Impedisci agli utenti di salvare file con estensione specifica in directory specifiche

8

sfondo

Gli utenti che non possono essere privati ​​dei diritti di amministratore del server tendono a dimenticare che l'inferno perderà quando salveranno i backup del database ( .bak) C:e riempiranno l'unità.

Domanda

È possibile impedire agli utenti che sono amministratori di server di salvare determinati tipi di file nelle directory C:? Dovrebbero comunque essere autorizzati a salvare qualsiasi altro tipo di file C:e i loro diritti su tutte le altre unità dovrebbero rimanere invariati.

Alternativa

Se è impossibile vietare solo determinati tipi di file, è possibile almeno visualizzare un avviso pop-up ogni volta che qualcuno tenta di salvare un .bakfile in determinate directory C:?

altre considerazioni

  1. Per una serie di motivi, è essenziale che questi utenti mantengano i loro privilegi di amministratore del server.

  2. Non mi importa se sto usando autorizzazioni a livello di file, script o oggetti Criteri di gruppo. Tutte le soluzioni che funzionano sono benvenute.

windows-server-2008-r2  filesystems  file-permissions 
QWE
fonte
13
Questo è un problema umano che stai cercando di risolvere usando mezzi tecnici. Parla con gli imprenditori e ottieni il loro buy-in per imporre conseguenze per gli utenti che violano la politica e mettono a rischio le funzioni aziendali.
SEE
8
Dove dovrebbero archiviare i backup? Non hai una procedura stabilita? Cosa succede se hanno un backup non di database da archiviare localmente? Cosa impedisce loro di modificare l'estensione del file?
JAB,
@EEAA Sono d'accordo e ci ho provato. Purtroppo, nonostante i miei continui tentativi, siamo ancora nella stessa situazione di prima.
QWE,
@JAB Hanno altre 4 unità e una di esse è persino chiamata "Backup". Le procedure sono utili solo se vengono seguite e non ho l'autorità per applicarle utilizzando mezzi non tecnici. Salvano i backup su C: per pigrizia, non si preoccuperebbero di cambiare estensione solo per infastidirmi - spero;)
QWE

Risposte:

16

È possibile utilizzare il ruolo "File Resource Server Manager".

L'installazione di questo ruolo viene eseguita da "Server Manager".

Dopo l'installazione, immettere la console mmc "File Resource Server Manager" e seguire questi passaggi:

  1. Crea una nuova regola per lo schermo dei file. 1

  2. Scegli la seconda opzione e fai clic su "Opzioni personalizzate". 2

  3. Scegli il percorso a cui desideri applicare questa regola e aggiungi l'estensione del file. inserisci qui la descrizione dell'immagine

In alternativa, è possibile utilizzare le quote (incluse nello stesso ruolo) per limitare lo spazio che ogni utente può utilizzare.

EliadTech
fonte
1
I backup del server vengono creati dall'utente runas del database. Sono abbastanza sicuro che le quote del disco facciano qualcosa di stupido qui. Oh sì, il backup viene eseguito fino a quando non viene raggiunta la quota e si esplode nel mezzo, consumando tutto lo spazio per il DB fino a quando non viene pulito manualmente.
joshudson,
1
Un avvertimento: non l'ho mai testato, ma ho sentito che potrebbe caricare la tua CPU, alcuni sono sicuri di provarlo prima.
EliadTech,
L'OP ha affermato che questi utenti sono amministratori, quindi anche se "funziona", possono semplicemente disattivarlo.
Bill_Stewart,
@Bill_Stewart Sono totalmente d'accordo, ma questa è l'opzione migliore alle condizioni del PO, ma penso che il PO lo capisca. (Tuttavia, credo di poter limitare correttamente l'amministratore se ci provo abbastanza.)
EliadTech,
Non proprio. Gli amministratori possono semplicemente annullare ciò che hai fatto.
Bill_Stewart,
3

Qui è dove vorrei creare uno strumento di backup / ripristino DB personalizzato che utilizza percorsi da un file di configurazione in modo che i percorsi corretti siano selezionati per impostazione predefinita. Puoi solo rovinare tutto intenzionalmente.

joshudson
fonte
Buon punto, ma ne abbiamo uno ma quasi nessuno lo usa ...
QWE
1
A seconda del proprio ambiente, potrebbe essere possibile bloccare il funzionamento dello strumento standard.
joshudson,
Poiché gli utenti in questione sono già amministratori, possono semplicemente annullarlo.
Bill_Stewart,
@Bill_Stewart: sono sicuro che possono, ma la maggior parte delle persone che commettono errori di base hanno difficoltà a annullare blocchi intelligenti.
joshudson,
Non devi chiederti. I membri di Administratorspossono sicuramente annullarlo (dopo tutto sono amministratori). Hai ragione sul fatto che potrebbero non sapere come, ma non è questo il punto poiché il vero problema è l'aggiunta di persone Administratorsche non dovrebbero essere lì. Tutto il resto è un "cerotto" che non affronta il vero problema.
Bill_Stewart,
1

In questa situazione specifica, cambierei la posizione di backup predefinita usando SQL Management Studio per posizionare i file di backup nella posizione corretta.

Dovrebbe essere nel menu contestuale per l'istanza sql: Proprietà> Impostazioni database

Non penso che gli utenti dell'amministratore di sviluppo stiano riempiendo deliberatamente l'unità C, giusto?

Inoltre, un altro errore comune durante la creazione di un backup SQL è dimenticare di aggiungere l'estensione ".bak" poiché non viene aggiunta automaticamente.

Infine, a volte può essere il servizio SQL che crea i backup e che sarebbe difficile limitare senza interrompere il servizio

OrangeKing89
fonte
1

Dal momento che questi utenti sono membri di Administratorsquesto, ciò significa (aspettarlo) che sono amministratori e possono riempire il disco se lo desiderano. Mi sembra che il vero problema sia che ci sono persone che Administratorsnon dovrebbero esserlo. Dici che sono amministratori per "una serie di ragioni". Se questi motivi sono politici piuttosto che tecnici, allora non ci sarà una soluzione tecnica praticabile, perché stai chiedendo "Come posso limitare gli amministratori?" (La risposta è che gli amministratori possono ignorare tutte le restrizioni.)

Bill_Stewart
fonte
Le ragioni sono davvero politiche. So che possono bypassare tutto ciò che ho impostato. Tutto quello che voglio è creare un ostacolo in modo che venga loro ricordato che C: non è un posto per i backup. Non stanno salvando i file lì maliziosamente. È principalmente il potere dell'abitudine.
QWE,
Poiché i motivi sono politici, non hai mezzi tecnici per far valere nulla.
Bill_Stewart,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.