我们在 Windows 服务器上共享了一个文件夹,用于提供对重要应用程序的访问。更新应用程序时,我们 (DBA) 会更改共享上的权限以拒绝对其的所有访问,然后断开共享上打开的所有文件。完成应用程序更新后(对相同文件使用不同的共享),我们重新启用对共享的访问。
我们修改共享的方式是使用 MS 管理控制台远程连接到服务器。显然,此功能需要服务器上的管理员访问权限,或者至少需要基础设施团队希望取消的某种级别的权限。
问题是,处理应用程序更新的 DBA 如何以尽可能少的服务器权限禁用和启用对共享的访问?
答案1
一种可能性是,尽管这需要编程,但可以编写一个系统服务(以所有必需的权限运行,并设置为手动启动),并授予特定组启动和停止此服务的权限(这很简单,请参阅如何向非域成员服务器上的任意用户或组授予服务的启动/停止/重新启动权限?,您可以使用例如 Service Security Editor 或 Process Hacker 来编辑 ACL)。
用户根本不需要任何特权:服务将在启动时执行所需的断开连接/共享更改,并在停止时恢复正常配置。当您的应用程序需要更新时,执行此操作的用户只需在更新之前启动服务,然后在更新之后停止它。顺便说一句,某些软件使用这种解决方案,例如,允许每个人更新它(例如,参见Mozilla 维护服务)。
答案2
您可以将共享权限设置为 Active Directory 组,然后让基础架构团队将权限委托给您。当您需要拒绝访问时,只需编辑组成员身份即可。完成后,恢复组成员身份。
此解决方案不需要任何管理访问权限,并且比每次编辑共享权限要快得多。
答案3
你可以:
- 要求他们禁用复制脚本的日志记录
- 要求他们共享父文件夹,以便您可以访问该文件夹,您可以在其中设置文件系统权限(而不是共享权限)(例如,为 DBA 团队
D:\additionalFolder\yourfolder共享,并作为当前共享。additionalFolderyourfolder
答案4
我们正在考虑的一个选项是让活动由计划任务执行,然后使用某种事件来触发计划任务运行。此解决方案的问题在于,我们不知道如何发送可触发触发器的事件,而无需授予比所需范围更广的权限。