Локальная директория арм пользователя что это
Перейти к содержимому

Локальная директория арм пользователя что это

  • автор:

Локальная директория арм пользователя что это

Установка и настройка программного обеспечения автоматизированного рабочего места пользователя должна выполняться под учетной записью пользователя, входящего в группу локальных администраторов операционный системы.

Порядок подготовки АРМ пользователя приведен в таблице (Таблица 1).

Таблица 1. Порядок подготовки АРМ пользователя.

№ п/п

Копирование сертификата сервера TLS в локальную директорию АРМ пользователя.

Копирование корневого сертификата УЦ Федерального казначейства в локальную директорию АРМ пользователя.

Установка корневого сертификата УЦ Федерального казначейства в локальное хранилище компьютера.

Установка сертификата пользователя в хранилище личных сертификатов АРМ пользователя (при необходимости).

Установка ПО «Windows Installer».

Установка драйвера используемого носителя ключевой информации сертификата пользователя.

Установка ПО «Jinn-Admin» для генерации запроса к УЦ на получение квалифицированного сертификата пользователя (устанавливается при необходимости).

Установка и настройка средства создания защищенного TLS-соединения «Континент TLS Клиент».

Настройка используемого пользователем веб-обозреватель для подключения к системе «Электронный бюджет».

Установка средства электронной подписи «Jinn-Client».

Установка модуля для работы с электронной подписью «Cubesign».

Jinn-Client — предназначен для решения следующих задач:

Формирование электронной подписи документов в доверенной среде, исключающей искажение информации и подмену документа
Формирование электронной подписи документов в операционной системе
Генерация ключей электронной подписи
Формирование запроса в удостоверяющий центр на выдачу сертификата
Скачать jinn-client.zip

Дополнительные компоненты:

Скачать модуля для работы с электронной подписью «Cubesign». cubesign.zip

Понравилась эта статья?
Добавляй её в социальные закладки!
Помни, что именно от тебя зависит что будет на страницах интернета завтра!
Не дай рекламе завоевать интернет, цени бесплатное и качественное .
Всего проголосовало:
Средний рейтинг из 5

Copyright: Не задан

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

    • Бухгалтерия онлайн
      • Калькулятор НДС онлайн
      • Уралсиб банк клиент [6,08Mb]
      • Реестр справок 2-НДФЛ из файла
      • для СЭД, СУФД, сайтов ООС и ГМУ
      • Расчет пеней и процентов online
      • Все для онлайн отчетности
      • Кредитный онлайн калькулятор
      • Библиотека знаний
        • Перспективы мозговых тренировок
        • Техническая литература
        • Литература. Жанр: Философия
        • Из за чего обычно расстаются люди? Знаки зодиака.
        • Калькулятор курильщика
        • Задать вопрос
        • Электронные закупки
          • Получить ЭЦП
          • Федеральные документы онлайн
          • bus.gov.ru
          • Сбербанк-АСТ
          • Торги gov.ru
          • Портал госзакупок gov.ru
          • Volume Licensing Service Center
          • Все ПО для электронных торгов
          • Hand-Made по Русски
            • Скрапбукинг по Русски
            • Рисунки баллончиками на бумаге
            • RSS новости Скрапбукинг
            • Квиллинг в картинках
            • RSS Квиллинг в картинках
            • Театральная площадь
            • ул. Красная Фонтан перед «ЗСК»
            Опросы

            Какой антивирусной программой вы пользуетесь ?

            • Подпишитесь
            • Правообладателям
            • Федеральное законодательство
            • Наши партнеры
            • Правила оформления
            • Контакты

            Copyright © 2009-2024 All Rights Reserved.

            Копирование материалов допускается только с указанием ссылки на сайт. Полное заимствование документа является нарушением российского и международного законодательства и возможно только с согласия владельца. Согласно статье 1259 Гражданского кодекса Российской Федерации результат творческого труда, также является объектом авторского права. Если вы являетесь правообладателем какого-либо представленного материала и не желаете чтобы он находилась в нашем каталоге, свяжитесь с нами и мы незамедлительно удалим его. Файлы для обмена на сайте предоставлены пользователями сайта, и администрация не несёт ответственности за их содержание. Просьба не загружать файлы, защищенные авторскими правами, а также файлы нелегального содержания!

            Администрирование аттестованных объектов информатизации — автоматизированных рабочих мест. Практика

            В рамках предыдущей статьи мы в теории разобрали, что необходимо делать администратору. В этой же изучим вопрос на практике.

            Администрирование аттестованного АРМ

            Администрирование аттестованного АРМ сводится к следующим шагам:

            • Знакомство с Актом классификации.
            • Знакомство с Разрешительной системой доступа.
            • Настройка системы и администрирование СЗИ от НСД.
            • Поддержание АРМ в актуальном состоянии, в соответствии с разрешительной системой доступа.

            Знакомство с Актом классификации

            Шаблонов в интернете много, поэтому не будем его детально расписывать, подчеркнем суть из него. В Акте классификации указано, что объект информатизации – автоматизированная система «АРМ-1» классифицирована по классу 1В в соответствии с РД АС. Ссылка на РД АС.

            Знакомство с Разрешительной системой доступа

            Я придумал нечто следующее (пример РСД), на основе её будем настраивать систему и СЗИ от НСД. Из документа мы получаем всё необходимое:

            • Наименование всех учётных записей, которые должны быть на ПК, а также их роли.
            • Перечень информационных ресурсов, их расположение, их гриф.
            • Перечень разрешенного оборудования, участвующего в обработке информации.
            • Матрицу доступа, содержащую подробную информацию, какой пользователь, к какому информационному ресурсу/оборудованию, под каким грифом имеет доступ.

            Настройка системы и администрирование СЗИ от НСД

            Пришло время настроить нашу систему согласно исходным данным. Рекомендованный порядок настройки СЗИ от НСД такой:

            1. Настройка самого СЗИ от НСД
            2. Настройка пользователей
            3. Настройка ресурсов
            4. Настройка приложений

            Начнём с СЗИ от НСД Secret Net Studio. Вот рекомендации по настройке.

            Secret Net Studio — C

            Настройка самого СЗИ от НСД

            Заходим в «Локальный центр управления»

            • Если горит зеленый квадратик, то всё работает хорошо.
            • Если серый, то модуль отключен.
            • Если красный, произошли изменения которые необходимо подтвердить администратору. Или же произошёл сбой.

            В меню «Настройки» можно задать нужные параметры с помощью шаблонов или ручками. Если вы не знаете, какие параметры выставлять, рекомендую изучить «Рекомендации по настройке СЗИ от НСД» Dallas Lock. Это руководство от другой СЗИ, но основные параметры одинаковые, так что заострять внимание на этом не будем, упомянем только основное.

            В «Базовая защита» это:

            В других СЗИ от НСД, требования парольной политики по содержанию символов настраивается более гибко, тут же, только вот этим параметром.

            В «Локальная защита» это:

            Создадим необходимый перечень мандатных уровней:

            В данной СЗИ от НСД менее трёх быть не может. Вы же поняли, почему?

            Не включайте сразу параметр «Контроль потоков включен» он включается в самый последний момент, когда уже всё настроено.

            В «Контроль устройств» рекомендуется отключить все, что не используется в обработке информации. USB-устройства — разрешаете подключение для конкретных, и потом для родительского объекта запрещаете подключение, чтобы кроме разрешенного пользователи ничего подключить не смогли.

            В «Контроль печати» нужно добавить принтер, МФУ, на котором будете печатать, и с помощью шестеренки разрешить доступ «Все», после чего выбрать «Настройка по умолчанию» и для него уже запретить «Все».

            Настройка пользователей

            В Secret Net Studio есть свой аналог меню по созданию учетных записей – «Управление параметрами безопасности пользователей». Создаём учетные записи в соответствии с разрешительной системой доступа:

            Важно помнить, что колонку «Имя» изменить уже не получится. А всё остальное можно. В меню «Параметры безопасности» выставляем уровень допуска и выбираем то, что он может делать с грифованными данными. «Управление категориями конфиденциальности» должен быть только у администратора.

            Настройка ресурсов

            Следующий шаг – создать информационные ресурсы. В разрешительной системе доступа указываются и их наименования и их расположение. Делаем как в документе.

            Ресурсы мы создали, а теперь нужно настроить дискреционные и мандатные полномочия пользователей на этих каталогах, как в матрице доступа, находящейся в РСД. Заходим в «Свойства» каталога Документы, далее во вкладку «Secret Net Studio» и настраиваем мандатный уровень для папки. Суть этого разделения в том, что мы можем контролировать, под каким уровнем мандатной сессии пользователи смогут открыть её. Так как у нас в папке «Документы» находятся папки разных грифов, то на самой папке мы ставим самый меньший уровень. А вот на папке «Конфиденциально» и «Не_конфиденциально» ставим нужные уровни.

            Дискреционное разграничение определяет права доступа пользователей к каталогам, то есть кто и куда может зайти. Если оставить галку «Наследовать настройки доступа от родительского объекта», то папка примет настройки от родительского объекта.

            Важно, в данной СЗИ от НСД при настройке каждого каталога необходимо добавлять администратора, иначе он не сможет настраивать эту папку.

            Для папки «Документы» это диск C:\, а для других, что внутри этой папки – сама папка «Документы». Снимаем галку, и ставим всё как матрице доступа разрешительной системы доступа. По правам для пользователей для родительского объекта ставим разрешить «Чтение» «Запись» «Выполнение», запрещаем «Удаление» и «Изменение прав доступа». Правами на изменение прав доступа обладает только администратор.

