問題タブ [rights]

pg_dumpall を使用して、psql データベースのバックアップを作成しています。pg_dumpall を実行するスーパーユーザー権限を持つユーザーがいます。すべて正常に動作します。

私の意見では、そのユーザーの権利を制限する方が良いと思います（念のため）。ですから、私の質問は、スーパーユーザー権限を持たずに pg_dumpall を適切に使用する権限を持つユーザーを作成できますか?

VS 2008 を使用して Windows フォーム アプリケーションを開発しています。アプリケーションは企業環境に展開されます。ネットワーク (VPN、LAN) は複数の都市にあり、多くの PC クライアントは Windows XP です。WinFormsアプリを使用するいくつかのWCFサービス、Windowsサービス、共有フォルダー、およびデータベースを備えた唯一のサーバーWin2003があります。ネットワークはドメインではなくワークグループです。

PC クライアントのユーザーには管理者権限がありません。唯一の管理者のみがアプリケーションをインストールできます。

すべてのユーザーに対して WinForms アプリケーションを「無人」でインストールするには、自動化された簡単な方法が必要です。PC クライアントに簡単にインストールしたい。

ClickOnce を使用したくありません。一度クリックを使用しないでください。これで、WinForms アプリの MSI (setup.exe) ができました。必要に応じて、別のプログラム、ソース コード、スクリプトなど、サンプル コードを教えてください。私のアーキテクチャネットワークに関する提案はありますか??

スキーマ内のユーザーのテーブルへのすべてのアクセスを拒否する方法を見つけました。

しかし、スキーマ内のすべての関数へのアクセスを制限して、ユーザーがコードを読み取れないようにするにはどうすればよいですか？

私はこれを試していました：

はい、機能を変更する機能は制限されていますが、実際には表示されません。

私は何を逃しましたか？

ある顧客のメディア ライブラリのセキュリティ権限を設定する際に問題があります。「Sitecore クライアント オーサリング」ロールには、メディア ライブラリ全体への読み取りアクセスのみを指定しました。これを行うにはアイテムを「保護解除」する必要がありましたが、Access Viewer は成功したことを通知します。その後、カスタム ロールのアクセス権を指定したいと考えました。そのカスタム ロールは、次のロールのメンバーです。

• sitecore\Sitecore クライアント フォーム作成者
• sitecore\Sitecore Client AccountManaging
• sitecore\Sitecore ClientAuthoring
• サイトコア\作者
• sitecore\Sitecore Marketeer フォーム作成者

問題は、アクセス ビューアーが (そのカスタム ロールのアクセス権を見ると)、sitecore\Sitecore Client Authoring アカウントに「item:write」が付与されているため、カスタム ロールがディレクトリ A に書き込み権限を持っていることを通知し続けることです。 「/sitecore/media library」アイテムへのアクセス権。Access Viewer で sitecore\Sitecore Client Authoring ロールを見ると、システムは別のことを教えてくれます。sitecore\Sitecore Client Authoring ロールには読み取り権限しかありません。

これは、この顧客のメディア ライブラリの基本構造です。

メディア ライブラリ

• ファイル

  • ディレクトリ A
  • ディレクトリ B
  • ディレクトリ C など

• 画像

  • ディレクトリ A'
  • ディレクトリ B'
  • ディレクトリ C' など

カスタム ロールに書き込みアクセス権が付与される理由を教えてください。

私はtermDBを持っています。各用語は、プライベートまたはパブリックにすることができます。
用語は にまとめられていprojectます。テーブルもあります
。user

public ステータスを処理してデータを取得する SQL を作成し、public を許可する必要があるかどうかが事前にわかっている場合、次のようになります。

SELECT * FROM term
JOIN project ON (project.id = term.id_project)
WHERE term.public = true（だったかもしれませんがWHERE public、このように明確です）

