Verhindern Sie, dass Benutzer Dateien mit einer bestimmten Erweiterung in bestimmten Verzeichnissen speichern

8

Hintergrund

Benutzer, denen die Serveradministratorrechte nicht entzogen werden können, vergessen häufig, dass die Hölle los wird, wenn sie Datenbanksicherungen ( .bak) auf speichern C:und das Laufwerk füllen.

Frage

Ist es möglich, Benutzer, die Serveradministratoren sind, daran zu hindern, bestimmte Dateitypen in Verzeichnissen zu speichern C:? Sie sollten weiterhin die Möglichkeit haben, andere Dateitypen zu speichern C:, und ihre Rechte für alle anderen Laufwerke sollten unverändert bleiben.

Alternative

Wenn es nicht möglich ist, nur bestimmte Dateitypen zu sperren, kann dann jedes Mal, wenn jemand versucht, eine .bakDatei in bestimmten Verzeichnissen zu speichern, mindestens eine Popup-Warnung angezeigt werden C:?

Andere Überlegungen

  1. Aus verschiedenen Gründen ist es für diese Benutzer wichtig, ihre Server-Administratorrechte beizubehalten.

  2. Es macht mir nichts aus, ob ich Berechtigungen auf Dateiebene, Skripte oder Gruppenrichtlinienobjekte verwende. Alle funktionierenden Lösungen sind willkommen.

windows-server-2008-r2 filesystems file-permissions QWE
quelle
13
Dies ist ein menschliches Problem, das Sie mit technischen Mitteln lösen möchten. Sprechen Sie mit den Geschäftsinhabern und erhalten Sie ihr Buy-In, um Konsequenzen für Benutzer durchzusetzen, die gegen Richtlinien verstoßen und Geschäftsfunktionen gefährden.
EEAA
8
Wo sollen sie die Backups speichern? Haben Sie kein etabliertes Verfahren? Was passiert, wenn sie eine Nicht-Datenbanksicherung haben, die lokal gespeichert werden soll? Was hindert sie daran, die Dateierweiterung zu ändern?
JAB
@EEAA Ich stimme zu und ich habe es versucht. Leider sind wir trotz meiner ständigen Versuche immer noch in der gleichen Situation wie zuvor.
QWE
@JAB Sie haben weitere 4 Laufwerke und eines davon heißt sogar "Backups". Verfahren sind nur dann nützlich, wenn sie befolgt werden und ich nicht befugt bin, sie mit nicht technischen Mitteln durchzusetzen. Sie speichern Backups auf C: Aus Faulheit würden sie sich nicht die Mühe machen, die Erweiterung zu ändern, nur um mich zu ärgern - ich hoffe;)
QWE

Antworten:

16

Sie können die Rolle "File Resource Server Manager" verwenden.

Die Installation dieser Rolle erfolgt über den "Server Manager".

Geben Sie nach der Installation die mmc-Konsole 'File Resource Server Manager' ein und führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine neue Dateibildschirmregel. 1

  2. Wählen Sie die zweite Option und klicken Sie auf "Benutzerdefinierte Optionen". 2

  3. Wählen Sie den Pfad aus, auf den diese Regel angewendet werden soll, und fügen Sie die Dateierweiterung hinzu. Geben Sie hier die Bildbeschreibung ein

Alternativ können Sie Kontingente (in derselben Rolle enthalten) verwenden, um den Speicherplatz zu begrenzen, den jeder Benutzer verwenden kann.