            По поводу удаления: так как у нас регламентированы папки, которые должны быть в папке «Документы» («Конфиденциально» и «Не_конфиденциально») то удалять их нельзя, но в самих уже этих папках можно свободно действовать.

            В каталогах на USB-устройствах настроить в большинстве случаев можно только дискреционное разграничение, так как для мандатного разграничения может не соответствовать файловая система.

            Настройка приложений

            Самый трудоёмкий пункт. Для настройки работы приложений в ненулевой сессии администратору необходимо настроить «Подсистема полномочного управления доступом». Для этого выполните во вкладке «Автоматически» процесс настройки «По умолчанию» После чего можно настроить все приложения.

            Суть в том, что для каждого приложения, чтобы оно работало в ненулевых мандатных сессиях (например, «Конфиденциально») необходимо сделать разделяемой папку, содержащую временные файлы этого приложения. Для большинства популярных приложений есть шаблоны программ, доступные на вкладке «Программы».

            Если там нет, добавьте вручную. Для этого в вкладке «Вручную» -> «Общие» -> «Перенаправления» необходимо добавить пути до этих каталогов. Для этого в папке пользователя «AppData» -> Local, Roaming, LocalLow необходимо скопировать адрес до папки приложения.

            И вставить в новое правило. Чтобы правило работало для ещё не существующих пользователей, удалите ту часть, которая указывает на папку конкретного пользователя:

            После того, как настроите все необходимые приложения, вернитесь в «Локальный центр управления» и включите

            После чего нужно перезагрузиться.

            После перезагрузки при попытке войти под пользователем после ввода логина и пароля система спросит, под какой сессией вы хотите зайти. Зайдите под пользователем, чтобы проверить, что все приложения работают как надо, все папки открываются.

            FAQ

            Если система зависает на этом моменте и бесконечно грузится, жмите Ctrl+Shift+Esc. Вы пропустите проверку системы, компьютер будет заблокирован для всех, кроме администраторов. После исправления ошибок в локальном центре проведите проверку функционального контроля/

            Dallas Lock 8.0-C

            Настройка самого СЗИ от НСД

            В меню «Параметры безопасности» можно задать нужные настройки с помощью шаблонов или ручками. Если вы не знаете, какие параметры выставлять, рекомендую изучить «Рекомендации по настройке СЗИ от НСД Dallas Lock». Заострять внимание на этом документе не будем, упомянем только основное.

            Во вкладке «Мандатный доступ» установим всё как в нашем примере РСД

            Во вкладке «Контроль целостности «Программно-аппаратной среды»» выставляются алгоритмы и рассчитываются контрольные суммы в самом конце.

            Контроль устройств находится в «Контроль ресурсов» «Устройства». Оставляем не запрещённым только то, что участвует в обработке данных.

            Настройка пользователей

            Добавляются пользователи во вкладке «Учетные записи», если учетная запись уже создана в системе, можно нажать на лупу и выбрать её. Поля заполнятся автоматически.

            У каждой учетной записи не забывайте выставить «Мандатный доступ» в соответствии с РСД .

            Важно! У обычных пользователей должна стоять галка «Запретить работу при нарушении целостности», у администратора этой галки стоять не должно. О том, что означает этот функционал, поговорим позже. Также не забывайте, что поле “Логин” изменить нельзя, а все остальные поля можно.

            Настройка ресурсов

            Настраиваются с помощью вкладки «Права доступа». Всё делается так же, как и с предыдущей СЗИ от НСД. Настраивается «Дискреционное разграничение» (какая учетная запись имеет доступ в какую папку) и «Мандатное разграничение» (под какой сессией пользователи смогут зайти в папку).

            У пользователей выставляется стандартное «чтение», «запись», «выполнение», остальное в запрет на родительский объект. На дочерние, которые находятся внутри папки «Документы», выставляется в соответствии с РСД, то есть разрешается ещё удаление.

            Важное различие между предыдущей СЗИ от НСД в плане дискреционного доступа заключается в том, что если в Secret Net Studio мы задаём, какие учетные записи будут иметь доступ и обязательно добавляем администратора, то в этой программе добавлять администратора не нужно, а все остальные пользователи по умолчанию контролируются сущностью «Все».

            Каталоги на USB носителях настраиваются как обычные папки на компьютере.

            Настройка приложений

            Вот тут дела обстоят абсолютно по-другому, если сравнивать с предыдущей СЗИ от НСД.

            Чтобы настроить приложения, которые будут запускаться под уровнем сессии выше нулевой, администратору необходимо сначала зайти под каждым пользователем по разу (а лучше по два) и запустить каждое используемое в обработке информации программное обеспечение. После чего зайти под администратором, и выполнить настройку шаблоном мандатного доступа (для тех, у которых имеется).

            Находится во вкладке «Конфигурация»

            А для тех, у которых этого нет, необходимо зайти в папку AppData каждого пользователя. После запуска приложения создадут в папке свои каталоги для временных файлов, ищем их. Когда нашли, делаем эти каталоги разделяемыми:

            После настройки, зайдите под пользователем и проверьте, что всё работает.

            Если всё хорошо, заходим под администратором и настраиваем контрольные суммы

            После выбора алгоритма для расчета, нажмите кнопку “Пересчитать”. Система рассчитает уникальные значения для всего, для чего установлен алгоритм, и будет проверять их на моменте ввода логина и пароля. Если эти суммы на момент ввода логина и пароля не совпадут с теми, что были на момент пересчёта, то компьютер будет заблокирован, и вход будет разрешен только тем учетным записям, у которых не стоит галка «Запретить работу при нарушении целостности».

            Пример: на момент нажатия кнопки «пересчитать» у вас был подключен принтер. Смотрим по параметрам, «Контроль целостности прогр. апп.среды (Принтеры)», для параметра рассчитаны суммы. После перезагрузки компьютера принтер сгорает и после ввода логина/пароля от учетной записи, когда система начнёт сравнивать текущие значения в эталонными, они не совпадут, так как на момент расчёта принтер был. Компьютер заблокирован.

            Возможные неисправности после настройки

            Не печатает принтер – удалите из контроля папку «spool\PRINTERS», данная ошибка возникает из за неправильного шаблона Adobe Reader, разработчики никак починить не могут этот баг

            Нарушение контроля программно-аппаратной среды (чего-то конкретно) – Зайти под администратором и пересчитать. Описано в настройках приложений.

            Спасибо за внимание! Ваш Cloud4Y.

            Учетные записи Active Directory

            Операционные системы Windows Server устанавливаются с локальными учетными записями по умолчанию. Кроме того, вы можете создавать учетные записи пользователей в соответствии с требованиями вашей организации.

            В этой справочной статье описываются локальные учетные записи Windows Server по умолчанию, хранящиеся локально на контроллере домена и используемые в Active Directory. Он не описывает учетные записи локальных пользователей по умолчанию для члена, автономного сервера или клиента Windows. Дополнительные сведения см. в разделе «Локальные учетные записи».

            Локальные учетные записи по умолчанию в Active Directory

            Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке контроллера домена Windows Server и создании домена. Эти локальные учетные записи по умолчанию имеют аналоги в Active Directory. Они также имеют доступ на уровне домена и полностью отделены от учетных записей локальных пользователей по умолчанию для члена или автономного сервера.

            Вы можете назначить права и разрешения локальным учетным записям по умолчанию на определенном контроллере домена и только на этом контроллере домена. Эти учетные записи являются локальными для домена. После установки локальных учетных записей по умолчанию они хранятся в контейнере «Пользователи» в Пользователи и компьютеры Active Directory. Рекомендуется сохранить локальные учетные записи по умолчанию в контейнере пользователей, а не пытаться переместить эти учетные записи в другой подразделений.

            Локальные учетные записи по умолчанию в контейнере Users включают: Администратор istrator, Guest и KRBTGT. Учетная запись HelpAssistant устанавливается при установке сеанса удаленной помощи. В следующих разделах описаны локальные учетные записи по умолчанию и их использование в Active Directory.

            Локальные учетные записи по умолчанию выполняют следующие действия:

            • Позвольте домену представлять, определять и проверять подлинность удостоверения пользователя, которому назначена учетная запись, с помощью уникальных учетных данных (имя пользователя и пароль). Рекомендуется назначить каждого пользователя одной учетной записи, чтобы обеспечить максимальную безопасность. Несколько пользователей не могут совместно использовать одну учетную запись. Учетная запись пользователя позволяет пользователю входить на компьютеры, сети и домены с уникальным идентификатором, который может проходить проверку подлинности компьютера, сети или домена.
            • Авторизация (предоставление или запрет) доступа к ресурсам. После проверки подлинности учетных данных пользователя пользователь может получить доступ к сети и ресурсам домена на основе явных прав пользователя в ресурсе.
            • Аудит действий, выполняемых в учетных записях пользователей.

            В Active Directory администраторы используют локальные учетные записи по умолчанию для управления доменами и серверами-членами непосредственно и с выделенных административных рабочих станций. Учетные записи Active Directory предоставляют доступ к сетевым ресурсам. Учетные записи пользователей Active Directory и учетные записи компьютеров могут представлять физическую сущность, например компьютер или лицо, или выступать в качестве выделенных учетных записей служб для некоторых приложений.

            Каждая локальная учетная запись по умолчанию автоматически назначается группе безопасности, предварительно настроенной с соответствующими правами и разрешениями для выполнения определенных задач. Группы безопасности Active Directory собирают учетные записи пользователей, учетные записи компьютеров и другие группы в управляемые единицы. Дополнительные сведения см. в группах безопасности Active Directory.

