Desativar o compartilhamento do Windows sem acesso de administrador

Navegue suas respostas
3

Temos uma pasta em um servidor Windows compartilhada para fornecer acesso a um aplicativo importante. Quando o aplicativo está sendo atualizado, nós (DBAs) alteramos as permissões no compartilhamento para negar todo o acesso a ele e, em seguida, desconectamos todos os arquivos abertos no compartilhamento. Depois de concluirmos a atualização do aplicativo (usando um compartilhamento diferente nos mesmos arquivos), reativamos o acesso ao compartilhamento.

A maneira como modificamos o compartilhamento é usar o MS Management Console para nos conectar remotamente ao servidor. Aparentemente, esse recurso requer acesso de administrador no servidor ou, pelo menos, algum nível de permissões que a equipe de infraestrutura gostaria de remover.

A pergunta é como os DBAs que manipulam a atualização do aplicativo podem desativar e ativar o acesso ao compartilhamento com o mínimo possível de permissões no servidor?

    
por Leigh Riffel 25.09.2014 / 15:03

4 respostas

5

Uma possibilidade, embora exija programação, seria escrever um serviço do sistema (rodando com todos os privilégios requeridos, e configurado para iniciar manualmente), e dar os direitos a um grupo específico para iniciar e parar este serviço (isto é simples, consulte Como faço para conceder permissões de início / parada / reinicialização em um serviço a um usuário ou grupo arbitrário em um servidor que não seja membro do domínio? , você pode usar, por exemplo, o Service Security Editor ou o Process Hacker para editar a ACL.

Os usuários não precisariam de nenhum privilégio: o serviço faria as desconexões / alterações de compartilhamento necessárias no início e reverteria para a configuração normal ao parar. Quando seu aplicativo tiver que ser atualizado, o usuário que fizer isso só terá que iniciar o serviço antes da atualização e pará-lo depois. A propósito, esse tipo de solução é usado por alguns softwares, por exemplo, para permitir que todos os atualizem (veja, por exemplo, o Serviço de Manutenção da Mozilla ).

    
por 01.10.2014 / 23:28
1

Você pode definir as permissões de compartilhamento para um grupo do Active Directory e depois conceder à equipe de infraestrutura privilégios de delegação para esse grupo. Quando você precisar negar o acesso, basta editar a associação ao grupo. Quando terminar, restaure a associação ao grupo.

Esta solução não requer nenhum acesso administrativo e é muito mais rápida do que editar a permissão de compartilhamento a cada vez.

    
por 30.09.2014 / 19:53
0

Você poderia:

  • Peça para desabilitar o registro no script de cópia
  • Peça para eles compartilharem a pasta pai, fornecendo acesso à pasta em questão, onde você pode definir permissões do sistema de arquivos (em oposição a permissões de compartilhamento) (por exemplo, D:\additionalFolder\yourfolder , compartilhamento additionalFolder para o DBA equipe e yourfolder como o compartilhamento atual.
por 30.09.2014 / 15:10
0

Uma opção que estamos considerando é ter a atividade executada pela tarefa agendada e, em seguida, usar um evento de algum tipo para acionar a tarefa agendada para ser executada. O problema com essa solução é que não sabemos como enviar um evento que pode disparar o gatilho sem conceder permissões mais amplas do que precisam.

    
por 02.10.2014 / 19:50

Tags

Precisa de latência ultra baixa, como minimizar? Não é possível instalar o verniz no CentOS 7