また

WHERE (term.public = true OR term.public = false)（完全にスキップできたかもしれませんが、このように明確です）

ただし、ユーザーとプロジェクトの組み合わせ ( user_project_mm) ごとに、非公開プロジェクトの表示が許可または禁止される場合があります。すぐに解決しようとすると、次のような結果が得られます。

SELECT * FROM term
JOIN project ON (project.id = term.id_project)
JOIN user_project_mm ON (user_project_mm.id_project = project.id)
WHERE user_project_mm.id_user = $currentUserID
[[IF user_project_mm.private THEN NOTHING ELSE AND term.public = true]]

[[]] 内のコードは明らかに SQL ではありません。これは、ここで必要なある種の SQL 書き換えです。追加するかどうかの決定AND term.publicは、特定の結果レコード フィールドごとに異なりますuser_project_mm.private。

LIMIT で行ったページネーションが台無しになり、とにかく汚いので、PHP で後処理したくありません。これに対するクリーンな SQL ソリューションはありますか? 私はそれを十分に明確に説明しましたか？

一部のマシンでは、サービスのインストール時に次のエラーが発生します。

Services.mscからネットワークサービスとして開始できないというだけで、サービスは正常にインストールされます。実行可能であるコンソールから開始すると、サービスが開始され、正常に実行されます...

Local System として開始された別のサービスでも同じことが起こります。

他のマシンではすべて問題ありません。問題なくネットワーク サービスとしてサービスが開始されます。

エラーが示すように、Windows の権限に問題があると思いますが、どのように確認すればよいですか? そして、何をすべきか？

ありがとう、アドリア

別のプロセスを開始するネイティブ Windows アプリケーションがあります。親プロセスから子プロセスの権限を制限することはできますか? 私はサンドボックスの線に沿って考えています。正確な要件はまだ完成していませんが、制限したい可能性があります。

• ファイルシステムへのアクセス
• レジストリへのアクセス
• 接続されたハードウェア (Web カメラ、プリンターなど) へのアクセス

特定の権限を持つユーザーを作成し、そのユーザーを使用してプロセスを開始できると思いますが、この場合、それは実際には良い解決策ではありません。アクセス権。何か案は？

カスタム roleprovider を実装しました。これにより、ロールを使用してサイトの一部へのアクセスを制限できます。ここで、2 人のユーザーが管理者ロールを持っている場合があります。ただし、user1 はコメントを追加でき、user2 はコメントを追加できません (user1 と user2 は管理者ロールを持っています)。

この問題を解決する最良の方法は何ですか?

Administrator.AddComment のようなロールを追加して、コントローラー アクションに入れることはできますか?

特別な権限を持たないユーザーがアプリケーション (サービスではない!) をアンインストールすることを禁止する必要があります。これを行う方法？インストールはドメイン管理者によって行われます

御時間ありがとうございます

[編集]また、Windowsの起動からアプリケーションを削除しないようにする必要があります

[EDIT1]明確にするために：アプリケーションは単純で、そのフォルダーにインストールされ、Windowsのスタートアップに追加されます（実際にはHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runレジストリに）。私が正確に必要としているのは、ローカル管理者ではなく一般ユーザーに対して、このフォルダーとこのレジストリ キーを削除することを禁止することです。

会社の社内プロジェクトとして作成している Wiki (MediaWiki を使用) の編集を制限しようとしています。

ページの作成者が次の 2 つのオプションのいずれかを指定しないか、いずれかを指定できるようにしたいと考えています。

• このページの作成者以外は、このページの内容を編集できません
• 誰でもこのページのコンテンツを編集できますが、変更が表示される前に、ページの作成者による承認が必要です (メール、wiki で直接、またはその他のものであるかどうかは関係ありません)。

作成者が 2 つのオプションのいずれも指定しない場合、誰でもページを編集でき、変更はすぐに表示されます (デフォルトの動作)。

私はネットを閲覧してきましたが、すぐに使える解決策が見つかりませんでした。LocalSettings ファイルの編集のおかげで、いくつかの素晴らしいカスタムを作成できましたが、これはできませんでした。

その機能の解決策はありますか？