            На контроллере домена Active Directory каждая локальная учетная запись по умолчанию называется субъектом безопасности. Субъект безопасности — это объект каталога, который используется для защиты служб Active Directory и управления ими, которые предоставляют доступ к ресурсам контроллера домена. Субъект безопасности включает такие объекты, как учетные записи пользователей, учетные записи компьютера, группы безопасности или потоки или процессы, выполняемые в контексте безопасности учетной записи пользователя или компьютера. Дополнительные сведения см. в разделе «Субъекты безопасности».

            Субъект безопасности представлен уникальным идентификатором безопасности (SID). Идентификаторы SID, связанные с каждой из локальных учетных записей по умолчанию в Active Directory, описаны в следующих разделах.

            Некоторые локальные учетные записи по умолчанию защищены фоновым процессом, который периодически проверка и применяет определенный дескриптор безопасности. Дескриптор безопасности — это структура данных, содержащая сведения о безопасности, связанные с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности на одной из локальных учетных записей или групп по умолчанию перезаписывается с защищенными параметрами.

            Этот дескриптор безопасности присутствует в объекте Администратор SDHolder. Если вы хотите изменить разрешения для одной из групп администратора службы или любой из ее учетных записей-участников, необходимо изменить дескриптор безопасности в объекте Администратор SDHolder, чтобы обеспечить согласованное применение. Будьте осторожны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, применяемые ко всем защищенным учетным записям.

            Учетная запись администратора

            Учетная запись Администратор istrator — это учетная запись по умолчанию, используемая во всех версиях операционной системы Windows на каждом компьютере и устройстве. Учетная запись Администратор istrator используется системным администратором для задач, требующих административных учетных данных. Эту учетную запись нельзя удалить или заблокировать, но ее можно переименовать или отключить.

            Учетная запись Администратор istrator предоставляет пользователю полный доступ к файлам, каталогам, службам и другим ресурсам, которые находятся на этом локальном сервере. Учетная запись Администратор istrator может использоваться для создания локальных пользователей и назначения прав пользователей и разрешений управления доступом. Учетная запись также может использоваться для контроля над локальными ресурсами в любое время, просто изменив права пользователя и разрешения. Хотя файлы и каталоги можно защитить от учетной записи Администратор istrator временно, учетная запись может контролировать эти ресурсы в любое время, изменив разрешения на доступ.

            Членство в группе учетных записей

            Учетная запись Администратор istrator имеет членство в группах безопасности по умолчанию, как описано в таблице атрибутов учетной записи Администратор istrator далее в этой статье.

            Группы безопасности гарантируют, что вы можете управлять правами администратора, не изменяя каждую учетную запись Администратор istrator. В большинстве случаев вам не нужно изменять основные параметры для этой учетной записи. Однако может потребоваться изменить дополнительные параметры, например членство в определенных группах.

            Вопросы безопасности

            После установки операционной системы сервера ваша первая задача — безопасно настроить свойства учетной записи Администратор istrator. Это включает настройку особенно длинного, надежного пароля и защиты параметров профиля служб удаленного управления и служб удаленных рабочих столов.

            Учетная запись Администратор istrator также может быть отключена, если она не требуется. Переименование или отключение учетной записи Администратор istrator затрудняет попытку злоумышленников получить доступ к учетной записи. Однако даже если учетная запись Администратор istrator отключена, ее можно использовать для получения доступа к контроллеру домена с помощью безопасного режима.

            На контроллере домена учетная запись Администратор istrator становится учетной записью Администратор домена. Учетная запись домена Администратор используется для входа в контроллер домена, и для этой учетной записи требуется надежный пароль. Учетная запись Администратор домена предоставляет доступ к ресурсам домена.

            Когда контроллер домена изначально установлен, вы можете войти и использовать диспетчер сервера для настройки локальной учетной записи Администратор istrator с правами и разрешениями, которые необходимо назначить. Например, вы можете использовать локальную учетную запись Администратор istrator для управления операционной системой при первой установке. С помощью этого подхода можно настроить операционную систему без блокировки. Как правило, после установки не требуется использовать учетную запись. Учетные записи локальных пользователей можно создать только перед установкой служб домен Active Directory, а не после этого.

            При установке Active Directory на первом контроллере домена в домене создается учетная запись Администратор istrator для Active Directory. Учетная запись Администратор istrator является самой мощной учетной записью в домене. Он предоставляет доступ на уровне домена и права администратора для администрирования компьютера и домена, а также имеет самые обширные права и разрешения по домену. Пользователь, который устанавливает службы домен Active Directory на компьютере, создает пароль для этой учетной записи во время установки.

            атрибуты учетной записи Администратор istrator

            Атрибут Значение
            Известный SID/RID S-1-5-500
            Тип User
            Контейнер по умолчанию CN=Пользователи, DC= , DC=
            элементы по умолчанию; Н/П
            Является членом по умолчанию. Администратор istrator, доменные Администратор, корпоративные Администратор istrators, доменные пользователи (идентификатор основной группы всех учетных записей пользователей — пользователи домена)

            Гостевая учетная запись

            Гостевая учетная запись — это локальная учетная запись по умолчанию, которая имеет ограниченный доступ к компьютеру и отключена по умолчанию. По умолчанию пароль гостевой учетной записи остается пустым. Пустой пароль позволяет получить доступ к гостевой учетной записи без необходимости ввода пароля пользователем.

            Гостевая учетная запись позволяет случайным или однократным пользователям, у которых нет отдельной учетной записи на компьютере, войти на локальный сервер или домен с ограниченными правами и разрешениями. Гостевая учетная запись может быть включена, а пароль можно настроить при необходимости, но только участником группы Администратор istrator в домене.

            Членство в группе гостевых учетных записей

            Гостевая учетная запись имеет членство в группах безопасности по умолчанию, описанных в следующей таблице атрибутов гостевой учетной записи. По умолчанию гостевая учетная запись является единственным членом группы гостей по умолчанию, которая позволяет пользователю входить на сервер и глобальную группу «Гости домена», которая позволяет пользователю войти в домен.

            Участник группы Администратор istrators или группы доменных Администратор s может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

            Вопросы безопасности гостевой учетной записи

            Так как гостевая учетная запись может предоставлять анонимный доступ, это риск безопасности. Он также имеет известный идентификатор БЕЗОПАСНОСТИ. По этой причине рекомендуется оставить гостевую учетную запись отключенной, если ее использование не требуется, а затем только с ограниченными правами и разрешениями в течение очень ограниченного периода времени.

            Если требуется гостевая учетная запись, для включения гостевой учетной записи требуется Администратор istrator на контроллере домена. Гостевая учетная запись может быть включена без необходимости пароля или ее можно включить с помощью надежного пароля. Администратор istrator также предоставляет ограниченные права и разрешения для гостевой учетной записи. Чтобы предотвратить несанкционированный доступ, выполните следующие действия.

            • Не предоставьте гостевой учетной записи право на завершение работы системного пользователя. Если компьютер завершает работу или запускается, возможно, что гостевой пользователь или любой пользователь с локальным доступом, например злоумышленник, может получить несанкционированный доступ к компьютеру.
            • Не предоставляйте гостевую учетную запись с возможностью просмотра журналов событий. После включения гостевой учетной записи рекомендуется часто отслеживать эту учетную запись, чтобы другие пользователи не могли использовать службы и другие ресурсы, например ресурсы, которые были непреднамеренно оставлены предыдущим пользователем.
            • Не используйте гостевую учетную запись, если у сервера есть внешний сетевой доступ или доступ к другим компьютерам.

            Если вы решите включить гостевую учетную запись, не забудьте ограничить его использование и регулярно изменять пароль. Как и в случае с учетной записью Администратор istrator, может потребоваться переименовать учетную запись в качестве добавленной меры предосторожности.

            Кроме того, администратор отвечает за управление гостевой учетной записью. Администратор отслеживает гостевую учетную запись, отключает гостевую учетную запись, если она больше не используется, а также изменяет или удаляет пароль по мере необходимости.

            Дополнительные сведения об атрибутах гостевой учетной записи см. в следующей таблице:

            Атрибуты гостевой учетной записи

            Атрибут Значение
            Известный SID/RID S-1-5- -501
            Тип User
            Контейнер по умолчанию CN=Пользователи, DC= , DC=
            элементы по умолчанию; нет
            Является членом по умолчанию. Гости, гости домена
            Защита через ADMINSDHOLDER? No
            Безопасно ли выходить за пределы контейнера по умолчанию? Может быть перемещен, но мы не рекомендуем его.
            Сейф делегировать управление этой группой администраторам, не являющихся службами? No

            Учетная запись HelpAssistant (установленная с сеансом удаленной помощи)

            Учетная запись HelpAssistant — это локальная учетная запись по умолчанию, которая включена при запуске сеанса удаленной помощи. Эта учетная запись автоматически отключается, если запросы удаленной помощи не ожидаются.

            HelpAssistant — это основная учетная запись, используемая для создания сеанса удаленной помощи. Сеанс удаленной помощи используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется приглашением. Для получения удаленной помощи пользователь отправляет приглашение с своего компьютера, по электронной почте или в качестве файла человеку, который может предоставить помощь. После принятия приглашения пользователя на сеанс удаленной помощи автоматически создается учетная запись helpAssistant по умолчанию, чтобы предоставить пользователю, который предоставляет помощь ограниченному доступу к компьютеру. Учетная запись HelpAssistant управляется службой диспетчера сеанса справки для удаленного рабочего стола.

