HelloDoc

[Ratonhnhakéton]

Bonsoir à tous.

J'ai un souci avec le logiciel HelloDoc.

Je vous pose le contexte. Je suis en charge de l'informatique sur plusieurs établissements de santé qui fonctionnent chacun en domaine. Deux utilisateurs ont besoin d'avoir sur le poste le logiciel HelloDoc mais celui-ci nécessite d'être exécuté sur une session admin pour fonctionner. Or, les utilisateurs ne sont pas admin de leur postes pour des questions de sécurité. Ce qui fait que chaque fois que l'on démarre le logiciel HelloDoc il affiche des messages comme quoi tel fichier est absent ou illisible soit que les droits sont insuffisants. Et si on l'exécute en tant qu'administrateur, celui-ci demande le mot de passe admin du domaine ou du poste local.

J'ai appelé le support HelloDoc qui ne m'a rien dit de plus qu'il fallait que les utilisateurs soient admin de leurs postes. J'ai posé la question à des collègues informaticiens qui pour l'instant ne savent pas plus que moi comment faire.

N'étant pas dev pour deux sous je ne comprends pas pourquoi ce logiciel, alors que les utilisateurs en utilisent plein d'autres sans souci, demande une session admin avec tous les risques que cela comprend ?

Quelqu'un aurait-il une solution pour résoudre ce problème ?

 

•  

[Sheepux]

Est ce que l'application fonctionne ainsi:

cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" lechemindemonapp.exe"
https://superuser.com/questions/171917/force-a-program-to-run-without-administrator-privileges-or-uac

[Minikea]

@Sheepux y'a peu de chance vu que :

Il y a 13 heures, Ratonhnhakéton a écrit :

Ce qui fait que chaque fois que l'on démarre le logiciel HelloDoc il affiche des messages comme quoi tel fichier est absent ou illisible soit que les droits sont insuffisants.

ce qui serait bien c'est un truc à la sudo: possibilité de lancer ce logiciel et uniquement lui en mode admin sans mot de passe.

sinon, il y a bien cette astuce pour contourner le problème: https://www.pcastuces.com/pratique/windows/uac_vista/page3.htm

mais je sais pas si on peux la déployer facilement sur plusieurs poste de manière automatique.

[brice.wernet]

Le plus simple est déjà d'essayer de lancer le logiciel dans un mode de compatibilité.

D'autre part, on peut aussi tenter d'identifier les répertoires "illisibles" ou "absent" et de donner les droits dessus à tout le monde.

Parfois, mettre les utiilsateurs dans le groupe "Utilisateurs avec pouvoir" du poste permet de débloquer la situation.

 

J'y crois moyen: vu ton message de fichier introuvable, je pense que le logiciel est installé uniquement pour une personne (en tout cas, il a dû inscrire un chemin quelque part qui n'est pas visible par ton utilisateur, ou même l'endroit où le chemin est inscrit n'est pas visible)

C'est souvent un problème avec des logiciels 32 bits car Windows "virtualise" la base de registre et le système de fichier: ce qui doit être inscrit dans la base "centrale" est inscrit dans la base de l'utilisateur qui installe. C'est aussi parfois le cas car les personnes du service info ne lisent pas les modes d'emploi et oublient de cocher la petite case "installer pour tous les utilisateurs".

En général la solution passe par la lecture du mode d'emploi ou un détricotage des modifs effectuées par l'installeur (fichiers déposés, DLL enregistrées et modifs base de registre) (procmon powaaaa!!!).

Par exemple, nombre de logiciels VB6 ouvrent un fichier en lecture/écriture dans C:\Windows ou C:\Windows\System. Le fichier est en fait lu/écrit à l'emplacement C:\Users\<username>\AppData\Local\VirtualStore et pas depuis C:\windows

--> Comme c'est dépendant de l'utilisateur, seul celui qui a installé le logiciel l'a.

C'est malheureusement aussi le cas avec la base de registre: au lieu d'être enregistré sur l'emplacement "partagé", c'est enregistré sur l'emplacement de l'utilisateur en cours.

Le logiciel "Windows Application Compatibility Toolkit " peut aider à diagnostiquer le problème (attention, c'est dans un énorme kit destiné aux équipes infra/système)

 

Il y a 16 heures, Ratonhnhakéton a écrit :

N'étant pas dev pour deux sous je ne comprends pas pourquoi ce logiciel, alors que les utilisateurs en utilisent plein d'autres sans souci, demande une session admin avec tous les risques que cela comprend ?

Ca je peux répondre:

• parce qu'un dev au début n'a pas fait attention à  ce qu'il faisait
• parce que les gens programment encore en vieux Windev qui n'est pas vraiment compatible avec toutes les sécurités ajoutées aujourd'hui (et donc même le développeur n'a pas de solution)
• parce que plein de dev ignorent complètement comment marche Windows, la base de registre
• parce que le logiciel répond à un marché de niche, avec peu de concurrents, et que du coup tant que c'est acheté on n'a pas besoin de toucher quoique ce soit

Il y a 4 heures, Sheepux a écrit :

cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" lechemindemonapp.exe"

Je ne connaissais pas. Dans le cas présent, je pense que pour que ça fonctionne, il aurait fallu que le setup soit lui-même lancé ainsi pour éviter la virtualisation de répertoire/registry

[Minikea]

Il y a 20 minutes, brice.wernet a écrit :

Je ne connaissais pas. Dans le cas présent, je pense que pour que ça fonctionne, il aurait fallu que le setup soit lui-même lancé ainsi pour éviter la virtualisation de répertoire/registry

ou justement pour la forcer sur l'utilisateur courant. (et pas le compte admin)

après on est d'accord, c'est trouver une solution de contournement pour un problème généré par le dev du programme lui même: mauvais programme.

[CryoGen]

J'avais des soucis similaire avec SAGE. Il m'a suffit d'ajouter aux droits d'accès aux répertoires SAGE dans program files, les utilisateurs en mode accès complet.

[Ratonhnhakéton]

Merci à tous pour vos réponses.

J'ai réussi à contourner le problème en utilisant un petit logiciel très pratique Runasspc qui permet d'ouvrir un logiciel avec les droits d'admin (local ou d'un domaine) tout en enregistrant les infos fournies, notamment le mot de passe, dans un fichier crypté.

Quand j'aurai un peu de temps je testerai néanmoins les propositions de Sheepux et Minikea même si j'ai un doute sur l'efficacité de la première solution. Mais si je pouvais éviter de passer pas un logiciel tiers ça serait mieux.

Quant à l'idée de CryoGen de modifier les droits, j'avais essayé c'était encore pire car HelloDoc détecte qu'ils ont été modifiés et demande à ce qu'ils soient remis comme attendu sans quoi il ne démarre pas.

J'ai eu un autre tech support d'HelloDoc au téléphone et je lui ai posé la question pour savoir comment ils faisaient pour déployer leur logiciel dans un environnement avec domaine sans donner les droits d'admin aux utilisateurs. La réponse du mec a été simple, ce n'est pas leur problème c'est aux adminsys du domaine de se débrouiller. Super, merci HelloDoc de nous laisser nous démerder avec votre logiciel mal développé et ses failles de sécurité. Le tech n'avait pas l'air très au fait des méthodes utilisées pour contourner ce problème, il m'a dit que le logiciel en domaine était utilisé en RemoteApp pour contourner les problèmes de droits tout en assurant la sécurité.