Evite que los usuarios guarden archivos con extensión específica en directorios específicos

8

Antecedentes

Los usuarios que no pueden ser despojados de los derechos de administrador del servidor tienden a olvidar que el infierno se perderá cuando guarden copias de seguridad de la base de datos ( .bak) C:y llenen el disco.

Pregunta

¿Es posible evitar que los usuarios que son administradores del servidor guarden cierto tipo de archivos en directorios C:? Todavía se les debe permitir guardar cualquier otro tipo de archivo C:, y sus derechos sobre todas las demás unidades deben permanecer sin cambios.

Alternativa

Si es imposible prohibir solo ciertos tipos de archivos, ¿es posible al menos mostrar una advertencia emergente cada vez que alguien intenta guardar un .bakarchivo en ciertos directorios C:?

Otras Consideraciones

  1. Por una variedad de razones, es esencial para estos usuarios mantener sus privilegios de administrador de servidor.

  2. No me importa si estoy usando permisos de nivel de archivo, scripts o GPO. Todas las soluciones que funcionan son bienvenidas.

windows-server-2008-r2 filesystems file-permissions QWE
fuente
13
Este es un problema humano que estás tratando de resolver usando medios técnicos. Hable con los dueños de negocios y obtenga su aceptación por imponer consecuencias para los usuarios que violan las políticas y ponen en riesgo las funciones comerciales.
EEAA
8
¿Dónde se supone que deben guardar las copias de seguridad? ¿No tienes un procedimiento establecido? ¿Qué sucede si tienen una copia de seguridad que no es de base de datos para almacenar localmente? ¿Qué les impide cambiar la extensión del archivo?
JAB
@EEAA Estoy de acuerdo y lo intenté. Desafortunadamente, a pesar de mis continuos intentos, todavía estamos en la misma situación que antes.
QWE
@JAB Tienen otras 4 unidades y una de ellas incluso se llama "Copias de seguridad". Los procedimientos son útiles solo si se siguen y no tengo la autoridad para hacerlos cumplir utilizando medios no técnicos. Ahorran copias de seguridad en C: por pereza, no se molestarían en extensión cambio sólo para molestar a mi - espero;)
QWE

Respuestas:

16

Puede usar la función 'Administrador de servidor de recursos de archivos'.

La instalación de esta función se realiza desde el "Administrador del servidor".

Después de la instalación, ingrese a la consola mmc 'File Resource Server Manager' y siga estos pasos:

  1. Crear una nueva regla de pantalla de archivo. 1

  2. Elija la segunda opción y haga clic en "Opciones personalizadas". 2

  3. Elija la ruta a la que desea que se aplique esta regla y agregue la extensión del archivo. ingrese la descripción de la imagen aquí

Alternativamente, puede usar cuotas (incluidas en el mismo rol) para limitar el espacio que cada usuario puede usar.

EliadTech
fuente
1
Las copias de seguridad del servidor son creadas por el usuario runas de la base de datos. Estoy bastante seguro de que las cuotas de disco hacen algo tonto aquí. Ah, sí, la copia de seguridad se ejecuta hasta que se alcanza la cuota y bombardea en el medio, consumiendo todo el espacio para el DB hasta que se limpia manualmente.
joshudson
1
Una advertencia: nunca lo he probado, pero he oído que puede sobrecargar su CPU, algunos asegúrese de probarlo primero.
EliadTech
El OP dijo que estos usuarios son administradores, por lo que incluso si esto "funciona", simplemente pueden desactivarlo.
Bill_Stewart
@Bill_Stewart Totalmente de acuerdo, pero esa es la mejor opción en las condiciones del OP, pero creo que el OP lo consigue. (Sin embargo, creo que puedo restringir adecuadamente el administrador si lo intento lo suficiente.)
EliadTech
Realmente no. Los administradores simplemente pueden deshacer lo que hiciste.
Bill_Stewart
3

Aquí es donde crearía una herramienta personalizada de copia de seguridad / restauración de base de datos que utiliza rutas de un archivo de configuración para que las rutas correctas se seleccionen de forma predeterminada. Solo puedes arruinar eso intencionalmente.

joshudson
fuente
Buen punto, pero tenemos uno pero casi nadie lo usa ...
QWE
1
Dependiendo de su entorno, es posible que pueda bloquear el funcionamiento de la herramienta estándar.
joshudson
Como los usuarios en cuestión ya son administradores, simplemente pueden deshacerlo.
Bill_Stewart
@Bill_Stewart: Estoy seguro de que pueden, pero la mayoría de las personas que cometen errores básicos luchan para deshacer los bloques inteligentes.
joshudson
No tienes que preguntarte. Los miembros de Administratorsdefinitivamente pueden deshacerlo (son administradores, después de todo). Tienes razón en que tal vez no sepan cómo, pero eso no viene al Administratorscaso ya que el verdadero problema es agregar personas a las que no debería estar ahí. Todo lo demás es una "tirita" que no aborda el problema real.
Bill_Stewart
1

En esta situación específica, cambiaría la ubicación de copia de seguridad predeterminada utilizando el estudio de administración SQL para colocar los archivos de copia de seguridad en el lugar correcto.

Debe estar en el menú contextual de la instancia de SQL: Propiedades> Configuración de la base de datos

No creo que los usuarios administradores de desarrollo llenen deliberadamente la unidad C, ¿verdad?

Además, otro error común al crear una copia de seguridad SQL es olvidar agregar la extensión ".bak", ya que no se agrega automáticamente.

Por último, a veces puede ser el servicio SQL que crea las copias de seguridad y eso sería difícil de limitar sin interrumpir el servicio

OrangeKing89
fuente
1

Dado que estos usuarios son miembros Administrators, esto significa (espere) que son administradores y pueden llenar el disco si lo desean. Me parece que el verdadero problema es que tienes personas que son miembros de lo Administratorsque no debería ser. Dices que son administradores por "una variedad de razones". Si estas razones son políticas más que técnicas, entonces no habrá una solución técnica viable, porque se pregunta: "¿Cómo restrinjo a los administradores?" (La respuesta es que los administradores pueden eludir todas las restricciones).

Bill_Stewart
fuente
Las razones son políticas de hecho. Sé que pueden pasar por alto todo lo que configuré. Todo lo que quiero es crear una obstrucción para que se les recuerde que C: no es un lugar para copias de seguridad. No están guardando archivos allí maliciosamente. Es principalmente el poder del hábito.
QWE
Dado que las razones son políticas, no tienes medios técnicos para hacer cumplir nada.
Bill_Stewart