            Рекомендации по безопасности HelpAssistant

            Идентификаторы SID, относящиеся к учетной записи helpAssistant по умолчанию, включают:

            • SID: S-1-5-13 , отображаемое имя пользователя сервера терминала. Эта группа включает всех пользователей, которые входят на сервер с включенными службами удаленных рабочих столов. В Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.
            • SID: S-1-5- -14, отображаемое имя удаленного интерактивного входа. Эта группа включает всех пользователей, подключающихся к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа представляет собой подмножество интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат интерактивный идентификатор БЕЗОПАСНОСТИ.

            Для операционной системы Windows Server удаленный помощник является необязательным компонентом, который по умолчанию не установлен. Прежде чем использовать его, необходимо установить удаленную помощь.

            Дополнительные сведения об атрибутах учетной записи HelpAssistant см. в следующей таблице:

            Атрибуты учетной записи HelpAssistant
            Атрибут Значение
            Известный SID/RID S-1-5 —13 (пользователь сервера терминала), S-1-5- -14 (удаленный интерактивный вход)
            Тип User
            Контейнер по умолчанию CN=Пользователи, DC= , DC=
            элементы по умолчанию; нет
            Является членом по умолчанию. Гости домена
            Гости
            Защита через ADMINSDHOLDER? No
            Безопасно ли выходить за пределы контейнера по умолчанию? Может быть перемещен, но мы не рекомендуем его.
            Сейф делегировать управление этой группой администраторам, не являющихся службами? No

            Учетная запись KRBTGT

            Учетная запись KRBTGT — это локальная учетная запись по умолчанию, которая выступает в качестве учетной записи службы «Центр распространения ключей» (KDC). Эту учетную запись нельзя удалить, и имя учетной записи невозможно изменить. Учетная запись KRBTGT не может быть включена в Active Directory.

            KRBTGT также является именем субъекта безопасности, используемого KDC для домена Windows Server, как указано RFC 4120. Учетная запись KRBTGT — это сущность субъекта безопасности KRBTGT, которая создается автоматически при создании нового домена.

            Проверка подлинности Windows Server Kerberos достигается с помощью специального билета Kerberos для предоставления билета (TGT), зашифрованного симметричным ключом. Этот ключ является производным от пароля сервера или службы, к которому запрашивается доступ. Пароль TGT учетной записи KRBTGT известен только службой Kerberos. Чтобы запросить билет на сеанс, TGT должен быть представлен В KDC. TGT выдается клиенту Kerberos из KDC.

            Рекомендации по обслуживанию учетной записи KRBTGT

            Надежный пароль назначается учетным записям KRBTGT и учетным записям доверия автоматически. Как и любые учетные записи привилегированных служб, организации должны изменять эти пароли в обычном расписании. Пароль для учетной записи KDC используется для получения секретного ключа для шифрования и расшифровки выданных запросов TGT. Пароль для учетной записи доверия домена используется для получения ключа между областью для шифрования запросов на рефералы.

            Для сброса пароля необходимо либо быть членом группы доменных Администратор, либо делегировать соответствующий орган. Кроме того, необходимо быть членом локальной группы Администратор istrators или делегировать соответствующий орган.

            После сброса пароля KRBTGT убедитесь, что идентификатор события 9 в источнике событий Key-Distribution-Center (Kerberos) записывается в журнал событий Системы.

            Вопросы безопасности учетной записи KRBTGT

            Кроме того, рекомендуется сбросить пароль учетной записи KRBTGT, чтобы убедиться, что вновь восстановленный контроллер домена не реплика te с скомпрометированный контроллер домена. В этом случае в большом восстановлении леса, которое распространяется по нескольким расположениям, вы не можете гарантировать, что все контроллеры домена завершаются и, если они завершаются, их невозможно перезагрузить еще раз до выполнения всех соответствующих действий восстановления. После сброса учетной записи KRBTGT другой контроллер домена не может реплика te этот пароль учетной записи с помощью старого пароля.

            Организация, подозревающая компрометация домена учетной записи KRBTGT, должна рассмотреть возможность использования профессиональных служб реагирования на инциденты. Влияние на восстановление владения учетной записью является доменным, трудоемким и должно выполняться в рамках более крупных усилий по восстановлению.

            Пароль KRBTGT является ключом, от которого все доверие в цепочках Kerberos до. Сброс пароля KRBTGT аналогичен продлению корневого сертификата ЦС с новым ключом и немедленно не доверяет старому ключу, что приведет к почти всем последующим операциям Kerberos.

            Для всех типов учетных записей (пользователей, компьютеров и служб)

            • Все уже выданные и распределенные TGT будут недействительными, так как контроллеры домена отклонят их. Эти билеты шифруются с помощью KRBTGT, чтобы любой контроллер домена смог проверить их. При изменении пароля билеты становятся недействительными.
            • Все прошедшие проверку подлинности сеансы, прошедшие вход пользователей (на основе их билетов на обслуживание) к ресурсу (например, файловый ресурс, сайт SharePoint или сервер Exchange Server), хороши, пока запрос на обслуживание не потребуется для повторной проверки подлинности.
            • Подключения, прошедшие проверку подлинности NTLM, не затрагиваются.

            Так как невозможно предсказать конкретные ошибки, которые будут возникать для любого конкретного пользователя в рабочей операционной среде, необходимо предположить, что все компьютеры и пользователи будут затронуты.

            Перезагрузка компьютера — единственный надежный способ восстановления функциональных возможностей, так как это приведет к повторному входу как учетной записи компьютера, так и учетным записям пользователей. Вход снова запросит новые TGT, допустимые с новым KRBTGT, что исправит любые операционные проблемы, связанные с KRBTGT на этом компьютере.

            Контроллеры домена только для чтения и учетная запись KRBTGT

            Windows Server 2008 представила контроллер домена только для чтения (RODC). RODC объявляется в качестве центра распространения ключей (KDC) для филиала. RODC использует другую учетную запись и пароль KRBTGT, чем KDC на контроллере домена, доступного для записи, при подписи или шифровании запросов на предоставление билетов (TGT). После успешной проверки подлинности учетной записи RODC определяет, могут ли учетные данные пользователя или учетные данные компьютера быть реплика от записываемого контроллера домена в RODC с помощью политики репликации паролей.

            После кэширования учетных данных в RODC РОДC можно принять запросы на вход пользователя до изменения учетных данных. Когда TGT подписан с учетной записью KRBTGT rodC, РОДC распознает, что он имеет кэшированную копию учетных данных. Если другой контроллер домена подписывает TGT, rodC перенаправит запросы на контроллер домена, доступный для записи.

            Атрибуты учетной записи KRBTGT

            Дополнительные сведения об атрибутах учетной записи KRBTGT см. в следующей таблице:

            Атрибут Значение
            Известный SID/RID S-1-5-502
            Тип User
            Контейнер по умолчанию CN=Пользователи, DC= , DC=
            элементы по умолчанию; нет
            Является членом по умолчанию. Группа «Пользователи домена» (идентификатор основной группы всех учетных записей пользователей — «Пользователи домена»)
            Защита через ADMINSDHOLDER? Да
            Безопасно ли выходить за пределы контейнера по умолчанию? Может быть перемещен, но мы не рекомендуем его.
            Сейф делегировать управление этой группой администраторам, не являющихся службами? No

            Параметры для локальных учетных записей по умолчанию в Active Directory

            Каждая локальная учетная запись по умолчанию в Active Directory имеет несколько параметров учетной записи, которые можно использовать для настройки параметров пароля и сведений о безопасности, как описано в следующей таблице:

            Параметры учетной записи Description
            Требовать смену пароля при следующем входе в систему Принудительно изменяет пароль при следующем входе пользователя в сеть. Используйте этот параметр, если вы хотите убедиться, что пользователь является единственным человеком, который знает свой пароль.
            Пользователь не может изменить пароль Запрещает пользователю изменять пароль. Используйте этот параметр, если вы хотите сохранить контроль над учетной записью пользователя, например для гостевой или временной учетной записи.
            Password never expires Предотвращает истечение срока действия учетной записи пользователя. Рекомендуется включить этот параметр с учетными записями служб и использовать надежные пароли.
            Хранить пароли, используя обратимое шифрование Предоставляет поддержку приложений, использующих протоколы, требующие знания о форме обычного текста пароля пользователя для проверки подлинности.

            Примечание. DES не включен по умолчанию в операционных системах Windows Server (начиная с Windows Server 2008 R2) или в клиентских операционных системах Windows (начиная с Windows 7). Для этих операционных систем компьютеры по умолчанию не будут использовать наборы шифров DES-CBC-MD5 или DES-CBC-CRC. Если для вашей среды требуется DES, этот параметр может повлиять на совместимость с клиентскими компьютерами или службами и приложениями в вашей среде.

            Управление локальными учетными записями по умолчанию в Active Directory

            После установки локальных учетных записей по умолчанию эти учетные записи находятся в контейнере «Пользователи» в Пользователи и компьютеры Active Directory. Вы можете создавать, отключать, сбрасывать и удалять локальные учетные записи по умолчанию с помощью Пользователи и компьютеры Active Directory консоли управления Майкрософт (MMC) и с помощью средств командной строки. Вы можете использовать Пользователи и компьютеры Active Directory для назначения прав и разрешений для указанного локального контроллера домена и только этого контроллера домена, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. В отличие от этого, разрешение на доступ — это правило, связанное с объектом, обычно файлом, папкой или принтером, которое регулирует доступ пользователей к объекту и каким образом. Дополнительные сведения о создании локальных учетных записей пользователей и управлении ими в Active Directory см. в статье «Управление локальными пользователями». Вы также можете использовать Пользователи и компьютеры Active Directory на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети. Вы можете получить рекомендации от Корпорации Майкрософт для конфигураций контроллера домена, которые можно распространять с помощью средства диспетчера соответствия требованиям безопасности (SCM). Дополнительные сведения см. в разделе Microsoft Security Compliance Manager. Некоторые учетные записи локальных пользователей по умолчанию защищены фоновым процессом, который периодически проверка и применяет определенный дескриптор безопасности, который представляет собой структуру данных, содержащую сведения о безопасности, связанные с защищенным объектом. Этот дескриптор безопасности присутствует в объекте Администратор SDHolder. Это означает, что, если требуется изменить разрешения для группы администратора службы или любой из ее учетных записей-участников, вам также необходимо изменить дескриптор безопасности в объекте Администратор SDHolder. Этот подход гарантирует, что разрешения применяются последовательно. Будьте осторожны при внесении этих изменений, так как это действие также может повлиять на параметры по умолчанию, которые применяются ко всем защищенным учетным записям администратора.

