Архив форума A-Number CRM

 

Проблема с A-number в домене

ZlojDiadia
Пользователь

Наблюдающий
Постов: 6
graphgraph
 
Проблема с A-number в домене - Добрый день.
Перво наперво, спасибо Вам за Ваш труд. Снимаю шляпу, бью челом

Теперь собственно ситуация:

Конечная цель:
Запустить Ваше детище в рамках домена.

Дано:
1) SQL-сервер ставил не Ваш с сайта, а обычный, лицензионный MS SQL Server 2008
SQL и AD стоят на одном и том же сервере(лишних серверов нет).
2) Установил A-Number.
3) Запустил - все работает.
4) Обрадовался грамотности продукта и простоте работы с ним.
5) Попробовал запустить на другой машине состоящей в данном домене и увидел "SQL сервер не найден".
Проблемы со связью исключены.
6) Попробовал подключиться к SQL серверу через A-Number с любой машины в рамках домена из под своей, админской учетной записи - все работает.
7) Из под записи рядового пользователя - "SQL сервер не найден".
8) Стоит любого пользователя добавить в группу Domain Admins - все работает.
Ограничения из групповых политик никак на ситуацию не влияют. Единственное необходимое условие - присутствие в группе Domain Admins.
9)Следовательно все дело в правах.

Теперь собственно главный вопрос: в правах к ЧЕМУ?
На что нужны rw права пользователю для нормальной работы A-Number?

Вариантов так много, что решил написать Вам. Может уже были такие вопросы и есть готовый ответ?


Зараннее спасибо за помощь.
 
admin
avatar Администратор

Администратор
Постов: 2728
graph
 
В ответ на: Проблема с A-number в домене - Ни в коем случае не надо добавлять пользователей в админские группы, не к чему это им !! ;о))

Самый простой вариант, это подключаться не через домен (Опция- NT безопасность, в окне коннекта программы), а через аутентификацию самого MS SQL , для этого надо выбрать второй вариант - Имя и пароль на MS SQL Server , и соответственно вести логин и пароль !! При этом после удачного соединения, программа сохранит пароль входа в зашифрованном виде (и Вам не придется беспокоиться о его сохранности), а пользователю не придется вводить данные заново !!

Если хотите пускать к серверу всех именно через домен , тогда будем разбираться, вариантов (кто рубит коннект) много !! ;о))
 
admin
avatar Администратор

Администратор
Постов: 2728
graph
 
В ответ на: Проблема с A-number в домене - Ну и чем дело кончилось ?? ;о))
 
ZlojDiadia
Пользователь

Наблюдающий
Постов: 6
graphgraph
 
В ответ на: Проблема с A-number в домене - Пока ничем.
Уезхал, не успев доделать.
Но сам факт переноса всех пользователей из АД в SQL немного напрягает
И ладно у меня их впринципе немного в данном конкретном случае. А если их 300? Всех ручками еще раз заводить, а потом следить за 2-умя базами пользователей и прав? Или VBS скрипты писать для автоматизации процесса?
Как-то прямо скажем неэлегантно нихрена

В ближайшие несколько дней поковыряюсь. Отпишусь по результатам.
 
admin
avatar Администратор

Администратор
Постов: 2728
graph
 
В ответ на: Проблема с A-number в домене - Ковыряться не надо, если хотите пускать к SQL через домен, то никто Вам этого не запрещает !!

(На компьютере с MS SQL) Свойства системы - Удаленные сеансы - выбрать опцию - Разрешить удаленный доступ к этому компьютеру - (если надо ограничить по пользователям) жмем кнопку - Выбрать удаленных пользователей.

По поводу "неэлегантно нихрена" - назовите мне хоть одну клиент-серверную систему , где не надо назначать пользователям свойства соединения и которая игнорируя все запреты Администратора системы соединяется с сервером автоматически ??
 
ZlojDiadia
Пользователь

Наблюдающий
Постов: 6
graphgraph
 
В ответ на: Проблема с A-number в домене - Сел сейчас разбираться.
Вот уже прочитал про необходимость добавления пользователей в RemoteDesktopUsers на серверной машинке.
К сожалению это необходимое, но не достаточное действие.

Про "неэлегантно ни хрена" предлагаю тему не развивать. Неконструктивно Каюсь если задел Вас этим.

