Спрашиваю редко, т.к. обычно отвечают не на вопрос, а на то, почему мне это не нужно и так никто не делает.
Но попытка не пытка.
________
Инфраструктура:
1С сервера 3шт.
Серверы лиц на каждом, но раздаются в общем.
Клиенты по VPN могут подключаться к любому из этих 3х серверов. Файлом ini получают лицензии с них же. Выдает не сервер, а менеджеры лицензий. Ключи железные.
Клиенты по всей стране и ставят клиента самостоятельно или с помощью техподдержки. Могут поставить и х86 и х64 и толстый и тонкий и у кого мак — то клиент на мак. Веб интерфесом не ходят.
На серверах поднят 2й экземляр сервера и в главный кластер прописан 2й рабочий сервер на другом порту.
Далее в «Требования назначения функциональности» установлено «не назначать» Designer на основном, а на 2м рабочем сервере наоборот не назначать все, но назначать Designer. Получается, что конфигуратор может работать только на 2м раб.сервере, который на порту 6540, а не 1540. Далее брандмауэром ограничивается доступ к этим портам из VPN и остается для компов программистов/админов.
Итог: пользователи которые за VPN не могут запускать конфигуратор независимо от прав. Программисты могут. В ночное время батник может обновить конфигурацию. И т. д.
С некоторого релиза лицензия сервера 1С не КОРП не позволяет крутить никакие настройки. За те же плюшки заново платить (да, было заявлено и т. д., но было, работало, потом заявили что низя, но все равно работало, а потом отобрали технически).
Подло, но да ладно. Вопрос не в этом, 5ю стадию принятия уже прошел :)
Ворос: как ограничить запуск конфигуратора за пределами VPN? На вид установки клиента повлиять не получится (в т.ч. Удаление dllок). Веб доступ не приемлем.
Идеи есть?

права админские забрать

тонкий клиент?

(2) Кто что ставит. И тонкий ставят и толстый.
(1) как? Типовая конфа. Менять нельзя, можно только добавлять объекты и использовать расширения. Конфа ЗУП и БУХ. Там даже простому кадровику доступен вход в конфигуратор. Нет, не открытие или изменение конфигурации, а именно открытие конфигуратора. Да, в нем нифига не сделаешь, но открыть дает.

Администратоивно то работаем, по рукам стучим. Но находятся испытатели.

если есть договор договор аренды с 1С, то КОРП дают бесплатно, но при условии, если даёте доступ к своим сервакам админам из 1С для контроля

(4) Не понял. Какой договор аренды? 1С куплена, не в аренде. И админам из 1С никакого доступа не даем, никто никогда не просил.
Да и уже сообщили, что апгрейд лицензии стоит дофига денег и золотая ИТС у нее.

(0) Пароль на конфу блин

(0) Если УФ то опубликовать базу на веб-сервере, и тонким клиентом к веб-базе цепляться

(0) > Веб доступ не приемлем.
может таки пересмотреть ничем не подкрепленное утверждение?

плюсую (7) , у меня разъездные сотрудники имеют по два ярлыка на ноутах: тонкий клиент 1541 и тонкий клиент веб
разницы в скорости работы они не замечают совсем
при том, что сервер что по одной схеме, что по другой - на другом от клиент конце страны

какой-то там весомой нагрузки от апача при этом я не вижу, он чисто как прокси походу работает

(7) много несвоместимого в веб клиенте. Проблем куча.
(8) это то, что я писал в 0 - написано не приемлем, а мне докажут, что пересмотреть. На маках глючат формы, на винде глючат ККМ и ЭДО. Не открывается многие "Дополнительные обработки".
Клиент постоянно выпадает (закрывается) у некоторых клиентов не понятно почему. Да, можете назвать криворукими, но такого гемора нам не надо.

(3) А что смущает в возможности запуска конфигуратора, если там ничего плохого юзер с ограниченными правами сделать не в состоянии?

если не нужен толстый клиент, то просто удалить файл 1cv8.exe совсем и будет шасте

ну, или права забрать на файл у пользователей домена

(10) батникам мешает и тем кому надо войти в конфигуратор. Приходится админа сервера просить выкинуть злодея.
(12) ох... еще config.dll удалить посоветуйте :(

(14) а в топике ты жалуешься, что уже не первый раз по пятницам вечерами задаешься одним и тем же вопросом об отбирании прав на конфигуратор или я что-то не понял, что ты там написал :-)

Не ставить толстого клиента

https://forum.infostart.ru/forum9/topic39549/

(17)+ Кто мешает отнять права у всех юзеров кому они не положены?
В этом случае конфигуратор конечно запустится - но конфу открыть не даст "Недостаточно прав доступа".
А далее банальный периодический скрипт который проверяет не запустил ли кто левый конфигуратор (у кого прав нету) и рубить его как то.

(14) Это кстати хороший вариант права на config.dll урезать не давать на чтение кому не надо

И да это недоработка разрабов 1С что "Блокировка установки соединений с информационной базой" не пашет на сеанс Конфигуратора уже запущенный.
Хотя новым заходить в Конфигуратор не дает если уже установлена.

(0) поставь в шедуллер программу которая будет по COM порту подключатся к серверу и получать список активных пользователей конфигуратора, далее определяй свои или чужие, и пиши лог + удаляй сеанс + блокируй его IP.

и возвращать подключение только после письменного объяснения

ну или вообще можно настроить свич на блокировку первого пакета с запросом конекта к конфигуратору, там в заголовке в первом пакете параметр "DISIGNER" идет

ну и почитать https://habr.com/ru/post/122037/

(9) я не про веб-клиент.
я про тонкий клиент через веб-подключение.
Это разные режимы работы. Глюки именно в веб-клиенте

(18) полагаю, есть риск, что пользователь бросит открытый конфигуратор и тогда у ИТ начнутся приключения "найти и уничтожить"

(14) что не так?

