Empêcher les utilisateurs d'enregistrer des fichiers avec une extension spécifique dans des répertoires spécifiques

8

Contexte

Les utilisateurs qui ne peuvent pas être privés des droits d'administrateur de serveur ont tendance à oublier que l'enfer se perdra lorsqu'ils enregistreront les sauvegardes de base de données ( .bak) C:et rempliront le lecteur.

Question

Est-il possible d'empêcher les utilisateurs administrateurs de serveur d'enregistrer certains types de fichiers dans des répertoires C:? Ils doivent toujours être autorisés à enregistrer tous les autres types de fichiers C:, et leurs droits sur tous les autres lecteurs doivent rester inchangés.

Alternative

S'il est impossible d'interdire uniquement certains types de fichiers, est-il possible d'afficher au moins un avertissement contextuel à chaque fois que quelqu'un essaie d'enregistrer un .bakfichier dans certains répertoires C:?

autres considérations

  1. Pour diverses raisons, il est essentiel que ces utilisateurs conservent leurs privilèges d'administrateur de serveur.

  2. Cela ne me dérange pas si j'utilise des autorisations de niveau fichier, des scripts ou des objets de stratégie de groupe. Toutes les solutions qui fonctionnent sont les bienvenues.

windows-server-2008-r2 filesystems file-permissions QWE
la source
13
Il s'agit d'un problème humain que vous essayez de résoudre en utilisant des moyens techniques. Parlez avec les propriétaires d'entreprise et obtenez leur adhésion pour faire appliquer les conséquences pour les utilisateurs qui violent la politique et mettent en danger les fonctions commerciales.
EEAA
8
Où sont-ils censés stocker les sauvegardes? Vous n'avez pas de procédure établie? Que se passe-t-il s’ils ont une sauvegarde non-base de données à stocker localement? Qu'est-ce qui les empêche de changer l'extension du fichier?
JAB
@EEAA Je suis d'accord et j'ai essayé. Malheureusement, malgré mes efforts continus, nous sommes toujours dans la même situation qu'auparavant.
QWE
@JAB Ils ont encore 4 lecteurs et l'un d'eux est même appelé "Sauvegardes". Les procédures ne sont utiles que si elles sont suivies et je n'ai pas l'autorité de les appliquer en utilisant des moyens non techniques. Ils sauvegardent des sauvegardes sur C: par paresse, ils ne prendraient pas la peine de changer d'extension juste pour
m'ennuyer

Réponses:

16

Vous pouvez utiliser le rôle «Gestionnaire de serveur de ressources de fichiers».

L'installation de ce rôle se fait depuis le "Gestionnaire de serveur".

Après l'installation, accédez à la console mmc «File Resource Server Manager» et procédez comme suit:

  1. Créez une nouvelle règle d'écran de fichier. 1

  2. Choisissez la deuxième option et cliquez sur "Options personnalisées". 2

  3. Choisissez le chemin auquel vous souhaitez que cette règle s'applique et ajoutez l'extension de fichier. entrez la description de l'image ici

Vous pouvez également utiliser des quotas (inclus dans le même rôle) pour limiter l'espace que chaque utilisateur peut utiliser.

EliadTech
la source
1
Les sauvegardes du serveur sont créées par l'utilisateur runas de la base de données. Je suis presque sûr que les quotas de disque font quelque chose de stupide ici. Oh oui, la sauvegarde s'exécute jusqu'à ce que le quota soit atteint et éclate au milieu, consommant tout l'espace pour la base de données jusqu'à ce qu'elle soit nettoyée manuellement.
joshudson
1
Un mot d'avertissement: je ne l'ai jamais testé, mais j'ai entendu dire que cela pourrait surcharger votre processeur, certains doivent d'abord le tester.
EliadTech
L'OP a déclaré que ces utilisateurs sont des administrateurs, donc même si cela "fonctionne", ils peuvent simplement le désactiver.
Bill_Stewart
@Bill_Stewart Totalement d'accord, mais c'est la meilleure option dans les conditions de l'OP, mais je pense que l'OP l'obtient. (Cependant, je crois que je peux restreindre correctement l'administrateur si j'essaie suffisamment.)
EliadTech
Pas vraiment. Les administrateurs peuvent simplement annuler ce que vous avez fait.
Bill_Stewart
3

C'est là que je voudrais créer un outil de sauvegarde / restauration de base de données personnalisé qui utilise les chemins d'un fichier de configuration afin que les bons chemins soient sélectionnés par défaut. Vous ne pouvez que visser intentionnellement.

Joshudson
la source
Bon point, mais nous en avons un mais presque personne ne l'utilise ...
QWE
1
Selon votre environnement, vous pourrez peut-être empêcher l'outil standard de fonctionner.
joshudson
Étant donné que les utilisateurs en question sont déjà administrateurs, ils peuvent simplement l'annuler.
Bill_Stewart
@ Bill_Stewart: Je suis sûr qu'ils le peuvent, mais la plupart des gens qui font des erreurs de base ont du mal à défaire les blocs intelligents.
joshudson
Vous n'avez pas à vous demander. Les membres de Administratorspeuvent définitivement l'annuler (ils sont des administrateurs, après tout). Vous avez raison, ils ne savent peut-être pas comment, mais ce n'est pas la question puisque le vrai problème est d'ajouter des gens Administratorsqui ne devraient pas être là. Tout le reste est un «pansement» qui ne règle pas le vrai problème.
Bill_Stewart
1

Dans cette situation spécifique, je changerais l'emplacement de sauvegarde par défaut à l'aide de SQL Management Studio pour placer les fichiers de sauvegarde au bon endroit.

Il doit se trouver dans le menu contextuel de l'instance sql: Propriétés> Paramètres de la base de données

Je ne pense pas que les utilisateurs administrateurs dev remplissent délibérément le lecteur C à droite?

Une autre erreur courante lors de la création d'une sauvegarde SQL est d'oublier d'ajouter l'extension ".bak" car elle n'est pas ajoutée automatiquement.

Enfin, il peut parfois être le service SQL qui crée les sauvegardes et qui serait difficile à limiter sans interrompre le service

OrangeKing89
la source
1

Étant donné que ces utilisateurs sont membres de Administrators, cela signifie (attendez) qu'ils sont administrateurs et peuvent remplir le disque s'ils le souhaitent. Il me semble que le vrai problème est que vous avez des gens qui ne Administratorsdevraient pas l'être. Vous dites que ce sont des administrateurs pour "diverses raisons". Si ces raisons sont politiques plutôt que techniques, alors il n'y aura pas de solution technique viable, car vous demandez: "Comment restreindre les administrateurs?" (La réponse est que les administrateurs peuvent contourner toutes les restrictions.)

Bill_Stewart
la source
Les raisons sont en effet politiques. Je sais qu'ils peuvent contourner tout ce que j'ai mis en place. Tout ce que je veux, c'est créer une obstruction pour qu'on leur rappelle que C: n'est pas un endroit pour les sauvegardes. Ils n'y enregistrent pas de fichiers par malveillance. C'est principalement le pouvoir de l'habitude.
QWE
Puisque les raisons sont politiques, vous n'avez pas de moyens techniques pour appliquer quoi que ce soit.
Bill_Stewart