Сейчас создал в домене пользователя XXX и пытаюсь разобраться, что же мне с ним эдакого сделать, чтоб он таки подключился.
На данный момент у пользователя ХХХ следующие полномочия:
1) Добавлен в обычные пользовательские группы домена(как рядовой сотрудник)
2) Добавлен в RemoteDesktopUsers + на всякий случай и для удобства тестирования в политиках ему разрешено LogOnLocally.
3) Добавлен во все группы, которые создал в домене SQL Server при установке.
4) Даны rwx права на папку с SQL базой.

Сижу сейчас под ним по RDP и пытаюсь подключиться к серверу через "NT безопасность"

Результат тот же: При подключении "Невозможно найти сервер или базу."
Под админом домена: Все работает.

Вообще при работе рядового пользователя в A-Number какие используются папки на сервере? Под временные файлы или еще под что? На данный момент мой XXX не имеет прав на запись никуда на сервере, кроме как в папку базы SQL. И судя по всему этого мало.
 
admin
avatar Администратор

Администратор
Постов: 2728
graph
 
В ответ на: Проблема с A-number в домене - 4 пункт, лишний , можете закрыть доступ к директории с SQL !!

Можно попросить Вас создать любую папку на сервере, расшарить ее , положить в нее любой текстовой файл и получить доступ на чтение к этому файлу , под простым пользователем, что будет ??
 
ZlojDiadia
Пользователь

Наблюдающий
Постов: 6
graphgraph
 
В ответ на: Проблема с A-number в домене - Остановился на том, чтоб завести руками всех в SQL, как мне сразу и посоветовали. Так будет быстрее и так все сразу работает.
Спасибо большое за помощь.
И за продукт.
 
ZlojDiadia
Пользователь

Наблюдающий
Постов: 6
graphgraph
 
В ответ на: Проблема с A-number в домене - admin писал(а):
4 пункт, лишний , можете закрыть доступ к директории с SQL !!

Можно попросить Вас создать любую папку на сервере, расшарить ее , положить в нее любой текстовой файл и получить доступ на чтение к этому файлу , под простым пользователем, что будет ??


Под простым пользователем только прочитать и даст.
На данный момент я в MS SQL Managment StudioSecurityNewLogin завел пользователя из AD выдал ему ручками права в рамках SQL + добавление в RemoteDesktopUsers = все работает.
Танцы с бубном на права к файлам действительно не нужны вообще.

Хлопотно немного, но не поломаюсь
Да и в конечном итоге так быстрее будет.
Еще раз спасибо за помощь.
 
admin
avatar Администратор

Администратор
Постов: 2728
graph
 
В ответ на: Проблема с A-number в домене - Нет уж, давайте уж разберемся !! ;о))

Прошел ли тест, с доступом к файлу ??

Если да, то давайте попробуем создать ODBC соединение, вот здесь, краткая справка как это сделать :

http://a-number.com/index.php?option=com_content&task=view&id=131
 
admin
avatar Администратор

Администратор
Постов: 2728
graph
 
В ответ на: Проблема с A-number в домене -
На данный момент я в MS SQL Managment StudioSecurityNewLogin завел пользователя из AD выдал ему ручками права в рамках SQL


На самом деле, первоначально в свойствах SQL сервера, на вкладке Active Directory, надо нажать кнопку Add (Adds this instance of SQL Server to Active Directory), и тогда пользователей не надо будет заводить руками !!
 
Vitall
avatar Пользователь

Мастер
Постов: 226
graphgraph
 
В ответ на: Проблема с A-number в домене - ZlojDiadia, такое ощущение что вы пытаетесь подключиться к серверу через NT аутентификацию, а не через внутреннюю SQL-ную.
Это так? В этом у вас есть какой-то умысел?
 
ZlojDiadia
Пользователь

Наблюдающий
Постов: 6
graphgraph
 
В ответ на: Проблема с A-number в домене - admin писал(а):
Нет уж, давайте уж разберемся !! ;о))

Прошел ли тест, с доступом к файлу ??

Если да, то давайте попробуем создать ODBC соединение, вот здесь, краткая справка как это сделать :

http://a-number.com/index.php?option=com_content&task=view&id=131



Ну давайте разбираться
Только на всякий случай задокументирую вот что:
Думаю, итак уже понятно, что на роль спеца по SQL и CRM я не претендую.
(собственно первый раз CRM взялся настраивать и MS SQL 2008 тоже первый раз вижу, спасает только хороший багаж общих знаний)
Поэтому если вдруг что, не надо метать в меня чайники.

Теперь по сущетсву:
1) С доступом к файлу проблем в принципе быть не может, потому что рядовой юзер по-умолчанию читать файлы на сервере. В случае C:Windows* или подобном, сам разрешу читать при необходимости.

