Não tenho certeza se essa é a melhor maneira de conseguir isso, mas aqui está o plano de fundo e a meta.
ANTECEDENTES Somos uma pequena empresa. Às vezes eu ou a outra pessoa que é capaz de lidar com uma interrupção de e-mail não está disponível .... Geralmente é tão simples como reiniciar a caixa de troca velha e cansada para trazê-lo de volta on-line ... isso é obviamente uma correção temporária até que eu possa chegar à causa da interrupção específica. Mas a ideia é limitar o tempo de inatividade causado por isso ao nosso call center.
GOAL : desejo configurar uma conta de administrador de uso único. OU escreva um script que permita ao usuário simplesmente reiniciar o servidor.
Entenda que essa conta atual de usuários está limitada a apenas um usuário de domínio e não um administrador de qualquer tipo.
Informações adicionais A ideia com uma conta de uso único é que o usuário pode usá-la uma vez. Faça login e faça alterações e, uma vez que estejam concluídas e desconectadas, a conta será bloqueada ou terá sua senha alterada ou desativada. Qualquer coisa para impedi-los de usá-lo uma segunda vez. Desta forma, existe alguma responsabilidade para o usuário em usá-lo apenas para emergências e para o propósito a que se destina e não como uma maneira fácil de ajustar sua conta limitada ou instalar software, entre outras coisas.
Quanto ao script, eu entendo que, devido à permissão limitada em usuários padrão, este usuário não poderia usar sua permissão atual para fazer um PSSHUTDOWN.EXE na caixa de troca remotamente. Então, teríamos que criar um bom método para permitir que o usuário faça uma reinicialização. Deve ser um simples script VB que não é o problema. Meu problema é criar alguma forma de segurança, permitindo que eles digitem apenas uma senha para iniciar o processo. Pontos de bônus se você incluir a interrupção de serviços no script. coisas como eu posso preencher os outros quando vejo como você implementa o primeiro. net stop "Microsoft Exchange Information Store"
Eu sinto que o segundo plano parece muito mais seguro. Dessa forma, posso usar a segurança pela obscuridade. Não diga a ele a porta RDP e não o tenha realmente no sistema, mas sim usando apenas uma senha para ativar a reinicialização.
Assim, a assistência é muito apreciada. Ou sugestões alternativas são sempre bem-vindas.
É kludgy, mas isso pode funcionar ...
Configure uma tarefa agendada em algum outro conjunto de máquinas para iniciar o psshutdown por meio de um usuário específico. Conceda ao seu lacaio direitos suficientes para iniciar a tarefa. Não dê uma programação. Quando o Exchange precisa ser agradado, ele pode clicar com o botão direito do mouse sobre ele.
O lado negativo é que eles podem fazer isso a qualquer momento, mas isso é tudo que eles podem fazer.
Usando o PowerShell, acho que isso deve funcionar, embora eu não tenha testado isso por motivos óbvios. Sugiro criar uma conta de administrador do Exchange, adicioná-lo ao grupo de administração local do servidor do Exchange. Conceda a essa conta permissões completas no AD sobre em si (não tenho certeza se a conta de usuário por padrão é capaz de desabilitar a si própria). Em seguida, salve o script do PowerShell abaixo na rede e coloque um arquivo CMD de atalho na área de trabalho de quem quer que o execute. Mostre a eles como usar o recurso "Executar como um usuário diferente" (segure o shift ao clicar com o botão direito). O arquivo CMD precisa apenas de:
powershell \\ server \ share \ script.ps1
O script do PowerShell pode ser bem curto:
# Stop the service
(get-wmiobject win32_service -filter "name='Spooler'" -computername ComputerName).StopService()
# check service status
# Add a While loop if needed
(get-wmiobject -query "select * from win32_service where name='Spooler'" -computername ComputerName).state # this will return the state of the named service
restart-computer -computername ExchangeServerName
# Import ActiveDirectory module
Import-Module active*
# disable the account
# substitute $username with the newly created account
# or perhaps with $env:USERNAME using RunAs might work right...
set-user $username -Enabled $false
O (s) usuário (s) pode (m) ter a senha uma vez que este script seja executado, ele desativará a conta até que você ou um usuário com as credenciais apropriadas possa reativá-la.
Além disso, por motivos de segurança, convém incluir essa nova conta na política para evitar que ela faça logon interativamente ou de outra forma. Em um GPO aplicado a [talvez todas as estações de trabalho e servidor]: Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Diretivas Locais \ Atribuição de Direitos do Usuário \ Negar logon localmente e Negar logon pela Área de Trabalho Remota Serviços