Ngăn người dùng lưu các tệp có phần mở rộng cụ thể trong các thư mục cụ thể

8

Lý lịch

Người dùng không thể bị tước khỏi quyền quản trị viên máy chủ có xu hướng quên rằng địa ngục sẽ bị mất khi họ lưu các bản sao lưu cơ sở dữ liệu ( .bak) vào C:và điền vào ổ đĩa.

Câu hỏi

Có thể ngăn người dùng là quản trị viên máy chủ lưu một số loại tệp nhất định trong thư mục C:không? Họ vẫn nên được phép lưu bất kỳ loại tệp nào khác C:và quyền của họ đối với tất cả các ổ đĩa khác sẽ không thay đổi.

Thay thế

Nếu không thể chỉ cấm một số loại tệp nhất định, thì ít nhất có thể hiển thị cảnh báo bật lên mỗi khi ai đó cố lưu .baktệp trong các thư mục nhất định C:không?

Những ý kiến ​​khác

  1. Vì nhiều lý do, việc những người dùng này giữ quyền quản trị máy chủ của họ là điều cần thiết.

  2. Tôi không quan tâm liệu tôi có đang sử dụng quyền cấp phép tệp, tập lệnh hoặc GPO không. Tất cả các giải pháp làm việc đều được chào đón.

windows-server-2008-r2  filesystems  file-permissions 
Qwe
nguồn
13
Đây là một vấn đề của con người mà bạn đang cố gắng giải quyết bằng các phương tiện kỹ thuật. Nói chuyện với các chủ doanh nghiệp và mua lại để thực thi các hậu quả đối với người dùng vi phạm chính sách và khiến các chức năng kinh doanh gặp rủi ro.
EEAA
8
Họ dự định lưu trữ các bản sao lưu ở đâu? Bạn không có một thủ tục thành lập? Điều gì xảy ra nếu họ có một bản sao lưu không phải cơ sở dữ liệu để lưu trữ cục bộ? Điều gì ngăn họ thay đổi phần mở rộng tập tin?
JAB
@EEAA Tôi đồng ý và tôi đã thử. Không may mắn mặc dù những nỗ lực liên tục của tôi, chúng tôi vẫn trong tình trạng như trước đây.
Qwe
@JAB Họ có 4 ổ đĩa khác và một trong số họ thậm chí còn được gọi là "Sao lưu". Các thủ tục chỉ hữu ích nếu chúng được tuân theo và tôi không có quyền tác giả để thực thi chúng bằng cách sử dụng các phương tiện phi kỹ thuật. Họ lưu các bản sao lưu trên C: vì sự lười biếng, họ sẽ không thay đổi tiện ích mở rộng chỉ để làm phiền tôi - tôi hy vọng;)
Qwe

Câu trả lời:

16

Bạn có thể sử dụng vai trò 'Trình quản lý máy chủ tài nguyên tệp'.

Việc cài đặt vai trò này được thực hiện từ "Trình quản lý máy chủ".

Sau khi cài đặt, hãy nhập bảng điều khiển mmc của 'Trình quản lý tài nguyên tệp' và làm theo các bước sau:

  1. Tạo một quy tắc màn hình tập tin mới. 1

  2. Chọn tùy chọn thứ hai và nhấp vào "Tùy chọn tùy chỉnh". 2

  3. Chọn đường dẫn bạn muốn áp dụng quy tắc này và thêm phần mở rộng tệp. nhập mô tả hình ảnh ở đây

Ngoài ra, bạn có thể sử dụng hạn ngạch (bao gồm trong cùng một vai trò) để giới hạn không gian mỗi người dùng có thể sử dụng.