2) По ODBC:
Microsoft SQL Server ODBC Driver Version 06.00.6002

Running connectivity tests...

Attempting connection
Connection established
Verifying option settings
Disconnecting from server

TESTS COMPLETED SUCCESSFULLY!

3) "На самом деле, первоначально в свойствах SQL сервера, на вкладке Active Directory, надо нажать кнопку Add (Adds this instance of SQL Server to Active Directory), и тогда пользователей не надо будет заводить руками !!"(с)

Вот тут бы поподробнее
Я к сожалению такой чудо-кнопки в MS SQL Server Managment Studio не обнаружил. Видать плохо искал.


4) "ZlojDiadia, такое ощущение что вы пытаетесь подключиться к серверу через NT аутентификацию, а не через внутреннюю SQL-ную.
Это так? В этом у вас есть какой-то умысел?"

Да это так. Умысел прост как медный таз - минимизировать процесс настройки и дальнейшего сопровождения.

Обрисую еще раз картинку.
Мне не понравилась изначально идея заводить каждого нового сотрудника: в АД+давать права, в SQL+давать права, в A-Number+давать права.
Если пункт "A-Number+давать права" вполне оправдан и логичен, то хотелось хотяб заведение в АД и SQL свести в одно целое. В общем то это уже у меня получилось. И пользователи уже ходят в A-Number через "NT аутентификацию". Единственный ньюанс что завожу на данном этапе сначала в АД потом из АД добавляю нового пользователя в Logins SQL Server'а + выдаю права на rw для CRM'овской базы. И потом уже внутри A-Number раздаю все.

Т.к. я не спец, спрашиваю: Не через зад ли я все делаю? Может еще проще и комфортнее можно?

P.S. Изначальная проблема с "Невозможно найти сервер или базу." при подключении рядового пользователя фактически была решена заведением его в SQL Logins и выдачей ему правильных прав на правильные базы.
 
admin
avatar Администратор

Администратор
Постов: 2728
graph
 
В ответ на: Проблема с A-number в домене - В принципе Вы уже добились нужного результата, пользователи идут к MS SQL через домен !!


Не через зад ли я все делаю? Может еще проще и комфортнее можно?


Не знаем даже , как определить что сложно , а что нет !!
Даю ссылочку, переходите сразу к 6 пункту, а потом сами решите, что является более простым решением !! ;о))

http://www.petri.co.il/installing-active-directory-windows-server-2008.htm
 
Vitall
avatar Пользователь

Мастер
Постов: 226
graphgraph
 
В ответ на: Проблема с A-number в домене - Да это так. Умысел прост как медный таз - минимизировать процесс настройки и дальнейшего сопровождения.
Проще сделать так: создаёте в SQL одного(!) пользователя (или используете встроенного) с нужными правами и именно через него все пользователи подключаются к базе (используя встроенную SQL аутентификацию) и больше SQL правами голову не забиваете.
Остаётся заводить пользователей в домене и в CRM. Этого в любом случае не миновать, и при адекватной настройке групп трудозатраты минимальны.

Собственно что и было предложено в 1м ответе, но по моему небыло до конца прочувствовано вопрошающим
 
Ronin
Пользователь

Эксперт
Постов: 35
graphgraph
 
В ответ на: Проблема с A-number в домене - сегодня с толкнулся с тойже бедой. последняя мысль - создать одного пользователя sql - и ее прописать в авторизации црм- хм, надо попробовать. опять же - какие надо выставить етому юзеру права в sql сервере. по поводу набива sql копиями пользователей ад - я думаю вариант добавить туда просто группу - Пользователи домена - более удобен. главное что ето один раз и навсегда так сказать
Кстати- поставил етой группе в sql сервере права админ сервера- стало всех через црм подключать к базе без проблем. но мне кажется что ето не правильно (всмысли права такие). Вот. хотелось бы тоже услышать элегантное решение этого вопроса... Спасибо.
 
admin
avatar Администратор

Администратор
Постов: 2728
graph
 
В ответ на: Проблема с A-number в домене - Такой юзер есть по умолчанию - sa !!
Но Вы правы, что по теории, пускать к сиквелу юзеров с правами админа, не есть хорошо, но ...
юзер может сотворить что-то злонамеренно только в том случае, если он знает пароль, но ведь настройку соединения будете производить Вы, и права в самой базе к которой он будет коннектиться определяете также Вы !! Значит вопрос с безопасностью решен , так как к системным базам, через коннектор программы подключиться нельзя !!

Я не вижу причин для беспокойства !! :о))
 
© 2005 - 2015 A-Number Software. Все права защищены                          Написать письмо