            Ограничение и защита учетных записей конфиденциального домена

            • Строго ограничивает членство в группах Администратор istrator, доменных Администратор и корпоративных групп Администратор.
            • Строго контролировать, где и как используются учетные записи домена.

            Учетные записи участников в группах Администратор istrator, доменных Администратор и корпоративных Администратор групп в домене или лесу являются высокоценными целями для вредоносных пользователей. Чтобы ограничить любое воздействие, рекомендуется строго ограничить членство в этих группах администраторов наименьшим числом учетных записей. Ограничение членства в этих группах снижает вероятность того, что администратор может непреднамеренно использовать эти учетные данные и создать уязвимость, которую злоумышленники могут использовать.

            Кроме того, рекомендуется строго контролировать, где и как используются учетные записи конфиденциального домена. Ограничить использование учетных записей доменных Администратор и других учетных записей Администратор istrator, чтобы предотвратить их использование для входа в системы управления и рабочие станции, защищенные на том же уровне, что и управляемые системы. Если учетные записи Администратор istrator не ограничены таким образом, каждая рабочая станция, из которой администратор домена входит в систему, предоставляет другое расположение, которое злоумышленники могут использовать.

            Реализация этих рекомендаций разделена на следующие задачи:

            • Отдельные учетные записи Администратор istrator от учетных записей пользователей
            • Ограничение доступа администратора к серверам и рабочим станциям
            • Отключение делегирования учетной записи для конфиденциальных учетных записей Администратор istrator

            Чтобы предоставить экземпляры, в которых ожидаются проблемы интеграции с доменной средой, каждая задача описывается в соответствии с требованиями к минимальной, лучшей и идеальной реализации. Как и во всех существенных изменениях в рабочей среде, убедитесь, что перед реализацией и развертыванием этих изменений необходимо тщательно протестировать эти изменения. Затем выполните развертывание таким образом, чтобы обеспечить откат изменений, если возникают технические проблемы.

            Отдельные учетные записи Администратор istrator от учетных записей пользователей

            Ограничение учетных записей Администратор домена и других конфиденциальных учетных записей, чтобы предотвратить их использование для входа на более низкие серверы доверия и рабочие станции. Ограничить и защитить учетные записи Администратор istrator путем разделения учетных записей Администратор istrator от стандартных учетных записей пользователей, разделяя административные обязанности от других задач и ограничивая использование этих учетных записей. Создайте выделенные учетные записи для администраторов, которым требуются учетные данные администратора для выполнения определенных административных задач, а затем создайте отдельные учетные записи для других стандартных задач пользователей в соответствии со следующими рекомендациями:

            • Привилегированная учетная запись: выделите учетные записи Администратор istrator только для выполнения следующих административных обязанностей:
              • Минимум: создание отдельных учетных записей для администраторов домена, корпоративных администраторов или эквивалентных соответствующих прав администратора в домене или лесу. Используйте учетные записи, которые были предоставлены конфиденциальным правами администратора только для администрирования данных домена и контроллеров домена.
              • Лучше: создание отдельных учетных записей для администраторов, которые сократили права администратора администратора, например учетные записи для администраторов рабочих станций, а также учетные записи с правами пользователей на назначенные подразделения Active Directory (OUS).
              • Идеально. Создание нескольких отдельных учетных записей для администратора, у которого есть несколько обязанностей, требующих разных уровней доверия. Настройте каждую учетную запись Администратор istrator с разными правами пользователя, например для администрирования рабочих станций, администрирования сервера и домена, чтобы администратор входить в указанные рабочие станции, серверы и контроллеры домена строго на основе своих обязанностей.

              Убедитесь, что конфиденциальные учетные записи Администратор istrator не могут получать доступ к электронной почте или просматривать Интернет, как описано в следующем разделе.

              Дополнительные сведения о привилегированном доступе см. в разделе «Устройства с привилегированным доступом».

              Ограничение доступа администратора к серверам и рабочим станциям

              Рекомендуется ограничить администраторов использованием конфиденциальных учетных записей Администратор istrator для входа на серверы с низким уровнем доверия и рабочие станции. Это ограничение запрещает администраторам непреднамеренно увеличивать риск кражи учетных данных путем входа на компьютер с низким уровнем доверия.

              Убедитесь, что у вас есть локальный доступ к контроллеру домена или вы создали по крайней мере одну выделенную административную рабочую станцию.

              Ограничить доступ к серверам и рабочим станциям с низким уровнем доверия для входа с помощью следующих рекомендаций:

              • Минимальное значение. Ограничение доступа администраторов домена к серверам и рабочим станциям. Перед началом этой процедуры определите все подразделения в домене, содержащие рабочие станции и серверы. Все компьютеры в подразделениях, которые не определены, не ограничивают администраторов конфиденциальными учетными записями от входа в них.
              • Лучше: ограничить администраторов домена с серверов и рабочих станций, не являющихся контроллерами домена.
              • Идеальное значение. Ограничение входа администраторов серверов на рабочие станции в дополнение к администраторам домена.

              Для этой процедуры не свяжите учетные записи с подразделением, содержащим рабочие станции для администраторов, выполняющих только обязанности администрирования, и не предоставляйте доступ к Интернету или электронной почте.

              Ограничение администраторов домена на рабочих станциях (минимум)
              1. В качестве администратора домена откройте консоль управления групповыми политиками (GPMC).
              2. Откройте групповую политику управления, разверните \Домены\ .
              3. Щелкните правой кнопкой мыши Объекты групповой политики, а затем выберите Создать. Screenshot of the Group Policy Management console window, showing the
              4. В окне «Создать объект групповой политики» назовите объект групповой политики, ограничивающий вход администраторов на рабочие станции, а затем нажмите кнопку «ОК«. Screenshot of the
              5. Щелкните правой кнопкой мыши новый объект групповой политики и выберите пункт «Изменить«.
              6. Настройте права пользователя, чтобы запретить вход локально для администраторов домена.
              7. Выберите политики>конфигурации>компьютера Windows Параметры> Local Policies, выберите «Назначение прав пользователя» и выполните следующие действия: a. Дважды щелкните «Запретить вход в систему локально«, а затем выберите » Определить эти параметры политики». b. Выберите «Добавить пользователя или группу«, выберите «Обзор«, введите Администратор Enterprise и нажмите кнопку «ОК«. Выберите «Добавить пользователя или группу«, выберите «Обзор«, введите Администратор домена и нажмите кнопку «ОК«. Screenshot of the

              Совет При необходимости можно добавить любые группы, содержащие администраторов серверов, которым требуется ограничить вход на рабочие станции.

              Примечание. Выполнение этого шага может привести к проблемам с задачами администратора, которые выполняются в качестве запланированных задач или служб с учетными записями в группе доменных Администратор. Практика использования учетных записей Администратор istrator для выполнения служб и задач на рабочих станциях создает значительный риск кражи учетных данных, поэтому их следует заменить альтернативными средствами для выполнения запланированных задач или служб.

              d. Нажмите кнопку ОК, чтобы завершить настройку.

            • Свяжите объект групповой политики с первым подразделением рабочих станций. Перейдите в \Домены\ \OU путь, а затем выполните следующие действия: a. Щелкните правой кнопкой мыши подразделение рабочей станции и выберите «Связать существующий объект групповой политики«. Screenshot of the Group Policy Management console window, where you right-click a Workstations item and select b. Выберите только что созданный объект групповой политики и нажмите кнопку «ОК«. Screenshot of the
            • Проверьте функциональные возможности корпоративных приложений на рабочих станциях в первом подразделении и устраните все проблемы, вызванные новой политикой.
            • Свяжите все остальные подразделения, содержащие рабочие станции. Однако не создавайте ссылку на подразделение Администратор istrative workstation, если оно создано для административных рабочих станций, предназначенных только для обязанностей администрирования и не имеющих доступа к Интернету или электронной почте.

              Внимание Если позже вы расширяете это решение, не запрещайте права входа в группу «Пользователи домена». Группа «Пользователи домена» включает все учетные записи пользователей в домене, включая пользователей, доменных Администратор istratorов и корпоративных Администратор istratorов.

              Отключение делегирования учетной записи для конфиденциальных учетных записей Администратор istrator

              Хотя учетные записи пользователей по умолчанию не помечены для делегирования, учетные записи в домене Active Directory могут быть доверенными для делегирования. Это означает, что служба или компьютер, доверенный для делегирования, могут олицетворить учетную запись, которая проходит проверку подлинности для доступа к другим ресурсам в сети.

              Для конфиденциальных учетных записей, таких как принадлежащие членам Администратор istrators, доменных Администратор или корпоративных групп Администратор в Active Directory, делегирование может представлять значительный риск эскалации прав. Например, если учетная запись в группе доменных Администратор s используется для входа на скомпрометированный сервер-член, доверенный для делегирования, этот сервер может запрашивать доступ к ресурсам в контексте учетной записи доменных Администратор s, а также скомпрометировать этот сервер-член до компрометации домена.

