Настройка пополнения баз Консультант+ от специализированной учетной записи

С целью обеспечения безопасности и возможности обслуживания комплекта Консультант+ сторонним субподрядчиком потребовалось настроить возможность автоматического обновления баз приложения от специально созданной доменной учетной записи без прав администратора — ConsUpdate. При этом данной УЗ выданы права на чтение и запись каталога, содержащего файлы приложения.

Запуск Консультант+ выполняется через исполнение сmd-файла, расположенного в домашнем каталоге пользователя.

@Echo Cons Automat Internet-Update

@del *.txt *.log *.mdp

start /w /min E:\Consultant\cons.exe /adm /receive_inet /yes /base* /i_sendlog /i_ondemo /sendstt /autoproxy /inettimeout=10 /process=1

exit

где:

start /w /min — ключи cmd.exe для запуска приложения с минимизацией окна и ожиданием завершения

/adm — запуск в режиме администратора (при этом имя пользователя должно быть внесено в файл Userlist.cfg)

/receive_inet — Запуск интернет-пополнения

/yes — пакетный режим запуска Консультант +

/base* - пополнение всех баз, включенных в BASELIST.CFG

/i_sendlog - Отправлять на сервер расширенную диагностическую информацию

/i_ondemo — обновлять демоверсии

/sendstt - Отправка файлов статистики по завершении операции

/autoproxy - автоопределение прокси-сервера

/inettimeout=10 — таймаут соединения с сервером обновлений

/process=1 - запуск в одном процессе(по умолчанию запускается по количеству логических ядер, при интернет-обновлении количество отличное от 1 может вызывать проблемы со стабильностью)

При попытке ручного старта задания в TaskSheduler получили Job failed to start.

Для выполнения .cmd-файла из планировщика заданий необходимо предоставить этой УЗ право Log on as a batch job ( Local Security Policy\Local Policies\User Rights Assignment\Log on as a batch job – добавить аккаунт).

Там же существует параметр Deny log on as a batch job, очевидно что используемая УЗ не должна входить в этот список.

После внесения ConsUpdate в Log on as a batch job запущенное вручную задание выполнилось корректно.

На следующий день выяснилось, что задание снова вывалилось с ошибкой Failed to start, несмотря на установку опции Run whether user logged or not.

В инфраструктуре заказчика было сконфигурировано хранение домашних каталогов пользователей на файловом сервере, комплект же Консультант+ был развернут на терминальном сервере. При логине пользователя на терминальном сервере домашний каталог был замаунчен, и задание выполнялось, при завершенной же сессии путь к cmd-файлу отсутствовал(и запуск задания от имени пользователя не воспринимался системой как логин ConsUpdate).

В связи с этим была создана отдельная папка C:\Users\ConsUpdate, на нее предоставлены права на чтение и запись для УЗ ConsUpdate, и туда помещен cmd-файл consupdate.cmd. Эта же папка была указана в поле Start in в параметрах задания.

В такой конфигурации задание выполнилось без ошибок и без залогиненного пользователя ConsUpdate.