Impedir que os usuários salvem arquivos com extensão específica em diretórios específicos

8

fundo

Os usuários que não podem ser despojados dos direitos de administrador do servidor tendem a esquecer que o inferno será perdido quando salvar os backups do banco de dados ( .bak) C:e preencher a unidade.

Questão

É possível impedir que usuários administradores de servidores salvem certos tipos de arquivos em diretórios C:? Eles ainda devem ter permissão para salvar outros tipos de arquivos C:e seus direitos sobre todas as outras unidades devem permanecer inalterados.

Alternativa

Se for impossível banir apenas determinados tipos de arquivo, é possível exibir pelo menos um aviso pop-up toda vez que alguém tentar salvar um .bakarquivo em determinados diretórios C:?

outras considerações

  1. Por vários motivos, é essencial que esses usuários mantenham seus privilégios de administrador do servidor.

  2. Não me importo se estou usando permissões, scripts ou GPOs no nível do arquivo. Todas as soluções que funcionam são bem-vindas.

windows-server-2008-r2 filesystems file-permissions QWE
fonte
13
Este é um problema humano que você está tentando resolver usando meios técnicos. Converse com os proprietários da empresa e obtenha o apoio deles para impor consequências aos usuários que violam políticas e colocam em risco as funções da empresa.
EEAA
8
Onde eles deveriam armazenar os backups? Você não possui um procedimento estabelecido? O que acontece se eles tiverem um backup que não seja de banco de dados para armazenar localmente? O que os impede de alterar a extensão do arquivo?
JAB
@EEAA Eu concordo e tentei. Infelizmente, apesar das minhas tentativas contínuas, ainda estamos na mesma situação de antes.
QWE 23/09/16
@JAB Eles têm outros 4 drives e um deles é chamado de "Backups". Os procedimentos são úteis apenas se forem seguidos e eu não tenho autoridade para aplicá-los usando meios não técnicos. Eles salvar backups em C: de preguiça, não se daria ao trabalho de extensão mudança só para irritá-me - eu espero;)
QWE

Respostas:

16

Você pode usar a função 'File Resource Server Manager'.

A instalação dessa função é feita no "Gerenciador do Servidor".

Após a instalação, digite o console mmc 'File Resource Server Manager' e siga estas etapas:

  1. Crie uma nova regra de triagem de arquivo. 1

  2. Escolha a segunda opção e clique em "Opções personalizadas". 2

  3. Escolha o caminho ao qual você deseja aplicar esta regra e adicione a extensão do arquivo. insira a descrição da imagem aqui

Como alternativa, você pode usar cotas (incluídas na mesma função) para limitar o espaço que cada usuário pode usar.

EliadTech
fonte
1
Os backups do servidor são criados pelo usuário de runas do banco de dados. Tenho certeza de que as cotas de disco fazem algo idiota aqui. Ah, sim, o backup é executado até que a cota seja atingida e atire no meio, consumindo todo o espaço do banco de dados até que seja limpo manualmente.
Joshudson 22/09/16
1
Uma palavra de cautela: nunca testei, mas ouvi dizer que pode sobrecarregar sua CPU; alguns devem testá-lo primeiro.
EliadTech 23/09/16
O OP disse que esses usuários são administradores, portanto, mesmo que isso "funcione", eles podem simplesmente desativá-lo.
Bill_Stewart
@ Bill_Stewart Concordo totalmente, mas essa é a melhor opção nas condições do OP, mas acho que o OP entende. (Embora, eu acredito que eu posso restringe adequadamente administrador se eu tentar duro o suficiente.)
EliadTech
Na verdade não. Os administradores podem simplesmente desfazer o que você fez.
Bill_Stewart
3

É aqui que eu criaria uma ferramenta personalizada de backup / restauração de banco de dados que usa caminhos de um arquivo de configuração para que os caminhos corretos sejam selecionados por padrão. Você pode estragar tudo intencionalmente.

Joshudson
fonte
Bom ponto, mas nós temos um, mas dificilmente usos ninguém que ...
QWE
1
Dependendo do seu ambiente, você poderá impedir o funcionamento da ferramenta padrão.
Joshudson 23/09/16
Como os usuários em questão já são administradores, eles podem simplesmente desfazê-lo.
Bill_Stewart
@ Bill_Stewart: Tenho certeza de que podem, mas a maioria das pessoas que comete erros básicos luta para desfazer blocos inteligentes.
Joshudson 27/09/16
Você não precisa se perguntar. Os membros de Administratorsdefinitivamente podem desfazê-lo (afinal, eles são administradores). Você está certo de que eles podem não saber como, mas isso não vem ao Administratorscaso, já que o verdadeiro problema é adicionar pessoas a isso não deveria estar lá. Tudo o resto é um "band-aid" que não trata do problema real.
Bill_Stewart
1

Nessa situação específica, eu alteraria o local de backup padrão usando o SQL Management Studio para colocar os arquivos de backup no local correto.

Ele deve estar no menu de contexto da instância sql: Propriedades> Configurações do banco de dados

Eu não acho que os usuários do administrador dev estejam preenchendo deliberadamente a unidade C, certo?

Outro erro comum ao criar um backup SQL é esquecer de adicionar a extensão ".bak", pois ela não é adicionada automaticamente.

Por último, às vezes pode ser o serviço SQL que cria os backups e que seria difícil de limitar sem interromper o serviço

OrangeKing89
fonte
1

Como esses usuários são membros Administrators, isso significa (espere) que eles sejam administradores e possam preencher o disco, se quiserem. Parece-me que o verdadeiro problema é que você tem pessoas que não são membros dele Administrators. Você diz que eles são administradores por "várias razões". Se esses motivos forem políticos, e não técnicos, não haverá uma solução técnica viável, porque você está perguntando: "Como restringir os administradores?" (A resposta é que os administradores podem ignorar todas as restrições.)

Bill_Stewart
fonte
Razões são de fato políticas. Eu sei que eles podem ignorar qualquer coisa que eu configurei. Tudo o que eu quero é criar uma obstrução para que sejam lembrados que C: não é um local para backups. Eles não estão salvando arquivos lá maliciosamente. É principalmente poder do hábito.
QWE 28/09/16
Como as razões são políticas, você não tem meios técnicos para impor nada.
Bill_Stewart 28/09