              Рекомендуется настроить объекты пользователей для всех конфиденциальных учетных записей в Active Directory, выбрав учетную запись конфиденциальной и не удается делегировать проверка box в разделе «Параметры учетной записи», чтобы предотвратить делегирование учетных записей. Дополнительные сведения см. в разделе Параметры локальных учетных записей по умолчанию в Active Directory.

              Как и при любом изменении конфигурации, проверьте этот параметр полностью, чтобы убедиться, что он работает правильно перед реализацией.

              Screenshot of the Active Directory account properties window. The

              Защита контроллеров домена и управление ими

              Рекомендуется строго применять ограничения на контроллеры домена в вашей среде. Это гарантирует, что контроллеры домена:

              • Запустите только необходимое программное обеспечение.
              • Требовать регулярного обновления программного обеспечения.
              • Настраиваются с соответствующими параметрами безопасности.

              Одним из аспектов защиты контроллеров домена и управления ими является обеспечение полной защиты учетных записей локальных пользователей по умолчанию. Важно ограничить и защитить все учетные записи конфиденциального домена, как описано в предыдущих разделах.

              Так как контроллеры домена хранят хэши паролей учетных данных всех учетных записей в домене, они являются высокоценными целевыми объектами для вредоносных пользователей. Если контроллеры домена не являются хорошо управляемыми и защищенными с помощью ограничений, которые строго применяются, они могут быть скомпрометированы вредоносными пользователями. Например, злоумышленник может украсть учетные данные администратора конфиденциального домена из одного контроллера домена, а затем использовать эти учетные данные для атаки на домен и лес.

              Кроме того, установленные приложения и агенты управления на контроллерах домена могут предоставить путь к эскалации прав, которые злоумышленники могут использовать для компрометации службы управления или администраторов этой службы. Средства управления и службы, которые ваша организация использует для управления контроллерами домена и их администраторами, также важны для безопасности контроллеров домена и учетных записей Администратор istrator домена. Убедитесь, что эти службы и администраторы полностью защищены с равными усилиями.

              См. также

              • Субъекты безопасности
              • Обзор управления доступом

              Все о ППО СЭД

              Толко свежие новости мира кино! Только топовые видео на сайте ТОП ФИЛЬМ вы должны это увидеть!

              • Главная
              • АРМ Генерации ключей. Руководство пользователя
              • АРМ СЭД. АП. Руководство пользователя
              • АРМ СЭД. ВБФ. Руководство пользователя
              • АРМ СЭД. ГРБС. Руководство пользователя
              • АРМ СЭД. ГРБС СФ, МО. Руководство пользователя
              • АРМ СЭД. Загрузки. Руководство пользователя
              • АРМ СЭД. Клиент. Инструкция по установке и запуску программы. Руководство администратора
              • АРМ СЭД. Контролёр. Руководство пользователя
              • АРМ СЭД. Минфин. Руководство пользователя
              • АРМ СЭД. НУБП-клиент. Руководство пользователя
              • АРМ СЭД. ОФК-клиент. Руководство пользователя
              • АРМ СЭД. ОФК-сервер. Руководство пользователя
              • АРМ СЭД. ПБС. Руководство пользователя
              • АРМ СЭД. ПБС СФ, МО. Руководство пользователя
              • АРМ СЭД. РБС. Руководство пользователя
              • АРМ СЭД. РБС СФ, МО. Руководство пользователя
              • АРМ СЭД. РГС. Руководство пользователя
              • АРМ СЭД. УФК-клиент. Руководство пользователя
              • АРМ СЭД. УФК-сервер. Руководство пользователя
              • АРМ СЭД. ФО-клиент. Руководство пользователя
              • АРМ СЭД. ЦАФК. Руководство пользователя
              • Ведомость документов
              • Инструкция по механизму оповещения в СЭД. Руководство администратора
              • Инструкция по настройке многопользовательского режима СЭД. Руководство администратора
              • Инструкция по настройке прав пользователей в СЭД. Руководство администратора
              • Инструкция по порядку обновления сервера СЭД и удаленного АРМ. Руководство администратора
              • Инструкция по проведению ОЭ. Руководство администратора
              • Инструкция по регистрации АРМ на сервере СЭД. Руководство администратора
              • Инструкция по установке корневого сертификата на АРМ клиента СЭД. Руководство администратора
              • Инструкция по экспорту, импорту документов в СЭД. Руководство администратора
              • Интеграция СЭД с внешними системами. Руководство администратора
              • Клиент СЭД. Руководство администратора
              • Руководство технолога. Доставка отчетов финансовых органов в Федеральное казначейство
              • Сервер СЭД. Руководство администратора
              • СЭД. Восстановление справочников Бюджеты и КВР. Руководство администратора
              • СЭД. Общая часть. Руководство пользователя
              • СЭД. Регламент работы АП и УФК. Руководство пользователя
              • СЭД. Регламент работы с документами ГК. Руководство пользователя
              • СЭД. Регламент работы ФО и ТОФК. Руководство пользователя
              • СЭД. Репликация справочников. Руководство администратора
              • СЭД. Справочники. Руководство пользователя
              • СЭД.Схемы жизненного цикла ЭД. Руководство пользователя
              • Требования к форматам файлов служебной информации в СЭД. Руководство системного администратора
              • Установка и настройка сервера СЭД. Руководство системного администратора
              • Установка и настройка СУБД. Руководство системного администратора
              • Утилита FKRouter. Руководство администратора
              • Утилита LicJoin. Руководство администратора

              Если документ не читается или не видны картинки, можете скачать его по адресу ARM_SJED._Kontroler._Rukovodstvo_polzovatelya.doc

              __________________ /Попов А. Ю./

              «___» ____________ 201__ г.

              ________________ /Крикунчик Д. Г./

              «___» ____________ 201__ г.

              ППО «Казначейское исполнение доходов и расходов федерального бюджета и кассовое обслуживание территориальных бюджетов v. 101 (Центр-КС)» (модуль «СЭД»)

              АРМ СЭД. Контролёр

              Код документа: 54819512.10.13,00.11.01-4.7 2-ЛУ

              От Федерального казначейства

              Начальник Управления информационных систем

              ________________ /Шолкин А. А./

              «___» ____________ 201__ г.

              ________________ /Коспанов А. А./

              «___» ____________ 201__ г.

              ППО «Казначейское исполнение доходов и расходов федерального бюджета и кассовое обслуживание территориальных бюджетов v. 101 (Центр-КС)» (модуль «СЭД»)

              АРМ СЭД. Контролёр

              Код документа: 54819512.10.13,00.11.01-4.7 2

              1. Общая часть.. 3

              1.1. Назначение документа. 3

              1.2. Перечень сокращений. 3

              1.3. Функции АРМ Контролер. 5

              1.4. Выполняемые задачи. 7

              1.5. Алгоритм работы.. 7

              2. Предварительные настройки работы АРМ «Контролер». 8

              2.1. Доступ к АРМ Контролер. 8

              2.2. Настройка каталога для обмена информацией с ППО «Центр-КС». 8

              2.3. Настройка директорий экспорта в СЭД.. 8

              3. Работа с АРМ «Контролер». 9

              3.1. Настройка параметров контроля. 9

              3.2. Процедура контроля. 13

              3.3. Протокол сверки. 19

              ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ.. 24

              1. Общая часть

              1.1. Назначение документа

              Настоящий документ предназначен для описания автоматизированной Системы электронного документооборота в части рабочего места «Контролер» (далее – АРМ «Контролер»), обеспечивающего проверку соответствия платежных документов, передаваемых в банк органом Федерального казначейства платежным документам, полученным от клиентов (финансового органа субъекта РФ, муниципального образования, ПБС и РБС).

              1.2. Перечень сокращений

              Таблица 1. Перечень сокращений

              Термин

              Содержание

              Автоматизированное рабочее место.

              Автоматизированное рабочее место пользователя – Управления Федерального казначейства, включенное в систему электронного документооборота Федерального казначейства, предназначенное для загрузки в базу данных модуля прикладного программного обеспечения «Казначейское исполнение доходов и расходов федерального бюджета и кассовое обслуживание территориальных бюджетов v. 101 (Центр-КС)», обеспечивающий гарантированную доставку электронных документов и верификации платежных документов, поступивших из внешних источников для предания им юридической значимости. Является подсистемой модуля прикладного программного обеспечения «Казначейское исполнение доходов и расходов федерального бюджета и кассовое обслуживание территориальных бюджетов v. 101 (Центр-КС)», обеспечивающий гарантированную доставку электронных документо0432

              Автоматизированное рабочее место системы электронного документооборота, обеспечивающее проверку соответствия платежных документов, полученных от клиентов органов Федерального казначейства, платежным поручениям, передаваемым в учреждение Центрального банка Российской Федерации или другие кредитные учреждения (Управление Федерального казначейства по субъекту Российской Федерации) органом Федерального казначейства. Является подсистемой модуля прикладного программного обеспечения «Казначейское исполнение доходов и расходов федерального бюджета и кассовое обслуживание территориальных бюджетов v. 101 (Центр-КС)», обеспечивающий гарантированную доставку электронных документов.

              Автоматизированное рабочее место пользователя – Управления Федерального казначейства по субъекту Российской Федерации, включенное в систему электронного документооборота Федерального казначейства (серверная часть).

              Автоматизированное рабочее место пользователя – Отделения Управления Федерального казначейства, включенное в систему электронного документооборота Федерального казначейства (серверная часть).

              Единый казначейский счет.

              Отделение Федерального казначейства города, района, района города.

