Privilèges/propriétaire problème lors de l'écriture dans C:\ProgramData\

Comme l'a souligné dans L'écriture dans le fichier de config C:\Program Files (x86)\MyApp\myapp.cfg, contre des privilèges d'Administrateur, il est pas une bonne idée d'écrire un fichier de config dans C:\Program Files (x86)\MyApp\myapp.cfg.

Au lieu de cela, mon logiciel enregistre ses données dans un sous répertoire de %ALLUSERSPROFILE% (ex : C:\ProgramData\MyApp\myapp.cfg sur Win7)

[J'utilise myfile = open(filename, 'a') en Python pour ce faire.]

Maintenant, je rencontre un problème sur ce fichier :

  • J'ai installé le logiciel avec User A, et il a couru, puis le fichier C:\ProgramData\MyApp\myapp.cfg a été écrit.
  • Puis, j'ai changé d'utilisateur pour User B, et a couru de nouveau mon logiciel : maintenant, une erreur s'affiche : User 2 n'a pas le droit d'écrire dans C:\ProgramData\MyApp\myapp.cfg (Permission denied).

Pourquoi? N'est-ce pas %ALLUSERSPROFILE% un lieu qui peut être écrit par tous les utilisateurs?
Comment résoudre ce problème ?

  • Réitérer l'un de David points qui peut avoir été perdu dans la discussion suivante, assurez-vous que c'est vraiment ce que vous devriez faire avant de le faire. C'est assez rare pour qu'elle ait un sens pour une application de configuration de partage de données entre utilisateurs. Habituellement, chaque utilisateur doit avoir son propre fichier de configuration. (Si Fred et George partagez un ordinateur, et Fred veut de votre application pour avoir un fond bleu, mais George veut avoir un rouge?)
InformationsquelleAutor Basj | 2014-02-28
  1. 34

    Non, C:\ProgramData, aka FOLDERID_ProgramData, a limité les paramètres de sécurité. Standard, les utilisateurs peuvent créer des fichiers. Mais ces fichiers ne sont, par défaut, sécurisé, de sorte que seul l'utilisateur qui a créé le fichier peut ensuite modifier le fichier.

    La solution recommandée est de votre programme d'installation pour créer un sous-répertoire de C:\ProgramData pour le stockage partagé. Et que le sous-répertoire doit être permissif ACL par le programme d'installation. C'est ce que les subventions de l'accès souhaité à tous les utilisateurs standard.

    Je me demande si vous avez vraiment besoin partagé accessible en écriture de données. Normalement, je m'attends à le voir configuration partagée être quelque chose qui est spécifié au moment de l'installation et modifié rarement par les administrateurs. La plupart des données de configuration tend à être par utilisateur.

