我正在我工作的大学广播电台安装数字媒体系统。我们试图让程序员(也就是 DJ,而不是编码员)访问音乐,但不允许他们将任何内容复制到闪存驱动器或通过互联网传输。
我们在 Windows 系统上运行(客户端计算机使用 Windows XP,媒体服务器使用 Windows Server 2008)。我的想法是这样的。
- 创建一个对数字媒体完全没有访问权限的用户(ProgramUser)。
- 创建一个对数字媒体具有只读访问权限的用户(MediaUser),而程序员对此一无所知,也不知道其密码。
- 让用户以 ProgramUser 身份登录 Windows,这样他们就根本无权访问该媒体。
- 运行我们的播放应用程序(拖拉机) 作为 MediaUser,允许程序员播放媒体但不能复制或修改它。
这似乎是完美的解决方案,但有一个问题。如果播放应用程序或机器崩溃,程序员是唯一能够在合理时间内使其再次运行的人(我们是一个 15 kW FM 广播电台,因此停机时间很重要)。因此我陷入了困境...
我怎样才能让程序员以他们不知道密码的用户身份启动我们的播放应用程序?
答案1
命令行工具
@echo off
runas /user:Administrator /savecred %1
令人惊讶的是,即使重启或断电后它也不会再次询问密码
答案2
...不允许他们将任何内容复制到闪存驱动器或通过互联网传输
禁用这些机器上的 USB 闪存驱动器、互联网访问等。
答案3
我能想到的几种方法也许可以解决这个问题。第一种(也是最困难的)是编写一个启动 Traktor 的小型 Windows 服务。因此,ProgramUser 可以向该服务请求一个新的 Traktor 实例,并且该服务以 MediaUser 身份运行,因此 Traktor 以 MediaUser 身份启动。
另一种可能性,也更简单,就是设置一个启动快捷方式,每次登录时都会启动 Traktor - Windows 快捷方式允许您在快捷方式属性中设置相应用户的凭据。如果计算机崩溃,程序员只需登录,他们就会以 MediaUser 身份运行新的 Traktor!
希望这些解决方案之一能够对您有用!
答案4
看看 Steel RunAs。在我的系统管理员生涯中,当没有其他可行的替代方案时,我曾将它用于多个脚本。它绝对方便。它会生成一个可执行文件,并在其中加密存储的凭据。 连锁