              Получатель бюджетных средств – орган государственной власти (государственный орган), орган управления государственным внебюджетным фондом, орган местного самоуправления, орган местной администрации, находящееся в ведении главного распорядителя (распорядителя) бюджетных средств бюджетное учреждение, имеющие право на принятие и (или) исполнение бюджетных обязательств за счет средств соответствующего бюджета».

              Прикладное программное обеспечение «Казначейское исполнение доходов и расходов федерального бюджета и кассовое обслуживание территориальных бюджетов v. 101 (Центр-КС)».

              Модуль прикладного программного обеспечения «Казначейское исполнение доходов и расходов федерального бюджета и кассовое обслуживание территориальных бюджетов v. 101 (Центр-КС)», обеспечивающий гарантированную доставку электронных документов.

              Распорядитель бюджетных средств (распорядитель средств соответствующего бюджета) – орган государственной власти (государственный орган), орган управления государственным внебюджетным фондом, орган местного самоуправления, орган местной администрации, бюджетное учреждение, имеющие право распределять бюджетные ассигнования и лимиты бюджетных обязательств между подведомственными распорядителями и (или) получателями бюджетных средств.

              Реестр направленных платежей

              Пакет электронных документов, содержащий один или более электронных платежных документов, являющийся основанием для совершения операций по счетам Федерального казначейства, открытым в учреждении Банка России или других кредитных учреждениях, имеющий равную юридическую силу с платежными документами на бумажных носителях, подписанными собственноручными подписями уполномоченных лиц и заверенными оттиском печати, предназначенный для осуществления расчетов через учреждения Банка России или другие кредитные учреждения.

              Реестр направленных платежей.

              Рейс платежных поручений подлежащих оплате/Реестр расходных платежных документов – системный документ ППО «Центр-КС», в который включаются прошедшие контроль платежные поручения для дальнейшей отправки в кредитные организации.

              Рейс платежных поручений подлежащих оплате/Реестр расходных платежных документов – системный документ ППО «Центр-КС», в который включаются прошедшие контроль платежные поручения для дальнейшей отправки в Управление Федерального казначейства по субъекту Российской Федерации при работе в условиях единого казначейского счета.

              Автоматизированная система электронного документооборота Федерального казначейства Российской Федерации.

              Территориальный орган Федерального казначейства. К территориальным органам Федерального казначейства относятся управления Федерального казначейства и их территориальные представительства – отделения федерального казначейства.

              Управление Федерального казначейства по субъекту Российской Федерации.

              Унифицированный формат электронных банковских сообщений.

              Федеральное казначейство Российской Федерации.

              Финансовый орган по субъекту Российской Федерации.

              Центральный банк Российской Федерации.

              Электронный документ системы, аналог бумажного документа в системе документооборота организации, имеющий строго оговоренные функции (в зависимости от класса документа), несущий только определенный набор информации (поля) и обладающий жестко установленными жизненными циклами (статусами).

              Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. В электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

              1.3. Функции АРМ Контролер

              АРМ «Контролер» устанавливается в УФК/ОФК, где будет осуществляться проверка сформированного реестра направленных платежей по технологии, описанной ниже, с последующей отправкой реестра направленных платежей в УФК (из ОФК), либо для передачи в банк.

              Проверка по платежным поручениям осуществляется в следующем порядке:

              – Доставка платежного поручения на сервер ТОФК;

              – Выгрузка платежного поручения в АС ТОФК;

              – Проверка платежного поручения в АС ТОФК;

              – Формирование и выгрузка рейса платежных поручений и его верификация на АРМ «Загрузки» (подробнее см. в документе «АРМ СЭД. Загрузки. Руководство пользователя»);

              – Формирование реестра направленных платежей в АС ТОФК;

              – Выгрузка реестра направленных платежей из АС ТОФК в защищенный каталог в установленном формате для АРМ Контролер;

              – АРМ Контролер на сервере ТОФК. Проверка соответствия платежных поручений, вошедших в реестр, платежным поручениям и документам-основаниям, полученным от ФО СФ, ПБС, РБС, и проверка на совпадение с отказанными платежными поручениями, содержащимися в ЭД «Уведомление о состоянии платежных документов»;

              – Выгрузка реестра направленных платежей, прошедшего проверку, в каталог обмена с АРМ ЦБ РФ.

              Краткая схема технологии обмена представлена на рисунке 1.

              Рисунок 1. Схема участия АРМ контролера в процессе доставки платежных поручений от клиента органа Федерального казначейства до банка

              Функционал, выполняемый на АРМ Контролер, изображен красными стрелками.

              1.4. Выполняемые задачи

              АРМ «Контролер» предназначен для осуществления проверки соответствия платежных поручений и документов-оснований, полученных от ФО СФ, ПБС, РБС через СЭД, платежным поручениям, вошедшим в реестр направленных платежей, сформированный и выгруженный из АС ТОФК. Помимо этого осуществляется проверка на наличие платежных поручений в статусе «Отказан» в документе «Уведомление о состоянии платежных документов».

              Сотрудник ТОФК осуществляет загрузку файла с реестром направленных платежей на клиент АРМ СЭД «Контролер». Далее в результате запуска на клиенте АРМ «Контролер» соответствующей функции, осуществляется проверка соответствия платежных документов в Реестре НП платежным поручениям и документам-основаниям (ЭД «Заявка на кассовый расход», ЭД «Заявка на возврат»), содержащимся в БД СЭД, а также в документе «Уведомление о состоянии платежных документов». В результате проверки формируется протокол, в котором отражаются результаты проверки соответствия реестра направленных платежей, выгруженному из АС ТОФК, документам, доставленным на сервер СЭД ТОФК от ФО СФ, ПБС, РБС, либо загруженным из АРМ «Загрузки». Реестр направленных платежей, успешно прошедший проверку соответствия, по ее окончанию выгружается в каталог, предназначенный для обмена информацией с системой «Клиент – банк» ЦБ РФ.

              1.5. Алгоритм работы

              Алгоритм работы пользователя АРМ Контролер включает в себя следующие этапы:

              – настройка каталогов экспорта реестра направленных платежей;

              – настройка параметров процедуры контроля;

              – импорт реестра, полученного от АС ТОФК, из каталога загрузки;

              – запуск процедуры проверки соответствия платежных поручений, содержащихся в загруженном файле, документам в БД СЭД, полученным от клиента ФО, ПБС, РБС;

              – выгрузка протокола в каталог экспорта / печать протокола проверки на бумажный носитель;

              – выгрузка реестра направленных платежей, прошедшего проверку, в каталог экспорта в АРМ ЦБ РФ.

              Для корректного проведения процедуры контроля необходимо соблюдение следующих условий:

              – формат принимаемого в СЭД файла реестра направленных платежей должен соответствовать формату, выбранному в главной форме АРМ «Контролер»;

              – Для корректной сверки платежных поручений необходимо, чтобы принятые от клиентов документы на сервере ТОФК имели статус:

              – «*Принят ФК», «*Принят ФК>» или «*Принят ФК+»;

              – «*Исполнен», «*Исполнен >» или «*Исполнен +»;

              – «*Отправлен в банк», «*Отправлен в банк >» или «*Отправлен в банк +».

              и на каждый документ имелся квиток АС ТОФК.

              2. Предварительные настройки работы АРМ «Контролер»

              2.1. Доступ к АРМ Контролер

              Для доступа к работе с функционалом АРМ Контролер необходимо, чтобы данному пользователю была назначена роль CONTROLRP.

              Для обеспечения возможности включения в проверяемые документы заявлений на перечисление средств из состава ЭД «Пакет заявок» пользователю должна быть назначена роль RGS или ADMINISTRATOR.

              Назначение ролей пользователям производит администратор СЭД. Для вступления в силу изменений системы прав пользователей после назначения роли необходимо повторно авторизоваться под данным пользователем.

              2.2. Настройка каталога для обмена информацией с ППО «Центр-КС»

              В ППО «Центр-КС» должен быть настроен каталог обмена для выгрузки реестра направленных платежей (Режим «ЭОД/Взаимодействие с РКЦ Банком/Настройка алгоритма», поле «Рабочий каталог файлов»). Подробную настройку см. в документации к ППО «Центр-КС».

              2.3. Настройка директорий экспорта в СЭД

              Пути к каталогу экспорта файлов реестров определены на программном уровне и являются системной константой. Для просмотра путей к директориям экспорта выберите в главном меню пункт «Справочники – Системные – Параметры – Системные константы». В открывшейся форме будут представлены все системные константы.

              Значение параметра «Архивная директория для реестров, прошедших проверку» определяет директорию, в которую размещаются проверенные корректные файлы реестров. По умолчанию указано значение «\SUBSYS\CHECKRP\CHECKED».

              Значение параметра «Архивная директория для реестров, не прошедших проверку» определяет директорию, в которую размещаются проверенные файлы реестров, не прошедшие контроль корректности. По умолчанию указано значение «\SUBSYS\ CHECKRP\BAD».

              Для редактирования пути к директории для реестров необходимо выбрать курсором нужное название параметра и нажать кнопку на панели инструментов. В открывшейся форме (см. рисунок 2) в поле «Администраторское значение» или «Пользовательское значение» следует ввести путь директории экспорта и нажать «ОК».

              Рисунок 2. Ввод пути к директории экспорта

              3. Работа с АРМ «Контролер»

              3.1. Настройка параметров контроля

              Для настройки параметров и запуска процедуры контроля АРМ Контролер следует нажать кнопку на панели инструментов главного окна АРМ Сервер-УФК (ОФК).

