не тратьте время - мы поможем решить проблему любой сложности.
Идеально подходит для средних, крупных компаний и холдингов со сложной организационной структурой и сложным документооборотом.
Распространение мобильных устройств и доступный интернет диктуют свои условия, поэтому возможность работы с 1С через удаленный доступ воспринимается как сама собой разумеющаяся. Поэтому настроить веб-доступ к базе 1С:Предприятие, работающей в файловом режиме, не составляет труда: в этом случае компьютер выступает в роли файлового сервера, а другие пользователи обращаются к данной информационной базе.
Публикация информационной базы на веб-сервере избавляет от необходимости устанавливать дополнительные компоненты 1С – достаточно любого веб-браузера, чтобы работать не только в режиме тонкий клиент, но и через браузер. Помимо этого доступ к информационной базе можно получить из любого места и любого устройства.
Рассмотрим на примере программы 1С:Документооборот публикацию базы на веб-сервере и организацию веб-доступа к ней. Чтобы организовать веб сервер 1С:Документооборот, можно использовать бесплатные продукты – Apache* сервер и Internet Information Server (IIS), который входит в состав операционных систем фирмы Microsoft. В этой статье мы рассмотрим вариант публикации с использованием IIS. Для его использования не требуется скачивать дополнительно программное обеспечение, достаточно активировать установку компонентов 1С.
О публикации на веб-сервере, используя Apache, подробнее можно узнать в статье Публикация 1С 8.3 на Apache
Установка модулей расширения веб-сервера
Для установки модулей необходимо или запустить установку платформы, или изменить имеющуюся установку и активировать соответствующий компонент. В нашем примере программа уже установлена, поэтому мы ищем в разделе «Приложения и возможности» (в другом варианте операционной системы может быть «Программы и компоненты») программу 1С в списке установленных компонент и нажимаем кнопку «Изменить».
В открывшемся окне оставляем переключатель в положении «Изменить» и нажимаем кнопку «Далее».
Выбираем и списка «Модуль расширения веб-сервера» и нажимаем кнопку «Далее».
Далее, следуя предложенным шагам, устанавливаем данный компонент на компьютер.
Читайте также: