emeadaxsupport: Group policy setting "System Objects: Default owner for objects created by members of the administrators group" is missing on Windows Server 2008

[gl00mie]

Вот вроде думаешь, нормальные ребята, толковые вещи пишут, а тут - на тебе...

Цитата:

Сообщение от Blog bot

We came across a issue recently when using the AX AIF File Adapter. When consuming a file (for inbound processing), it fails to read the file because it is not the owner of the file.

Это называется бред сивой кобылы. Каким образом в головах у людей увязались владение объектом и права доступа к нему на чтение, совершенно непонятно.

Цитата:

Сообщение от Blog bot

By default the ownership of files is set to the local administrators group. This is by design and applies to both Microsoft Dynamics AX 4.0 and 2009.

По умолчанию, владельцем файлов, создаваемых локальными администраторами, устанавливается группа локальных администраторов. И это, вообще говоря, логично; более того, логично, что в w2k8 выкинули пункт локальной и групповой политик, позволяющий такое поведение менять. Думаю, со временем и из ядра такую настройку выкинут, оставив жестко зашитое поведение по умолчанию. А вообще, забавно, что люди из поддержки умудрились увязать отлуп при доступе к файлу на чтение через AIF и эту политику виндов. Интересно, клиент, обратившийся в поддержку, подтвердил им, что проблема разрешилась, прежде чем они опубликовали в блоге свой "рецепт"?..
Еще более забавно упоминание версий DAX, к которым это относится. С таким же успехом можно было бы еще добавить в список Блокнот, Пасьянс и Windows Media Player 10-й (а также 9-й) версии. Ёпрст, где исполнительная система виндов с ее контролем доступа - и где DAX, одна из бесчисленных программ, работающих под управлением виндов?!
Ну, допустим, файлы, которые надо было читать через AIF, создавались под учетной записью, входящей в группу локальных (а то и доменных) админов, причем у клиента, обратившегося в поддержку, хотя бы есть понимание, что каждому админу надо ходить под своей учетной записью, а не под встроенным Administrator. Но раз в поддержке решили для доступа к файлам поменять локальную политику таким образом, чтобы владельцем становился конкретный админ, стало быть, приложение, которое должно читать файлы, тоже работает под той же учетной записью, входящей в админскую группу? Это уже ни в какие ворота не лезет...

Цитата:

Сообщение от Blog bot

You can change the local security policy of a Windows Server 2003 and 2008

Это все чтобы файл прочесть? А может, сразу lsass хакнуть?..

[Vadik]

Цитата:

Сообщение от gl00mie

Вот вроде думаешь, нормальные ребята, толковые вещи пишут, а тут - на тебе...Это называется бред сивой кобылы. Каким образом в головах у людей увязались владение объектом и права доступа к нему на чтение, совершенно непонятно

Ну, зачем же так резко.. Не бред. И не невозможность прочитать файл, а невозможность идентифицировать создавшего его пользователя (так как вместо него владельцем является группа локальных администраторов). А поскольку авторизовать автора сообщения (файла) как-то надо (см. Endpoints -> Users) - имеет место конфуз
Вот тут оно ругается (в версии 4.0)
\Classes\AifFileSystemReceiveAdapter\readFile

X++:

// BP Deviation Documented
if (transportMessage.submittingUserSid() == #BuiltinAdministratorsSid)
{
        // "This file is owned by administrators group" is a non-fatal error.'
        // Move to next input file and throw a warning.
        warning(strfmt("@SYS99440", filePath));
        this.moveToNextInputFile();
        throw Exception::Warning;
}

Не проверял под Windows 2008, но должно работать в случае, если процесс, пишущий в папки для входящих сообщений AIF, запущен не под привилегированным пользователем (что кстати несекьюрно и не требуется для работы AIF)