              При этом открывается форма «Контроль правильности данных реестра НП», предназначенная для настройки параметров контроля и запуска процедуры контроля (см. рисунок 3). Механизм контроля реализован программными средствами СЭД и не требует участия контролера.

              Рисунок 3. Форма «Контроль правильности данных реестра НП»

              В данной форме необходимо настроить следующие параметры:

              – Группа полей «Параметры проверки» (слева направо):

              – «Пакеты платежных поручений» – постановка флага означает, что в проверяемые документы включены пакеты ПП.

              – «за даты с.. по…» – указывается расчетный период (начальная и конечная дата), за который производится выборка документов для проверки. По умолчанию проставляется конечная дата – текущая дата, начальная дата – текущая дата минус один день.

              – «Платежные поручения АРМ «Загрузки»» – установка флага означает, что в проверяемые документы включены платежные поручения, полученные с АРМ «Загрузки».

              – «Платежные поручения (8Н)» – установка флага означает, что в проверяемые документы включены платежные поручения.

              – «за даты с.. по…» – указывается расчетный период (начальная и конечная дата), за который производится выборка документов для проверки. По умолчанию проставляется конечная дата – текущая дата, начальная дата – текущая дата минус один день.

              – «Заявления на перечисление» – установка флага означает, что в проверяемые документы включены заявления на перечисление средств из состава ЭД «Пакет заявок». По умолчанию флаг «Заявления на перечисление» неактивен. Флаг активен, если пользователь работает под учетной записью, в права доступа которой добавлена роль «RGS», или «ADMINISTRATOR».

              – «Рейсы в формате ЕКС» – установка флага означает, что в проверяемые документы включены документы, полученные от ОФК посредством документа «Рейс ЕКС».

              – «за даты с … по …» – указывается расчетный период (начальная и конечная дата), за который производится выборка рейсов для проверки. По умолчанию проставляется конечная дата – текущая дата, начальная дата – текущая дата минус один день.

              – «Заявки на кассовый расход» – установка флага означает, что в проверяемые документы включены ЭД «Заявка на кассовый расход», находящиеся на одном из статусов: «*Принят ФК», «*Принят ФК>» или «*Принят ФК+»; «*Исполнен», «*Исполнен >» или «*Исполнен +»; «*Отправлен в банк», «*Отправлен в банк >» или «*Отправлен в банк +».

              – «за даты с … по …» – указывается расчетный период (начальная и конечная дата), за который производится выборка документов для проверки. По умолчанию проставляется конечная дата – текущая дата, начальная дата – текущая дата минус один день.

              – «Заявки на возврат» – установка флага означает, что в проверяемые документы включены ЭД «Заявка на возврат», находящиеся на одном из статусов: «*Принят ФК», «*Принят ФК>» или «*Принят ФК+»; «*Исполнен», «*Исполнен >» или «*Исполнен +»; «*Отправлен в банк», «*Отправлен в банк >» или «*Отправлен в банк +».

              – «за даты с … по …» – указывается расчетный период (начальная и конечная дата), за который производится выборка документов для проверки. По умолчанию проставляется конечная дата – текущая дата, начальная дата – текущая дата минус один день.

              – «Уведомления о межрегиональном зачете» – постановка флага означает, что в проверяемые документы включены ЭД «Уведомления о межрегиональном зачете», находящиеся на одном из статусов: «*Принят ФК», «*Принят ФК>» или «*Принят ФК+»; «*Исполнен», «*Исполнен >» или «*Исполнен +»; «*Отправлен в банк», «*Отправлен в банк >» или «*Отправлен в банк +».

              – «за даты с.. по…» – указывается расчетный период (начальная и конечная дата), за который производится выборка документов для проверки. По умолчанию проставляется конечная дата – текущая дата, начальная дата – текущая дата минус один день.

              – «Проверять подпись под документами» – установка флага (установлен по умолчанию) означает, что система будет идентифицировать ЭЦП документов БД СЭД перед запуском на проверку.

              – «Выгружать протокол проверки» – установка флага (установлен по умолчанию) инициирует автоматическую выгрузку протокола проверки в настраиваемую директорию экспорта.

              – «Проверять дублирование записей Реестра НП» – установка флага означает, что должен выполняться процесс автоматического удаления п/п ЭД «Реестр НП» из таблицы БД за указанный временной интервал и загрузки п/п из файла ЭД «Реестр НП» в таблицу БД с последующей проверкой наличия дублей п/п.

              – «Прекращать проверку при первой ошибке» – установка флага означает, что проверка реестра будет остановлена после нахождения первой ошибки и в отчет о проверке войдет только данная ошибка.

              – «Наложить ЭЦП после успешной проверки» – установка флага означает, что после успешной проверки реестр НП сохраняется в БД ППО «СЭД» и подписывается ЭЦП ответственного сотрудника. Формирование электронно-цифровой подписи на данных реестра позволяет исключить риски несанкционированной модификации реестра НП. При экспорте реестра НП вместе с файлом самого реестра выгружается файл с ЭЦП для данного реестра.

              – «Тип формата» – при помощи кнопки выбирается тип формата импорта реестра НП. При этом открывается форма «Типы форматов реестра НП» (см. рисунок 4).

              Рисунок 4. Типы форматов реестра НП

              Типы форматов реестра НП:

              – 0 – «R-макет» – стандартный формат отсылки (не настраиваемый).

              – 1 – «Таблица BVNA» – стандартный формат отсылки (не настраиваемый).

              – 2 – «Текстовый файл с позиционным расположением» – стандартный формат отсылки (настраиваемый по позициям). При выборе данного формата становится доступным блок данных «Формат», в котором необходимо указать формат импорта реестра в списке выбора – «Системный» или «Пользовательский» и нажать кнопку для выбора.

              – При выборе значения «Системный» открывается форма выбора формата «Рабис-НП». Для просмотра содержания формата необходимо нажать кнопку . Откроется форма «Системные форматы контроля реестра НП» (см. рисунок 5)

              Рисунок 5. Окно выбора системного формата Рабис-НП

              – При выборе значения «Пользовательский» открывается форма списка пользовательских форматов. Для создания нового формата следует нажать кнопку .

              – 3 – «DBF таблица» – стандартный формат отсылки (настраиваемый по позициям). При выборе значения DBF таблица» необходимо указать формат импорта пакета в появившемся списке выбора – «Системный» или «Пользовательский».

              – При выборе значения «Системный» открывается форма выбора формата «Рабис-1» и «Рабис-2». Для просмотра содержания форматов необходимо нажать кнопку , откроется форма «Системные форматы контроля реестра НП» (см. рисунок 6). Если выбрано значение «Рабис-2», то в форме «Контроль правильности данных реестра НП» отобразится флаг «Файлы в архиве», в текстовом поле «Загружать файлы по маске» при этом отображается значение «*.dbf». При установке флажка «Файлы в архиве», в текстовом поле «Загружать файлы по маске» выводится значение «*.arj».

              Рисунок 6. Окно выбора системных форматов Рабис-1, 2

              – При выборе значения «Пользовательский» открывается форма списка пользовательских форматов. Для создания нового формата нажать кнопку .

              – 4 – «ЕКС» – стандартный формат отсылки (не настраиваемый).

              – 5 – «УФЭБС» – стандартный формат отсылки (не настраиваемый).

              – «Все файлы реестров НП по маске из пользовательской директории». Указывается путь к файлу реестра направленных платежей. Для выбора директории и файла загрузки используется кнопка (см. рисунок 3). При этом открывается окно выбора пути к директории файла импорта (см. рисунок 7).

              Рисунок 7. Окно выбора директории импорта

              Примечание. Директория импорта файлов платежных поручений выбирается вручную при первой проверке. После осуществления первой проверки путь к директории импорта сохраняется в реестре Windows и в дальнейшем при следующем вызове процедуры проверки читается из реестра Windows.

              – «Указанный файл реестра НП». Данный режим позволяет вручную выбрать директорию загрузки и файл любого формата для импорта при помощи кнопки (см. рисунок 7).

              – В поле «Загружать файлы по маске» (см. рисунок 3) отображается значение формата файла реестра, выбранное в поле «Формат».

              – При выборе значения «Все» (см. рисунок 3) будут выбраны для загрузки все найденные в директории импорта файлы указанного формата. При выборе значения «Выбранные» можно отметить флагом . файлы, которые предназначены для загрузки. Файлы, не отмеченные флагом , не будут импортированы.

              3.2. Процедура контроля

              Для запуска процедуры контроля документов реестра НП необходимо нажать кнопку «ОК» в форме «Контроль правильности данных реестра НП» (см. рисунок 3).

              При анализе документов учитываются значения:

              – системной константы «Номер расчетного счета доходов» («Справочники – Системные – Параметры – Системные константы – Номер расчетного счета доходов»);

              – справочника «Номера счетов бюджетов» («Справочники – Внутренние – Номера счетов бюджетов»).

              Если при анализе значений реквизитов обрабатываемого платежного поручения значение реквизита «Номер счета отправителя» равно значению, указанному в системной константе «Номер расчетного счета доходов», и значение реквизита «Номер счета получателя» не найдено среди значений справочника «Номера счетов бюджетов», то поиск данного платежного поручения производится среди ЭД «Платежное поручение АРМ Загрузки».

              Если реестр НП содержит только платежные поручения, прошедшие контроль, которые присутствуют в БД АРМ Сервер-УФК, то на экран выводится протокол об успешном завершении контроля.

              Платежные поручения в реестре НП, у которых значение реквизита «Номер счета отправителя» равно значению системной константы «Номер расчетного счета доходов» и значение реквизита «Номер счета получателя» присутствует в справочнике «Номера счетов бюджетов», исключаются из контроля. В сл

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *