Hentikan pengguna dari menyimpan file dengan ekstensi spesifik di direktori tertentu

8

Latar Belakang

Pengguna yang tidak dapat dilucuti dari hak administrator server cenderung lupa bahwa neraka akan hilang ketika mereka menyimpan cadangan basis data ( .bak) di C:dan mengisi drive.

Pertanyaan

Apakah mungkin untuk menghentikan pengguna yang merupakan administrator server dari menyimpan jenis file tertentu di direktori C:? Mereka harus tetap diizinkan untuk menyimpan jenis file lain C:, dan hak mereka atas semua drive lain harus tetap tidak berubah.

Alternatif

Jika tidak mungkin untuk melarang hanya jenis file tertentu, maka apakah mungkin untuk setidaknya menampilkan peringatan pop-up setiap kali seseorang mencoba menyimpan .bakfile di direktori tertentu C:?

Pertimbangan Lainnya

  1. Karena berbagai alasan, sangat penting bagi para pengguna ini untuk menjaga hak admin server mereka.

  2. Saya tidak keberatan apakah saya menggunakan izin level file, skrip, atau GPO. Semua solusi yang berhasil dipersilahkan.

windows-server-2008-r2 filesystems file-permissions QWE
sumber
13
Ini adalah masalah manusia yang Anda coba pecahkan menggunakan cara teknis. Berbicara dengan pemilik bisnis dan menerima dukungan mereka untuk menegakkan konsekuensi bagi pengguna yang melanggar kebijakan dan membahayakan fungsi bisnis.
EEAA
8
Di mana mereka seharusnya menyimpan cadangan? Apakah Anda tidak memiliki prosedur yang ditetapkan? Apa yang terjadi jika mereka memiliki cadangan non-database untuk disimpan secara lokal? Apa yang menghentikan mereka untuk mengubah ekstensi file?
JAB
@ EEAA Saya setuju dan saya mencoba. Sayangnya meskipun saya terus berusaha, kami masih dalam situasi yang sama seperti sebelumnya.
QWE
@ JAB Mereka memiliki 4 drive lain dan salah satunya bahkan disebut "Cadangan". Prosedur hanya bermanfaat jika diikuti dan saya tidak memiliki wewenang untuk menegakkannya dengan menggunakan cara non teknis. Mereka menyimpan cadangan di C: karena malas, mereka tidak akan repot-repot mengubah ekstensi hanya untuk mengganggu saya - saya harap;)
QWE

Jawaban:

16

Anda dapat menggunakan peran 'File Resource Server Manager'.

Instalasi peran ini dilakukan dari "Server Manager".

Setelah instalasi, masukkan konsol mmc 'File Resource Server Manager', dan ikuti langkah-langkah ini:

  1. Buat aturan layar file baru. 1

  2. Pilih opsi kedua, dan klik "Opsi Kustom". 2

  3. Pilih jalur yang Anda inginkan untuk menerapkan aturan ini, dan tambahkan ekstensi file. masukkan deskripsi gambar di sini

Atau, Anda dapat menggunakan kuota (termasuk dalam peran yang sama) untuk membatasi ruang yang dapat digunakan setiap pengguna.

EliadTech
sumber
1
Server cadangan dibuat oleh runas basis data pengguna. Saya cukup yakin bahwa kuota disk melakukan sesuatu yang bodoh di sini. Oh ya, cadangan berjalan hingga kuota tercapai dan meledak di tengah, menghabiskan semua ruang untuk DB sampai dibersihkan secara manual.
joshudson
1
Sebuah kata peringatan: Saya belum pernah mengujinya, tapi saya pernah mendengarnya mungkin membebani CPU Anda, beberapa pastikan untuk mengujinya terlebih dahulu.
EliadTech
OP mengatakan bahwa para pengguna ini adalah administrator, jadi meskipun ini "berhasil," mereka dapat dengan mudah mematikannya.
Bill_Stewart
@ Bill_Stewart Sepenuhnya setuju, tapi itu pilihan terbaik di bawah kondisi OP, tapi saya pikir OP mendapatkannya. (Padahal, saya percaya bahwa saya dapat membatasi admin jika saya berusaha cukup keras.)
EliadTech
Tidak juga. Administrator dapat dengan mudah membatalkan apa yang Anda lakukan.
Bill_Stewart
3

Di sinilah saya akan membangun alat DB Backup / Restore kustom yang menggunakan jalur dari file konfigurasi sehingga jalur yang tepat dipilih secara default. Anda hanya dapat mengacaukannya dengan sengaja.

joshudson
sumber
Poin bagus, tapi kami punya satu tapi hampir tidak ada yang menggunakannya ...
QWE
1
Bergantung pada lingkungan Anda, Anda mungkin dapat memblokir alat standar agar tidak berfungsi.
joshudson
Karena pengguna yang bersangkutan sudah menjadi administrator, mereka dapat membatalkannya.
Bill_Stewart
@ Bill_Stewart: Saya yakin mereka bisa tetapi kebanyakan orang yang membuat kesalahan mendasar berjuang untuk membatalkan blok yang pintar.
joshudson
Anda tidak perlu heran. Anggota Administratorspasti dapat membatalkannya (mereka adalah administrator, setelah semua). Anda benar bahwa mereka mungkin tidak tahu caranya, tapi itu intinya karena masalah sebenarnya adalah menambahkan orang Administratorsyang seharusnya tidak ada di sana. Yang lainnya adalah "bantuan band" yang tidak mengatasi masalah sebenarnya.
Bill_Stewart
1

Dalam situasi khusus ini saya akan mengubah lokasi cadangan default menggunakan studio manajemen SQL untuk meletakkan file cadangan di tempat yang benar.

Itu harus di menu konteks untuk contoh sql: Properties> Pengaturan Database

Saya tidak berpikir pengguna admin dev sengaja mengisi drive C kan?

Juga kesalahan umum lainnya saat membuat cadangan SQL adalah lupa menambahkan ekstensi ".bak" karena tidak ditambahkan secara otomatis.

Terakhir, kadang-kadang bisa berupa layanan SQL yang membuat cadangan dan itu akan sulit untuk dibatasi tanpa melanggar layanan

OrangeKing89
sumber
1

Karena pengguna ini adalah anggota Administrators, ini berarti (tunggu saja) bahwa mereka adalah administrator dan dapat mengisi disk jika mereka mau. Bagi saya kedengarannya seperti masalah sebenarnya adalah Anda memiliki orang yang bukan anggota Administrators. Anda mengatakan mereka adalah administrator karena "berbagai alasan". Jika alasan ini lebih bersifat politis daripada teknis, maka tidak akan ada solusi teknis yang layak, karena Anda bertanya, "Bagaimana cara membatasi administrator?" (Jawabannya adalah bahwa administrator dapat melewati semua batasan.)

Bill_Stewart
sumber
Alasan memang politis. Saya tahu bahwa mereka dapat melewati apa pun yang saya atur. Yang saya inginkan adalah membuat penghalang sehingga mereka diingatkan bahwa C: bukan tempat untuk cadangan. Mereka tidak menyimpan file di sana dengan jahat. Ini terutama kekuatan kebiasaan.
QWE
Karena alasannya politis, Anda tidak memiliki sarana teknis untuk menegakkan apa pun.
Bill_Stewart