Bonjour a tous,

J'ai une nouvelle problématique à résoudre.

Matériel : Serveur Win serveur 2003,  poste Windows 8.

Profil : le développeur est profil utilisateur du domaine. (il n'est pas administrateur, et n'a pas de compte local)

Restriction : GPO qui empêche l'accès à la base de registre. (afin d'éviter des modifications non désirée)

Le problème : Le développeur utilise un logiciel développé en Interne. Ce logiciel permet en autre de voir des fiches patients et de les imprimer via PDF Creator.

D'après ce que j'ai compris, sur le logiciel lorsque l'on clic sur le bouton "Imprimer", la fiche est ouverte (ou générer) par Open Office. Et l'impression sur PDF Creator se fait depuis Open Office.

J'ai regarder l'erreur depuis le logiciel de développement (Eclipse Indigo) du logiciel. Et a priori, il y a une erreur lorsque le logiciel génère la fiche sur Open Office. La raison est qu'il n'a pas accès a la clé "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\soffice.exe". (edit)

Cette clé permet de savoir ou est l’exécutable d'Open Office sur le PC et de le lancer.

Donc il ne peut pas faire l'impression car Open Office ne se lance pas puisque la clé est impossible a lire par l'utilisateur du domaine.

Question: Comment donner a l'utilisateur le droit de lecture sur la base de registre sans qu'il puisse la modifier ?

Merci d'avance aux personnes qui pourront m'aider.

Cordialement,

Ncdk

tu as bloqué quoi toi ? la base de registre ou juste l'accès à regedit ? parce que la base de registre tt le monde y a accès sinon aucune appli marcherait

J'ai bloqué l'accès à la base de registre, et bloquer l'accès au l'invite de commande ainsi que l’exécution de script.

A priori il y a une commande sur la clé "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\soffice.exe", qui est un "Reg query (clé)".

Faudrait que je laisse l’exécution des scripts de l'invite de commande ? c'est ça qui bloque en faite... enfin je suppose.

désactive tes "protections" voir si ça permet de faire marcher.
 
Perso je trouve ça inutile de vouloir bloquer tout ça mais bon c'est mon point de vue

Ok, je désactive juste ma GPO pour voir.
 
Disons que j'ai les sources d'un logiciel de 3M d€ a sécurisé. La politique de sécurité est assez strict.  
Quand tu dis que c'est inutile de bloquer, tu parles d'empêcher l’exécution de script ? Ou le bloquer la base de registre ?
 
Bloquer la base de registre permet d'éviter de modifier la clé qui permet d'avoir un mot de passe à l'ouverture de sessions. De plus les ports USB et lecteur CD sont disable. L'accès au registre permettrait de tout réactiver. Niveau sécurité c'est moche.
 
Après pour l'invite de commande, si j'autorise l’exécution de script genre un .bat. Qu'est ce qu'il va se passer par la suite...
En face j'ai a faire a des développeurs pro, ils vont s'amuser à chercher les failles.  
Enfin l’exécution de script type .bat est il un risque ? Je ne sais pas...

Question un peu co-conne, mais on ne sait jamais : et avec la version portable d'OpenOffice, ça fonctionne ton bidule ?
Si tu modifies pour mettre "en dur" (ou dans un fichier de conf .ini ) l'endroit où est l'exécutable d'OOo, ça n'irait pas ?

Et pourquoi passer par PDFCreator pour faire du PDF alors qu'OOo intègre de quoi sortir du PDF ?

le registre tu y accèdes via powershell, via l'outil reg.exe, le cmd tu as des équivalents (et si ils sont développeurs comme tu dis, en 1h tu fais un équivalent pour juste executer des programmes). Ya pas de secret, si tu es admin, t'es admin, ta accès à tout, même si tu penses avoir brider un max. Et ça fait plus chier qu'autre chose quand tu as des raisons légitimes d'utiliser ces outils.

La version logiciel d'Oo est validé pour être utilisé par le logiciel de l'entreprise. Ce logiciel est utilisé par l'entreprise pour mettre les différents clients (de l'entreprise), et les utilisateurs a travers la France pour mettre les patients (des hôpitaux, etc...). Il n'y a donc pas de possibilité de modifier le code.