EliadTech
nguồn
1
Sao lưu máy chủ được tạo bởi người dùng cơ sở dữ liệu runas. Tôi khá chắc chắn rằng hạn ngạch đĩa làm điều gì đó ngớ ngẩn ở đây. Ồ vâng, bản sao lưu chạy cho đến khi đạt được hạn ngạch và ném bom vào giữa, tiêu tốn toàn bộ không gian cho DB cho đến khi nó được làm sạch bằng tay.
joshudson
1
Một lời cảnh báo: Tôi chưa bao giờ kiểm tra nó, nhưng tôi nghe nói nó có thể gây gánh nặng cho CPU của bạn, một số chắc chắn sẽ kiểm tra nó trước.
EliadTech
OP cho biết những người dùng này là quản trị viên, vì vậy ngay cả khi "hoạt động" này, họ chỉ có thể tắt nó đi.
Bill_Stewart
@Bill_Stewart Hoàn toàn đồng ý, nhưng đó là lựa chọn tốt nhất trong các điều kiện của OP, nhưng tôi nghĩ OP có được nó. (Mặc dù, tôi tin rằng tôi có thể hạn chế quản trị viên đúng cách nếu tôi cố gắng hết sức.)
EliadTech
Không hẳn vậy. Quản trị viên có thể chỉ cần hoàn tác những gì bạn đã làm.
Bill_Stewart
3

Đây là nơi tôi sẽ xây dựng một công cụ Sao lưu / Khôi phục DB tùy chỉnh sử dụng các đường dẫn từ tệp cấu hình để các đường dẫn bên phải được chọn theo mặc định. Bạn chỉ có thể cố tình lên mà cố ý.

joshudson
nguồn
Điểm hay, nhưng chúng tôi có một nhưng hầu như không ai sử dụng nó ...
Qwe
1
Tùy thuộc vào môi trường của bạn, bạn có thể chặn công cụ tiêu chuẩn hoạt động.
joshudson
Vì người dùng trong câu hỏi đã là quản trị viên, họ chỉ có thể hoàn tác nó.
Bill_Stewart
@Bill_Stewart: Tôi chắc chắn họ có thể nhưng hầu hết những người mắc lỗi cơ bản phải vật lộn để hoàn tác các khối thông minh.
joshudson
Bạn không cần phải tự hỏi. Thành viên của Administratorschắc chắn có thể hoàn tác nó (rốt cuộc họ là quản trị viên). Bạn đúng là họ có thể không biết làm thế nào, nhưng đó là vấn đề bên cạnh vì vấn đề thực sự là thêm người vào Administratorsđó không nên ở đó. Mọi thứ khác là "hỗ trợ ban nhạc" không giải quyết được vấn đề thực sự.
Bill_Stewart
1

Trong tình huống cụ thể này, tôi sẽ thay đổi vị trí sao lưu mặc định bằng cách sử dụng phòng quản lý SQL để đặt các tệp sao lưu vào đúng vị trí.

Nó sẽ nằm trong menu ngữ cảnh cho ví dụ sql: Thuộc tính> Cài đặt cơ sở dữ liệu

Tôi không nghĩ người dùng quản trị dev đang cố tình lấp đầy ổ C phải không?

Ngoài ra, một lỗi phổ biến khác khi tạo bản sao lưu SQL là quên thêm phần mở rộng ".bak" vì nó không được thêm tự động.

Cuối cùng, đôi khi nó có thể là dịch vụ SQL tạo ra các bản sao lưu và điều đó sẽ khó hạn chế nếu không phá vỡ dịch vụ

OrangeKing89
nguồn
1

Vì những người dùng này là thành viên của Administrators, điều này có nghĩa là (hãy đợi) rằng họ là quản trị viên và có thể điền vào đĩa nếu họ muốn. Đối với tôi có vẻ như vấn đề thực sự là bạn có những người không phải là thành viên Administrators. Bạn nói rằng họ là quản trị viên vì "nhiều lý do". Nếu những lý do này là chính trị thay vì kỹ thuật, thì đó sẽ không phải là một giải pháp kỹ thuật khả thi, bởi vì bạn đang hỏi, "Làm thế nào để tôi hạn chế quản trị viên?" (Câu trả lời là quản trị viên có thể bỏ qua mọi hạn chế.)

Hóa đơn
nguồn
Lý do là chính trị thực sự. Tôi biết rằng họ có thể bỏ qua bất cứ điều gì tôi thiết lập. Tất cả những gì tôi muốn là tạo ra một vật cản để chúng được nhắc nhở rằng C: không phải là nơi để sao lưu. Họ không lưu các tập tin độc hại ở đó. Đó chủ yếu là sức mạnh của thói quen.
Qwe
Vì các lý do là chính trị, bạn không có phương tiện kỹ thuật để thực thi bất cứ điều gì.
Bill_Stewart
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.