EliadTech
quelle
1
Server-Backups werden vom Benutzer der Datenbank-Runas erstellt. Ich bin mir ziemlich sicher, dass Festplattenkontingente hier etwas Dummes bewirken. Oh ja, die Sicherung wird ausgeführt, bis das Kontingent erreicht ist und in der Mitte bombardiert wird, wodurch der gesamte Speicherplatz für die Datenbank belegt wird, bis sie manuell bereinigt wird.
Joshudson
1
Ein Wort der Vorsicht: Ich habe es noch nie getestet, aber ich habe gehört, dass es Ihre CPU belasten könnte. Einige sollten es zuerst testen.
EliadTech
Das OP sagte, diese Benutzer seien Administratoren. Selbst wenn dies "funktioniert", können sie es einfach ausschalten.
Bill_Stewart
@ Bill_Stewart Stimme voll und ganz zu, aber das ist die beste Option unter den Bedingungen des OP, aber ich denke, das OP bekommt es. (Ich glaube jedoch, dass ich den Administrator ordnungsgemäß einschränken kann, wenn ich mich genug
bemühe
Nicht wirklich. Administratoren können einfach rückgängig machen, was Sie getan haben.
Bill_Stewart
3

Hier würde ich ein benutzerdefiniertes DB-Sicherungs- / Wiederherstellungstool erstellen, das Pfade aus einer Konfigurationsdatei verwendet, sodass standardmäßig die richtigen Pfade ausgewählt werden. Sie können das nur absichtlich vermasseln.

Joshudson
quelle
Guter Punkt, aber wir haben einen, aber kaum jemand benutzt ihn ...
QWE
1
Abhängig von Ihrer Umgebung können Sie möglicherweise verhindern, dass das Standardwerkzeug funktioniert.
Joshudson
Da die betreffenden Benutzer bereits Administratoren sind, können sie dies einfach rückgängig machen.
Bill_Stewart
@ Bill_Stewart: Ich bin sicher, dass sie es können, aber die meisten Leute, die grundlegende Fehler machen, haben Schwierigkeiten, kluge Blöcke rückgängig zu machen.
Joshudson
Sie müssen sich nicht wundern. Mitglieder von Administratorskönnen es definitiv rückgängig machen (sie sind schließlich Administratoren). Sie haben Recht, dass sie vielleicht nicht wissen wie, aber das ist nebensächlich, da das eigentliche Problem darin besteht, Leute hinzuzufügen Administrators, die nicht da drin sein sollten. Alles andere ist ein "Pflaster", das das eigentliche Problem nicht angeht.
Bill_Stewart
1

In dieser speziellen Situation würde ich den Standard-Sicherungsspeicherort mithilfe von SQL Management Studio ändern, um die Sicherungsdateien an der richtigen Stelle abzulegen.

Es sollte sich im Kontextmenü der SQL-Instanz befinden: Eigenschaften> Datenbankeinstellungen

Ich glaube nicht, dass die Entwickler-Administratoren das C-Laufwerk absichtlich füllen, oder?

Ein weiterer häufiger Fehler beim Erstellen einer SQL-Sicherung besteht darin, das Hinzufügen der Erweiterung ".bak" zu vergessen, da diese nicht automatisch hinzugefügt wird.

Zuletzt kann es manchmal der SQL-Dienst sein, der die Sicherungen erstellt, und der schwer einzuschränken ist, ohne den Dienst zu unterbrechen

OrangeKing89
quelle
1

Da diese Benutzer Mitglieder von sind Administrators, bedeutet dies (warten Sie darauf), dass sie Administratoren sind und die Festplatte füllen können, wenn sie möchten. Es klingt für mich so, als ob das eigentliche Problem darin besteht, dass Sie Leute haben, die Mitglieder davon sind Administrators, die es nicht sein sollten. Sie sagen, sie sind Administratoren aus "verschiedenen Gründen". Wenn diese Gründe eher politischer als technischer Natur sind, wird es keine praktikable technische Lösung geben, da Sie fragen: "Wie beschränke ich Administratoren?" (Die Antwort lautet, dass Administratoren alle Einschränkungen umgehen können.)

Bill_Stewart
quelle
Gründe sind in der Tat politisch. Ich weiß, dass sie alles umgehen können, was ich eingerichtet habe. Ich möchte nur ein Hindernis erstellen, damit sie daran erinnert werden, dass C: kein Ort für Backups ist. Sie speichern dort keine Dateien in böswilliger Absicht. Es ist hauptsächlich Kraft der Gewohnheit.
QWE
Da die Gründe politisch sind, haben Sie keine technischen Mittel, um etwas durchzusetzen.
Bill_Stewart