Et pour l'histoire du PDF, il faut poser la question aux Dev   , je pense que c'est parce que PDF creator simule l'impression, alors que le pdf via open office génère juste le pdf.  Quand un client clic sur Imprimer, ça lui détecte son imprimante par défaut et hop. Ici les dev passe par pdf creator pour pas niqué de papier pour leurs tests je pense.

@ Je@nb : Je suis tout a fait d'accord.
J'ai fermé les portes pour éviter les fuites de code, tout fonctionne bien, sauf se problème...
A midi, j'attends que le dev aille manger pour lui prendre son pc et faire des test supplémentaire (désactivé la GPO, test avec l'administrateur, etc...)

Leur logiciel est assez compliqué et leur méthode de raisonnement aussi Enfin je vais finir par y arriver...

Merci pour la participation les gens toujours les mêmes, j’espère qu'un jour je pourrais vous aider

Moi j'ai pas compris pourquoi tu as besoin de OOf pour imprimer avec PDF Creator
 
Mais ils sont admins ou pas ? Tu as lancé un procmon voir les accès voulus ? Si c'est vraiment un access is denied ?

Non ils sont juste utilisateurs du domaine.
Quand je compile la fonction pour l'impression d'une fiche patient, j'ai une fonction qui a pour entrée la clé Open Office. Les valeurs dans cette fonction sont toutes null, donc il ne parvient pas a lire la clé.
 
Pourquoi open office avec PDF Creator, je ne sais pas c'est une question a poser au Dev xD  En faite je pense qu'il essaie de simuler l'environnement d'un client.  
Le client prend sa fiche patient sur le logiciel, quand il clique sur imprimer sa génère la fiche en format odt pour open office pour être exploitable par pdf creator je suppose. C'est une application en Java donc je sais vraiment pas comment ça se passe.
 
J'ai tenté tout a l'heure de donner le droit de lecture/écriture sur la clé au groupe développeur sur le serveur ad et lors du choix de groupe, il n'y avais que les groupe locaux de la machine. On ne peut, a priori, pas mettre une autorisation de groupe réseau sur la base de registre.  
Après je peux rusé en mettant ajoutant un groupe réseau a un des groupes locaux, je pense que sa marcherais... a tester.
 
Je fais les tests entre midi et 14h et je vous tiens au jus.
 
Merci de m'accorder du temps pour résoudre ce problème

Si tu condamnes l'accès en lecture au registre ce sont toutes les applications qui vont péter. Je dois comprendre que tu n'as désactivé que regedit, et que les dev ne sont pas admin de leur poste ? Ton poste est assez confus

Oui regedit est désactivé par gpo. Non les dev ne sont pas admin de leur poste.

La confusion de mon post est compensée par ma réactivité a répondre

Merci de venir participer.

Je suis sur une autre urgence en même temps la. Je garde un œil sur le topic.

J'ai eu le temps de tester avec l'administrateur local est l'impression sur pdf creator a l'air de fonctionner. Je n'ai pas eu le temps de tester le reste, le gars est revenu plus tôt -_-''.

Dsl pour mon post confus Nebulios :s

Bon a priori j'ai trouvé le problème.
L'utilisateur ne peut pas lancer l'impression, car dans le code le .exe est lancé en ligne de commande.  
Et dans mes GPO j'ai interdit l'utilisateur de l'invite de commande, ainsi que mes script.
 

vire moi cette GPO useless

Mouais j'ai quand même l'impression que cette fameuse application développée en interne a été faite à la truelle

+1  
Et encore à la truelle c'est peu dire...

c'est pas du code fait à la truelle, c'est carrément un roumain sous payé qui l'a fait un vendredi après-midi là  
Là je serais à ta place je renverrais le tout au dév en lui disant déjà d'exploiter les fonctions d'export PDF d'OpenOffice, ça te résolvera une partie des problèmes.

Encore mieux, pour résolver le problème je suis partie de la boite

C'est une solution