Ax 4.0 SP1. Клиент не коннектится к AOSу

[doo]

ситуация такая. я захожу в 4-ку нормально и с ноута и с сервера. но коллега мой этого сделть не может. я. захожу в список пользователей. добавляю его туда, прописываю домен, прописываю код пользователя (такой же как и псевдоним. правильно ли это?) и при попытке поставить галку "активный" аксапта мне говорит: "Этот счет пользователя не существует в Active Directory." как сие понимать?

[mazzy]

Цитата:

Сообщение от doo

и при попытке поставить галку "активный" аксапта мне говорит: "Этот счет пользователя не существует в Active Directory." как сие понимать?

Варианты:
1. вы неправильно указали имя пользователя или домен
2. Аксапта не имеет права обращаться к АктивДиректори (либо служба, либо сам сервер)
3. АктивДиректори выключен (или физически недоступен) в момент установки галочки.

[doo]

Цитата:

Сообщение от mazzy

Варианты:
2. Аксапта не имеет права обращаться к АктивДиректори (либо служба, либо сам сервер)
3. АктивДиректори выключен (или физически недоступен) в момент установки галочки.

2. что нужно сделать, чтоб она получила эти права?

а почему тогда я спокойно захожу? и ещё. аксапта (?) сама прописала меня в пользователей с кодом пользователя "Admin". это правильно?

[mazzy]

Цитата:

Сообщение от doo

2. что нужно сделать, чтоб она получила эти права?

1. Прочитать доку
2. Самый грубый метод - включите доверительные отношения между сервером и компом на котором установлен AOS.

Цитата:

Сообщение от doo

а почему тогда я спокойно захожу?

Потому что вас она определила на этапе установки.
Определила от вашего имени и с вашими правами.

А пользователей она добавляет от имени AOS'а и с правами AOS'а.

Цитата:

Сообщение от doo

и ещё. аксапта (?) сама прописала меня в пользователей с кодом пользователя "Admin". это правильно?

Правильно ли это? Это религиозный вопрос, на который очень трудно дать однозначный ответ. Я, например, считаю, что это неправильно.

Что можно сказать совершенно однозначно: да Аксапта делает именно так, она привязывает к Администратору того пользователя, который первым запустил клиента Аксапты после установки AOS'а.

[gl00mie]

Цитата:

Сообщение от doo

2. что нужно сделать, чтоб она получила эти права?

по умолчанию эти права (на чтение AD) есть практически у всех, в т.ч. у учетных записей компьютеров, входящих в домен и, соотв., у служб, запущенных под local system на таких компьютерах. Другое дело, что в случае с local system и другими встроенными учетными записями w2k при чтении данных из AD ведет себя несколько иначе, нежели w2k3. Небольшое исследование по этому поводу можно найти в теме AX-4.0 Права для службы под которой работает сервис AOS

Цитата:

Сообщение от doo

аксапта (?) сама прописала меня в пользователей с кодом пользователя "Admin". это правильно?

Хм... "If nothing else helps - read, finally, instruction!" © Закон Мерфи

Цитата:

Сообщение от mazzy

А она не по именам разбирает, а по SID'ам.
В простейшем случае, SID'ы можно найти в реестре.

Чтобы не гадать, чья ветка реестра к кому относится, можно воспользоваться утилитой whoami из w2k3 (с параметром /user) или из winxp support tools (с параметрами /user /sid).

Цитата:

Сообщение от mazzy

На контроллере ActiveDirectory SID'ы хранятся в базе AD, а не в реестре. Но суть в том, что имя сейчас мало что значит, хотя по нему проверка все еще идет.

Я в тестовой базе менял SID у "постороннего" пользователя на свой - и AX4 после этого осуществляла вход именно под тем пользователем, у которого был найден нужный SID, несмотря на то, что логин у него в базе прописан был совершенно другой. Также, мне кажется, о чем-то должно говорить наличие на таблице userinfo индексов всего по двум полям - ID и SID.

[mazzy]

Цитата:

Сообщение от gl00mie

whoami ...с параметром...

О! Там параметры есть!!!
О-О-О-О-О!

[KiselevSA]

Цитата:

Сообщение от gl00mie

Я в тестовой базе менял SID у "постороннего" пользователя на свой - и AX4 после этого осуществляла вход именно под тем пользователем, у которого был найден нужный SID, несмотря на то, что логин у него в базе прописан был совершенно другой. Также, мне кажется, о чем-то должно говорить наличие на таблице userinfo индексов всего по двум полям - ID и SID.

Интересно будет проверить реакцию Axapta, когда ей в качестве SID в базе подсунут идентификатор группы (пометил для себя: провести эксперимент, когда будет "своя" четверка)

[gl00mie]

Цитата:

Сообщение от KiselevSA

Интересно будет проверить реакцию Axapta, когда ей в качестве SID в базе подсунут идентификатор группы

Да ничего интересного: можно записать мусор в базу данных, но нельзя подсоединиться к серверу Axapta, в качестве SID пользователя "предъявив" SID группы пользователей, точнее, нельзя в виндах создать security context пользователя, у которого был бы SID группы пользователей, и запустить в этом контексте клиента Axapta; если знаете штатный способ это сделать - просветите. Даже если с помощью грязного хака подменить данные, которые передаются по сети от клиента к серверу по RPC, все равно там используется packet integrity, и тут снова ждет облом. А до установления связи по RPC с использованием NTLM-аутентификации сервер на ваш "левый" SID даже смотреть не станет...