Развёртывание настроек безопасности клиента SAP

imageПереводя пользовательские приложения на сервера RDS Windows Server 2012 решили использовать последнюю версию офисных приложений — Microsoft Office 2013, но тут же столкнулись с проблемой: клиентская часть SAP версии 7200.3.13.1075, конкретно Business Explorer не смог работать с Office 2013. Так как у нас использовалась не самая последняя версия клиента SAP, было решено изучить вопрос его обновления.

На официальном сайте наткнулся на таблицу совместимости SAP с ПО от Microsoft:

image

Запросив у техподдержки SAP последнюю версию дистрибутива стали проводить эксперименты в связке: Windows Server 2012 + Office 2013 + SAP версии 7300.2.5.1084.

Спустя некоторое время, один из тестовых пользователей сообщает о неудобстве работы: “При загрузке файлов в SAP и открытия файлов с SAP постоянно всплывают окна с вопросами о безопасности, чего ранее не происходило.”

image

image

Так как сам я не имею ни опыта работы с системой ни доступа в неё, через пользователя задали вопрос в техподдержку. Ответ последовал незамедлительно, но специалист технической поддержки попросту дал инструкцию, как отключить параметры безопасности клиента. Конечно, я остался не удовлетворён ответом и продолжил переписку с инженером поддержки и мне было предложено изучить этот документ.

Изучая вопрос настроек безопасности клиента я понял, что у клиента SAP есть 3 типа настроек безопасности:

1. SAP – насколько мне удалось понять, эти настройки предложены разработчиком и изменить их не представляется возможным, во всяком случае со стороны клиента.

2. Администратор – настройки хранятся в файле SAPrules.xml в расположении
%ProgramFiles(x86)%\SAP\FrontEnd\SAPgui

3. Пользователь – настройки хранятся в файле SAPrules.xml в расположении
%APPDATA%\SAP\Common

Для того, чтобы развернуть настройки безопасности на все системы, достаточно создать ключ реестра Location типа REG_EXPAND_SZ в пользовательской групповой политике в расположении:

Для x64 систем:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\SAP\SAPGUI Front\SAP Frontend Server\Security]

Для x86 систем:
[HKEY_LOCAL_MACHINE\Software\SAP\SAPGUI Front\SAP Frontend Server\Security]

Значением для этого ключа может выступать UNC путь до каталога в котором располагается SAPrules.xml. Такое поведение объясняется тем, что имя файла зарезервировано и не может быть изменено.

Более глубже изучая вопрос, я заметил, в предыдущей версии SAP, которую мы использовали, файл административных настроек безопасности (SAPrules.xml) содержит 15 идентификаторов,  а в новой – 14. Недостающий идентификатор как раз и содержал все необходимые расширения файлов с которыми работают пользователи системы. Поэтому в сетевое расположение, я вложил файл настроек который уже был нами проверен.

Без внимания не стоит оставлять ещё несколько ключей реестра:

DefaultAction – указывает действие по умолчанию на случай, когда подходящего правила не создано. Ключ имеет три параметра:
0 – Всегда разрешать;
1 – Спрашивать (значение по умолчанию);
2 – Всегда запрещать.
Что интересно, при выборе параметра “0” все события неописанные в правилах будут добавляться в пользовательские правила автоматически.

SecurityLevel – указывает состояние защитного модуля. Ключ имеет три параметра:
0 – Деактивировать;
1 – На основе правил (значение по умолчанию);
2 – Строго отклонить.

Configuration – указывает порядок обработки правил, имеется 4 варианта настройки:
0 – Обрабатывать только правила администратора;
1 – Обрабатывать правила администратора, затем пользователя (значение по умолчанию);
2 – Обрабатывать правила пользователя, затем администратора;
3 – Обрабатывать только правила пользователя.

Настройки используемые по умолчанию внёс для того, чтоб на интерфейсе приложения они стали недоступны для редактирования. В общем итоге получился следующий ряд созданных параметров Group Policy preferences (GPP):

image

После применения групповой политики мы получили настроенный SAP клиент на всех серверах RDS с одинаковыми настройками безопасности и правилами.

Добавить комментарий