Вики IT-KB

Права доступа учётной записи службы Агента сервера 1С:Предприятие 8.3

После окончания процедуры установки серверных компонент 1С:Предприятие 8.3 проверяем успешность запуска службы «Агент сервера 1С:Предприятия 8.3» (1C:Enterprise 8.3 Server Agent) от имени учётной записи пользователя, который был создан в процессе установки.

Убеждаемся в том, что тип запуска службы определён как Automatic.

В свойствах службы на вкладке Recovery настроим автоматический перезапуск службы в случае остановки.

Обратим внимание на то, какие права инсталлятор 1С выдал созданной в процессе установки учётной записи USR1CV8. Это права рядового пользователя с включением в локальные группы безопасности Users и Performance Log Users.

Проверяем права созданной сервисной учётной записи, открыв консоль управления локальными политиками безопасности Windows (secpol.msc). В явном виде наша учётная запись была включена инсталлятором 1С в следующие политики:

Deny access to this computer from the network
Deny log on locally
Log on as a batch job
Log on as a service

Если не исключить учётную запись USR1CV8 из локальной политики безопасности «Deny access to this computer from the network», в которую при установке 1С:Предприятие учётная запись включается по умолчанию, то в дальнейшем возможны ошибки взаимной аутентификации этой учётной записи на серверах кластера 1С.

К имеющимся политикам, согласно п.16 документа Check-list по настройке рабочих серверов в продукционной зоне, дополнительно рекомендуется включить служебную учётную запись пользователя, от имени которой работает служба агента сервера 1С, в следующие локальные политики безопасности:

Adjust memory quotas for a process
Replace a process level token

В выше обозначенном документе присутствует рекомендация выдать права администратора учётной записи службы агента 1С. От применения этой рекомендации мы воздерживаемся, ибо практика показывает, что достаточно членства в группах Users и Performance Log Users, которое присваивает по умолчанию инсталлятор 1С.

Чтобы избежать проблем с функционированием серверных процессов rphost и потенциальной проблемы с переполнением технологического журнала 1С, дополнительно потребуется выдать полные права доступа на каталог C:\ProgramData\1C\1cv8 для учётной записи службы агента 1С.

Проверено на следующих конфигурациях:

Версия ОС сервера 1С	Версия 1С:Предприятие
Microsoft Windows Server 2012 R2 Standard EN (6.3.9600)	1С:Предприятие 8.3.17.1549
Microsoft Windows Server 2022 Standard EN (10.0.20348)	1С:Предприятие 8.3.22.1750

Автор первичной редакции:
Алексей Максимов
Время публикации: 10.03.2023 15:35

1C, 1С 8.3, Windows Server 2012 R2, Windows Server 2022

Обсуждение

Алексей, 29.08.2024 19:58

Спасибо за информативное описание настройки сервера 1С.
Остался не раскрытым вопрос запуска кластера с разными учетными записями для: Агента, Менеджера и Рабочего процесса.

Алексей Максимов, 30.08.2024 08:02

Не представляю практического смысла в использовании разных учётных записей. Усложнит это настройку? - да. Даст это ощутимые преимущества хотя бы с точки зрения безопасности? - не думаю.

Полное имя:

Эл. адрес:

Ваш комментарий:

Имя друга Чебурашки (при написании вместо буквы "а" используйте @) Пожалуйста, оставьте это поле пустым:

Подписаться на комментарии