Фон
Пользователи, которые не могут быть лишены прав администратора сервера, как правило, забывают, что ад потерпит неудачу, когда они сохранят резервные копии базы данных ( .bak
) C:
и заполнят диск.
Вопрос
Можно ли запретить пользователям, являющимся администраторами серверов, сохранять файлы определенного типа в каталогах C:
? Им по-прежнему должно быть разрешено сохранять любые другие типы файлов C:
, и их права на все остальные диски должны оставаться неизменными.
альтернатива
Если невозможно запретить только определенные типы файлов, то возможно ли, по крайней мере, отображать всплывающее предупреждение каждый раз, когда кто-то пытается сохранить .bak
файл в определенных каталогах C:
?
Другие соображения
По ряду причин этим пользователям важно сохранить свои привилегии администратора сервера.
Я не против, использую ли я разрешения на уровне файлов, сценарии или объекты групповой политики. Все решения, которые работают, приветствуются.
Ответы:
Вы можете использовать роль «Диспетчер файловых ресурсов».
Установка этой роли осуществляется из «Диспетчер серверов».
После установки войдите в консоль mmc диспетчера файловых ресурсов и выполните следующие действия:
Создайте новое правило экрана файла.
Выберите второй вариант и нажмите «Пользовательские параметры».
Выберите путь, к которому вы хотите применить это правило, и добавьте расширение файла.
Кроме того, вы можете использовать квоты (включенные в ту же роль), чтобы ограничить пространство, которое может использовать каждый пользователь.
источник
Здесь я бы собрал собственный инструмент резервного копирования / восстановления БД, который использует пути из файла конфигурации, поэтому правильные пути выбираются по умолчанию. Вы можете только преднамеренно облажаться.
источник
Administrators
могут определенно отменить это (в конце концов, они администраторы). Вы правы, что они могут не знать, как, но это не относится к делу, поскольку реальная проблема заключается в добавлении людейAdministrators
, которых там быть не должно. Все остальное - «пластырь», который не решает реальную проблему.В этой конкретной ситуации я бы изменил место резервного копирования по умолчанию, используя SQL Management Studio, чтобы поместить файлы резервных копий в правильное место.
Это должно быть в контекстном меню для экземпляра SQL: Свойства> Настройки базы данных
Я не думаю, что пользователи dev admin намеренно заполняют диск C, верно?
Еще одна распространенная ошибка при создании резервной копии SQL - забыть добавить расширение «.bak», так как оно не добавляется автоматически.
Наконец, иногда это может быть служба SQL, которая создает резервные копии, и это было бы трудно ограничить, не нарушая службу
источник
Поскольку эти пользователи являются членами
Administrators
, это означает (подождите это), что они являются администраторами и могут заполнить диск, если они хотят. Мне кажется, что настоящая проблема в том, что у вас есть люди, членамиAdministrators
которых не должны быть. Вы говорите, что они администраторы по «разным причинам». Если эти причины являются политическими, а не техническими, то не будет жизнеспособного технического решения, потому что вы спрашиваете: «Как я могу ограничить администраторов?» (Ответ заключается в том, что администраторы могут обойти все ограничения.)источник