Windows “Executar como” sem saber a senha

13

Estamos instalando um sistema de mídia digital na estação de rádio da faculdade em que trabalho. Estamos tentando dar aos programadores (leia-se: DJs, não codificadores) acesso à música, sem permitir que eles copiem qualquer parte dela para seus pen drives ou a transfiram pela Internet.

Estamos executando em sistemas Windows (Windows XP para as máquinas cliente e Windows Server 2008 para o servidor de mídia). Minha ideia é essa.

  • Crie um usuário (ProgramUser) que não tenha acesso algum à mídia digital.
  • Crie um usuário (MediaUser) que tenha acesso somente leitura à mídia digital sobre a qual os programadores não sabem e não sabem a senha.
  • Faça com que os usuários efetuem login no Windows como ProgramUser, não dando acesso à mídia.
  • Execute nosso aplicativo de reprodução ( Traktor ) como o MediaUser, permitindo que o programador reproduza a mídia, mas não copie ou modifique isso.

Esta parece ser a solução perfeita, mas há uma pegadinha. Se o aplicativo de reprodução ou a máquina falhar, o programador é a única pessoa que poderá executá-lo novamente em uma quantidade razoável de tempo (somos uma estação de rádio FM de 15 kW, então o tempo de inatividade é um grande problema). Daí meu dilema ...

Como posso dar ao programador a capacidade de iniciar nosso aplicativo de reprodução como um usuário que não conhece a senha?

    
por Peter Mortensen 30.11.2011 / 04:11

6 respostas

32

sudo.bat

@echo off
runas /user:Administrator /savecred %1

surpreendentemente, ele não perguntará a senha novamente, mesmo após a reinicialização ou falha de energia

    
por 13.05.2009 / 04:13
1

...without allowing them to copy any of it to their flash drives or transfer it across the Internet

Desative unidades flash USB, acesso à Internet, etc. nessas máquinas.

    
por 02.11.2010 / 18:54
0

Existem algumas maneiras que eu posso pensar de improviso para talvez contornar este problema. Primeiro (e mais difícil) seria escrever um pequeno serviço do Windows que lança o Traktor. Assim, o usuário do programa pode solicitar ao serviço uma nova instância do Traktor, e o serviço está sendo executado como MediaUser para que o Traktor seja iniciado como MediaUser.

Outra possibilidade, e muito mais fácil, é ter um atalho de inicialização configurado que inicie o Traktor em cada login - os atalhos do Windows permitem que você defina as credenciais do usuário apropriado nas propriedades do atalho. Se o computador travar, os programadores só precisam fazer o login, e eles têm um novo Traktor rodando como MediaUser!

Espero que uma dessas soluções funcione para você!

    
por 13.05.2009 / 04:12
0

Você pode criar um programa que inicie o processo do MediaUser para o DJ. Isso pode ser feito para que seja executado como ProgramUser.

A senha / credenciais do MediaUser precisaria ser compilada no programa, para que ele soubesse a senha, mas o usuário final nunca precisaria estar ciente disso. Eles teriam apenas um botão ou programa que diz "Reiniciar o Tracktor", e ele pode fazer todo o trabalho.

Aqui está um exemplo de c # do processo. A única mudança seria codificar as credenciais para que o DJ não as veja.

    
por 13.05.2009 / 04:13
0

Dê uma olhada no Steel RunAs. Eu usei isso para vários scripts na minha carreira SysAdmin quando nenhuma outra alternativa era plausível. É definitivamente útil. Ele gera um arquivo executável, no qual ele criptografa as credenciais armazenadas. Linkage

    
por 24.11.2009 / 11:29
0

A situação ideal seria modificar o Traktor para ser executado como um serviço, com uma GUI separada. Isso oferece as melhores opções de segurança - o Traktor estaria, então, sendo executado como o usuário com as credenciais corretas e ninguém precisa saber quais são ou precisa digitar a senha para reiniciá-lo. De fato, você pode fazê-lo reiniciar-se se ele falhar no snapin de serviços.

Sua GUI para controlar o Traktor é gravada como seu próprio aplicativo que o usuário executa como ela mesma, envia mensagens para o serviço Traktor (via TCP / IP, RPC, memória compartilhada ou qualquer outra forma de IPC) para torná-lo faça o que o usuário quiser. Se você fez a GUI funcionar usando um protocolo de rede cruzada (por exemplo, TCP / IP), o usuário pode efetuar login em sua estação de trabalho e o serviço traktor pode ser executado em um servidor mais confiável, possivelmente bloqueado para evitar reinicializações "acidentais". Se você é bom, você poderia escrever um aplicativo da Web para direcionar o Traktor (ou seja, o servidor da Web enviaria as mensagens para o serviço) e seu usuário poderia executar a estação de casa!

O serviço traktor seria iniciado com o servidor, sem precisar estar logado.

    
por 02.11.2010 / 18:52