Тема: SysExcelApplication в пакетнике
Показать сообщение отдельно
Старый 27.11.2014, 14:17   #10  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5803 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Здорово, что все в итоге заработало, но для истории - небольшие уточнения.
Цитата:
Сообщение от ex3em Посмотреть сообщение
выяснилось что в серверном режиме, при создании книги add, Excel активно начинает использовать папку
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files
Ну вот, а говорите, что
Цитата:
Сообщение от ex3em Посмотреть сообщение
Сохранение документа Excel - был изучен вчера, все настройки вчера сделал.
А там как раз указывается необходимость настройки доступа на пару каталогов в системном профиле.
Цитата:
Сообщение от ex3em Посмотреть сообщение
все процессы запущенные в серверном режиме выполняются от имени Network Service.
Это не совсем так. В данном случае АОС активирует Excel через DCOM. Под какой учетной записью при этом будет работать Excel, задается в настройках DCOM для него:
Цитата:
Сообщение от gl00mie Посмотреть сообщение
Здесь я исхожу из того, что на вкладке Identity мы выбрали запуск DCOM-сервера под тем пользователем, который собственно его запускает (The launching user) - это логично, раз мы решили ограничить права самого AOS'а.
То, что у вас доступ идет от имени Network Service, говорит о том, что либо в DCOM-настройках указано запускать Excel под Network Service, либо указано запускать его под тем же, кто активирует DCOM-сервер, и при этом под Network Service у вас работает AOS.
Цитата:
Сообщение от ex3em Посмотреть сообщение
Дать права на папку Temporary Internet Files не удается, нет вкладки Security, Дал права для Network Service в консоле Local Users And Group - управлении компьютером. Добавил Network Service в группу Power Users. Все заработало.
Можно дать права на вышележащий каталог
%SystemRoot%\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows, а вот добавлять Network Service в группу Power Users - необдуманно с т.з. безопасности и принципа минимально необходимых привилегий. Network Service - это специальная "бесправная" учетная запись, единственное существенное право которой - аутентифицироваться на других хостах под учеткой "своего" хоста. В то же время, входя в Power Users, можно легко стать локальным администратором, а это фактически выводит Network Service на уровень Local System (не путать с Local Service).
За это сообщение автора поблагодарили: Logger (3).