Настройка прав доступа в Windows

Этот раздел предоставляет пошаговую настройку прав доступа в середе OS Windows

Для доступа к административным функциям jCjS, необходимо идентифицировать пользователей. Для этого в функционале jCjS существует механизм авторизации с использованием учетных записей Windows. Если компьютер с jCjS включен в домен, то авторизацию можно настроить более гибко.
К примеру добавить в домен глобальные группы jCjS-Admins и jCjS-Users, и все пользователи, включенные в эти группы будут иметь доступ к WEB-интерфесу. Остальные пользователи не смогут работать с WEB-интерфесом, доступ к нему им будет закрыт.

Прежде чем использовать авторизацию с учетными записями Windows, необходимо в главном конфигуровочном файле jCjS установить тип авторизации "os".
В секции auth есть параметр type которому нужно присвоить значение "os".

Для разграничения доступа, необходимо выдать право на чтение/запись в каталог C:/jCjS2/etc/

Взять свойство каталога C:/jCjS2/etc/. На вкладке "Безопасность" нажать кнопку "Дополнительно"
Нажать кнопку "Изменить разрешения"
Снять галочку с пункта "Добавить разрешения, наследуемые от родительского каталога" и нажать кнопку "Применить"
В следующем диалоговом окне нажать кнопку "Добавить"
Установить галочку в пункт "Заменить все разрешения дочернего объекта на разрешения, наследуемые от этого объекта" и нажать кнопку "Применить"
В следующем диалоговом окне нажать кнопку "Да"
Добавить необходимых пользователей или группы и выдать им права на запись (Администраторы jCjS)
Добавить необходимых пользователей или группы и выдать им права на чтение (Пользователи jCjS)
И нажать кнопку "Применить"

С этого момента, все пользователи заходящие на WEB-интерфейс увидят форму ввода логина и пароля.

ВНИМАНИЕ!!! Не забудьте включить механизм авторизации в главном конфигуровочном файле jCjS.
В секции auth есть параметр type которому нужно присвоить значение "os".

Если WEB-интерфейс не пускает пользователей с обычными правами Windows и в логе вы встретите такую запись

Вход в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.

нужно разрешить пользователю или группе "Пользователи" ("Users") локальный вход в систему. Такая проблема может наблюдаться, если процесс jCjS запущен на сервере домена.
Это делается с помощью редактора локальной политики безопасности.

Для запуска редактора, необходимо выполнить команду secpol.msc и разрешить интересуемым пользователеям или Группе пользователей "локальный вход в систему"

Для глобальных изменений в рамках домена, можно воспользоваться редактором политик домена gpmc.msc. Для редактирования политик домена необходимо в диспетчере сервера, перейти в режим их редактирования и разрешить интересуемым пользователеям или Группе пользователей "локальный вход в систему"

Обратите внимание, объект групповой политики:

"Default domain controllers policy" отвечает только за контроллеры домена;
"Default domain policy" отвечает за все компьютеры домена.

Взять свойство каталога C:/jCjS2/etc/. На вкладке "Безопасность" нажать кнопку "Дополнительно"

Нажать кнопку "Изменить разрешения"

Снять галочку с пункта "Добавить разрешения, наследуемые от родительского каталога" и нажать кнопку "Применить"

В следующем диалоговом окне нажать кнопку "Добавить"

Установить галочку в пункт "Заменить все разрешения дочернего объекта на разрешения, наследуемые от этого объекта" и нажать кнопку "Применить"

В следующем диалоговом окне нажать кнопку "Да"

Добавить необходимых пользователей или группы и выдать им права на запись (Администраторы jCjS)

Добавить необходимых пользователей или группы и выдать им права на чтение (Пользователи jCjS)

И нажать кнопку "Применить"