Pode ser mais simples criar uma conta ativada somente durante a janela de atualização e fazer com que ela use essa conta para atualizar.
Estou procurando uma maneira segura de conceder ao usuário acesso a uma pasta específica durante um período estrito de tempo. Para este exemplo, digamos, das 8:00 às 8:30, de segunda a sexta-feira.
Meu raciocínio por querer fazer isso é porque temos um desenvolvedor responsável por criar uma parte do nosso produto on-line. Esses builds devem apenas sair em horários específicos e somente após um teste completo do nosso departamento de QA. O único problema é que isso não está sendo respeitado. Na semana passada, esse código individual foi criado e liberado fora do período de tempo sem ter sido devidamente testado. O código foi interrompido quase imediatamente e, em seguida, os hot-fixes começaram a voar pela porta.
Eu entendo que existem muitas soluções para este problema, mas todas elas estão fora do meu controle. No entanto, conceder acesso ao recurso em questão está dentro do meu controle e, se eu pudesse sugerir isso como uma opção viável, tenho certeza de que seria aceito.
Então, isso pode ser alcançado de maneira segura? (não armazenar senhas em texto simples, etc.) Existe uma alternativa melhor que não envolva a reformulação de nossos processos de gerenciamento e / ou controle de qualidade?
Informação adicional: - Rede AD do Windows Server 2003
Obrigado.
Pode ser mais simples criar uma conta ativada somente durante a janela de atualização e fazer com que ela use essa conta para atualizar.
Você pode usar um script usando cacls e executá-lo usando tarefas agendadas para modificar a permissão de negar gravação nos diretórios em questão.
Então você precisaria criar um grupo de segurança e tornar o usuário um membro.
Adicione o grupo de segurança ao NTFS permissões na pasta em questão e configurá-lo para negar a escrita.
Então você teria um script usando
cacls para modificar o write de negar
permitir, e outro script para o
mudar a escrever de volta para negar no
vezes necessárias.
Editar: você também pode ver SetACL em vez de cacls.