Чейто я не понял. Права на запуск толстого клиента отрубить и делов... Не?

(25) У него юзеры через толстый клиент в RDP сидят и в 8-ке даже юзер с урезанными правами администрирования может конфигуратор запустить но конфу открыть уже нет.

(24) >у ИТ начнутся приключения "найти и уничтожить"

ИТ там херовый, зачем вручную искать когда давно DevOps придуман
http://catalog.mista.ru/public/202805/

(0)
Всё не читал, но решается двумя способами:
1. Отруби лишние права своим пользователям
2. Тупо устанавливай ТОЛЬКО тонкий клиент. Лучше - через веб-сервер, тогда прям железобетонно.

(28) А зря всё не читал, там много интересного

(29) Это не отнимает того факта что в платформе (экосистеме) 1С есть глобальная недоработка в части запрета (штатно) запуска конфигуратора юзерам, которым таких прав не дали.

(30) на актуальных релизах платформы для самых простых юзеров, с ограничением по правам, можно ставить тонкого клиента. И все. Никаких "лишних" кнопок не будет.

(27) это все равно - делать надо. И чаще сего это будет дополнительная внеплановая задача перед обновлением, которая пошлёт по звезде план обновления. Лучше, когда таких вещей происходить не может вообще

(30) это не недоработка. И на самом деле запрет такой существует - это отсутствие толстого клиента. Навешивать это на систему прав - очень плохая затея потому, что для того, чтобы вычислить есть у пользователя права или нет, надо залогиниться в базу, а для этого - запустить приложение. То есть в пределе - пока конфигуратор не запустится, не будет понятно, есть у пользователя права или нет. Или пришлось бы выносить авторизацию и аутентификацию в 1sestart.exe, а это еще более херовая идея.

(33) Проверка прав один хрен есть в конфигураторе, оно же не дает открыть конфу.
Хватило бы автоматического закрытия конфигуратора сразу после запуска если нет права на его запуск.

Т.е. изменения в платформу минимальны, добавить право для роли и проверку после запуска в конфигураторе.

(34) это не просто закрыть. Это показать модалку, чтобы пользователь понял, что все работает, как и задумано. А модалка, пока висит, конфигуратор открыт и второй ты уже не откроешь. В общем, зачем ты заставляешь меня тебе это объяснять? Ты ж и сам все прекрасно понимаешь

(35) Показать модалку можно снаружи оставив ее висеть уже закрыв конфигуратор и прервав все процессы с базой/сервером.
Да будет краткий момент когда второй сеанс конфигуратора не запустить, но это решаемо даже без внесения изменений в платформу ибо момент очень краткий же.

А можно внесли легкие изменения, один хрен несколько предприятий же возможно (не монопольно) и вместе с одним конфигуратором так?
Ну так и разрешить два и более конфигураторов на одной базе запускать тоже можно, там аналогичный монопольному режиму механизму же можно.

Т.е. запускать несколько конфигураторов можно - но захватить конфу может только один, у кого прав нет - те не могут.

(36)+ Я понимаю что это дополнительная работы программеров и разные глюки в процессе, но нихрена не сложнее чем уже куча ненужных фич которые насовали в платформу.
А фишка реально нужная для защиты от юзеров.

Имхо было бы гениально если хранилище конфигурации было внутри самой платформы для совместной разработки. Т.е. своя копия конфы для каждого юзера и т.д. и совместная работа.

И туда же чатик всобачить и предупреждения если некто начал править объект на который у тебя планы )) Но это гм хотя и надо да.

(37) так одно время были разговоры, что конфигуратор в платформе больше дорабатываться не будет, а будет все в ЕДТ уводиться. А тут все так поперло, что и расширения все дальше, все больше функциональности в них, что и едт не особо развивается и конфигуратор тоже не особо.

Но вот же в платформу прикрутили новый интерфейс и новую библиотеку кросс-платформенную стали при сборке платформы использовать.

(38) ЕДТ развивается, всё больше возмождностей конфигуратора поддерживается + ребята работают над оптимизацией.

(36) (37) "не ставить или удалить толстого клиента" - это во сколько десятков раз проще этого всего, о чем ты говоришь?

(26) не через RDP. А через VPN. Клиенты 1С ставят себе сами на свои компы/нотики и т.д.

Вникните в (0) - клиенты не в RDP, клиенты на своих тачках, местами личных. Ставят все сами. Запретить поставить им толстого клиента или забрать права на папку/файл или удалить чтото с их компа - возможности нет.

(41) если "сами" и "местами личных", то только терпеть. Ибо так делать нельзя, а которые делают, у тех бобо наступает ещё и не такое. Конфигуратор, я бы сказал, тут наименьшая из всех проблем.

(42) А какие еще проблемы то? Это единственная. А RDP лицензировать на 250 клиентов - не фонтан. Да и адский сервак нужен для этого.

(43) какие проблемы, когда в одном vpn'е живут пользюки со своими личными ноутами с правами устанавливать на них софт? Я правильно вопрос понял?

(44) И? VPN с доступом только по нужным портам 1С до только нужных серверов и с изоляцией клиентов друг от друга. Нормально там все.

(43) Открой для себя RDP сервер на Linux, причем на свежих дистрах правильных оно из коробки.
Стандартным виндовым клиентом можно. И да 1С на linux давно пашет.

Но это к теме не относится. Короче файрвол ставь умный и руби порты кому не надо по пакетам. Ссылка пробегала.

(45) Тогда писать регламентное задание, которое отрубает конфигуратор тем кому не положено

(47) к (41)

(40) Так толстый клиент-то нужен - им в режиме предприятия в инфобазе работают