    • Je vous remercie. Je vais demander à la InnoSetup installer pour créer un C:\ProgramData\MySoftware répertoire l'accès partagé par tous les utilisateurs avec autorisation de lecture/écriture (savez-vous comment faire cela? Je vais rechercher de toute façon).
    • Plus généralement, il est un moyen pour la création d'un fichier (quand je ne f = open(filename, 'a') en Python) qui auront plein accès en lecture/écriture par tous les autres utilisateurs ?
    • Je ne sais rien de l'Inno. Je utiliser WiX et msi. Lorsque vous créez un fichier, il hérite des paramètres de sécurité de son contenant. Obtenir le répertoire de droit sécurisé, et tout coule. Si vous n'avez pas de fixer le conteneur de permissivité, alors vous avez besoin des droits d'administrateur pour créer le fichier.
    • Oh merci. Sur l'ajout de plein privilège pour un fichier (accès en lecture/écriture par tous les utilisateurs) lorsque User A crée (avec f = open(...)) , est-il un moyen de le faire, à votre avis @DavidHeffernan ?
    • J'ai répondu que dans mes commentaires précédents. Vous avez besoin des droits d'administrateur pour créer un fichier dans le scénario que vous décrivez. Pour éviter cela, il faut créer un sous-répertoire avec permissive des droits de l'. Si vous pouvez ignorer cette étape, la sécurité serait inutile.
    • il n'y a aucun moyen de dire open() en Python pour accorder l'accès à d'autres utilisateurs. L'utilisateur qui crée le fichier propriétaire du fichier. Je n'ai pas de savoir si Python est une fonctionnalité à tous pour accorder l'accès à d'autres utilisateurs. Mais dans l'API Win32 termes, vous pouvez accorder des droits d'accès avec CreateFile(), SetFileSecurity(), ou de SetNamedSecurityInfo().
    • En règle générale, vous spécifier les droits d'accès utilisateur à CreateFile() au moment de la création du fichier.
    • EST d'avoir un peu intégrée dans les types de subventions comme "complète" 'modifier', recherche pour "[DIRS] section'.
    • Que serait un échec, mais parce que vous avez besoin des droits d'admin. C'est pourquoi vous avez besoin de l'installer pour faire le travail.
    • Je pense que vous ne comprenez pas ce que j'ai dit. Quand une application crée un fichier, le fichier est la propriété de l'utilisateur qui exécute l'application. Si l'application dispose des droits nécessaires pour créer le fichier, il a certainement des droits de spécifier de sécurité pour le fichier, comme qui d'autre peut accéder au fichier. Vous n'avez pas besoin des droits d'admin pour le faire. CreateFile() pouvez définir un descripteur de sécurité à la fois qu'un fichier est créé. SetFileSecurity() et SetNamedSecurityInfo() pouvez définir un descripteur de sécurité sur un fichier existant, si l'utilisateur a les droits pour modifier le fichier de sécurité (par exemple si l'utilisateur propriétaire du fichier).
    • Mais l'application ne dispose pas des droits pour créer le fichier dans C:\ProgramData\MyApp moins permissive ACL est appliquée à ce répertoire.
    • Si oui ou non l'application a l'autorisation de créer le fichier a été traité dans votre réponse, et Basj reconnu qu'avant de commencer ce commentaire à propos de la chaîne. Je suis d'adressage Basj la question suivante à propos de l'octroi de l'accès à d'autres utilisateurs lors de la création d'un fichier, en supposant que le dossier permet le fichier doit être créé. S'il vous plaît garder.
    • Je ne suis pas à suivre le rythme? Si permissif ACL a été appliquée, alors que c'est suffisant. À ce point, les fichiers peuvent être créés dans le répertoire. Pourquoi pensez-vous qu'ils ne le peuvent pas? J'ai régulièrement créer des fichiers sans spécifier les paramètres de sécurité dans le nouvel objet. Aussi, "s'il vous Plaît garder" est assez désagréable. Je pense qu'il serait mieux si vous pouvez éviter cela et de s'en tenir aux faits.
    • en fait votre première prémisse est fausse; sur Windows 7, au moins, les autorisations par défaut pour ProgramData permettent à l'utilisateur d'écrire pour elle; en particulier, pour créer de nouveaux fichiers et dossiers. Cependant, seul l'utilisateur qui crée un fichier donné qu'il a l'autorisation par défaut à écrire.
    • Pour être plus précis, par "utilisateur", je veux dire les membres du groupe Utilisateurs. Les autorisations sur ProgramData sont c:\ProgramData NT AUTHORITY\SYSTEM:(OI)(CI)(F) BUILTIN\Administrators:(OI)(CI)(F) CREATOR OWNER:(OI)(CI)(IO)(F) BUILTIN\Users:(OI)(CI)(RX) BUILTIN\Users:(CI)(WD,AD,WEA,WA)
    • Merci. Je n'ai évidemment pas totalement compris les autorisations sur ce dossier. Je vais corriger la réponse.

    InformationsquelleAutor David Heffernan
  2. 0

    Je tiens à ajouter sur ce que j'ai eu des problèmes de l'écriture à C:\ProgramData ainsi. Mon problème a fini par être que mon répertoire/fichiers à l'intérieur C:\ProgramData ont été écrits par un administrateur. Lorsque mon application a couru sous un utilisateur normal, il était incapable d'écrire, de sorte que Windows automatiquement utilisé C:\Users\fooface\AppData\Local\VirtualStore\ProgramData au lieu de cela. J'ai trouvé le chemin qu'il a été écrit en utilisant le moniteur de processus sur ma demande. Après avoir vu ce que j'ai supprimé les fichiers de C:\ProgramData et a couru mon app de nouveau et il y a écrit que prévu.

    Espère que cela aide quelqu'un.

    InformationsquelleAutor Daniel Caban