Windows“ Run As” โดยไม่ทราบรหัสผ่าน

เรากำลังติดตั้งระบบสื่อดิจิทัลที่สถานีวิทยุวิทยาลัยที่ฉันทำงาน เรากำลังพยายามให้โปรแกรมเมอร์ (อ่าน; ดีเจไม่ใช่ผู้เข้ารหัส) เข้าถึงเพลงโดยไม่อนุญาตให้พวกเขาคัดลอกไฟล์ใด ๆ ลงในแฟลชไดรฟ์หรือถ่ายโอนเพลงผ่านอินเทอร์เน็ต

เรากำลังทำงานบนระบบ Windows (Windows XP สำหรับเครื่องไคลเอนต์และ Windows Server 2008 สำหรับเซิร์ฟเวอร์สื่อ) ความคิดของฉันคือสิ่งนี้

• สร้างผู้ใช้ (ProgramUser) ที่ไม่มีสิทธิ์เข้าถึงสื่อดิจิทัลทั้งหมด
• สร้างผู้ใช้ (MediaUser) ที่มีสิทธิ์เข้าถึงแบบอ่านอย่างเดียวกับสื่อดิจิทัลที่โปรแกรมเมอร์ไม่รู้อะไรเลยและไม่ทราบรหัสผ่าน
• ให้ผู้ใช้ลงชื่อเข้าใช้ Windows ในฐานะผู้ใช้ ProgramUser โดยไม่ให้ผู้ใช้เข้าถึงสื่อใด ๆ
• เรียกใช้แอปพลิเคชั่นการเล่นของเรา ( Traktor ) ในฐานะ MediaUser ทำให้โปรแกรมเมอร์สามารถเล่นสื่อ แต่ไม่คัดลอกหรือแก้ไข

ดูเหมือนว่าเป็นโซลูชั่นที่สมบูรณ์แบบ แต่ก็มี gotcha อยู่หนึ่งอัน หากแอปพลิเคชั่นเล่นหรือเครื่องขัดข้องโปรแกรมเมอร์เป็นบุคคลเดียวที่สามารถให้มันทำงานอีกครั้งในเวลาที่เหมาะสม (เราเป็นสถานีวิทยุ 15 kW FM ดังนั้นการหยุดทำงานจึงเป็นเรื่องใหญ่) ดังนั้นภาวะที่กลืนไม่เข้าคายไม่ออกของฉัน ...

ฉันจะให้โปรแกรมเมอร์สามารถเริ่มต้นแอปพลิเคชันการเล่นของเราในฐานะผู้ใช้ที่พวกเขาไม่ทราบรหัสผ่านได้อย่างไร

sudo.bat

@echo off
runas /user:Administrator /savecred %1

น่าแปลกใจที่มันจะไม่ถามรหัสผ่านอีกครั้งแม้หลังจากรีบูตหรือไฟฟ้าขัดข้อง

... โดยไม่อนุญาตให้คัดลอกไฟล์ใด ๆ ไปยังแฟลชไดรฟ์หรือถ่ายโอนผ่านอินเทอร์เน็ต

ปิดใช้งานแฟลชไดรฟ์ USB การเข้าถึงอินเทอร์เน็ตและอื่น ๆ บนเครื่องเหล่านี้

มีสองวิธีที่ฉันสามารถนึกถึงเพื่อหลีกเลี่ยงปัญหานี้ อันดับแรก (และยากกว่า) คือการเขียนบริการ windows เล็ก ๆ ที่เปิดตัว Traktor ดังนั้น ProgramUser สามารถขอบริการสำหรับอินสแตนซ์ Traktor ใหม่และบริการกำลังทำงานเป็น MediaUser เพื่อให้ Traktor เปิดใช้งานเป็น MediaUser

ความเป็นไปได้อีกอย่างหนึ่งและง่ายกว่ามากคือการตั้งค่าทางลัดเริ่มต้นที่เรียกใช้ Traktor ในทุกการเข้าสู่ระบบ - ทางลัดของ Windows ช่วยให้คุณสามารถกำหนดข้อมูลประจำตัวของผู้ใช้ที่เหมาะสมในคุณสมบัติทางลัด หากคอมพิวเตอร์หยุดทำงานโปรแกรมเมอร์ก็ต้องเข้าสู่ระบบและพวกเขามี Traktor ใหม่ที่ทำงานเป็น MediaUser!

หวังว่าหนึ่งในโซลูชันเหล่านี้จะทำงานให้คุณ!

คุณสามารถสร้างโปรแกรมที่เริ่มกระบวนการของ MediaUser สำหรับดีเจ สิ่งนี้สามารถทำได้เพื่อให้มันทำงานเป็น ProgramUser

รหัสผ่าน / ข้อมูลประจำตัวสำหรับ MediaUser จะต้องรวบรวมในโปรแกรมเพื่อให้รู้รหัสผ่าน แต่ผู้ใช้ปลายทางไม่จำเป็นต้องรู้สิ่งนี้ พวกเขาต้องการเพียงแค่มีปุ่มหรือโปรแกรมที่ระบุว่า "Restart Tracktor" และสามารถทำงานได้ทั้งหมด

นี่คือตัวอย่าง C # ของกระบวนการ การเปลี่ยนแปลงเพียงอย่างเดียวนั้นเป็นการเข้ารหัสข้อมูลประจำตัวอย่างหนักดังนั้นดีเจจึงไม่เห็นพวกเขา

ดูที่ Steel RunAs ฉันใช้มันกับหลาย ๆ สคริปต์ในอาชีพ SysAdmin ของฉันเมื่อไม่มีทางเลือกอื่นที่เป็นไปได้ มันมีประโยชน์แน่นอน มันสร้างไฟล์ที่ปฏิบัติการได้ซึ่งมันจะเข้ารหัสข้อมูลรับรองที่เก็บไว้ การเชื่อมต่อ

สถานการณ์ที่เหมาะจะให้คุณปรับเปลี่ยน Traktor ให้ทำงานเป็นบริการโดยใช้ GUI แยกกัน สิ่งนี้จะให้ทางเลือกการรักษาความปลอดภัยที่ดีที่สุดแก่คุณ - Traktor จะทำงานในฐานะผู้ใช้ที่มีข้อมูลประจำตัวที่ถูกต้องและไม่มีใครต้องการทราบว่าพวกเขาคืออะไรหรือต้องการพิมพ์รหัสผ่านเพื่อเริ่มต้นใหม่ ในความเป็นจริงคุณสามารถทำให้มันรีสตาร์ทตัวเองหากมันล้มเหลวในบริการ snapin

GUI ของคุณในการขับเคลื่อน Traktor จะถูกเขียนเป็นแอปพลิเคชันของตัวเองที่ผู้ใช้ทำงานเป็นตัวเองมันจะส่งข้อความไปยังบริการ Traktor (ผ่าน TCP / IP, RPC, หน่วยความจำที่ใช้ร่วมกันหรือ IPC ในรูปแบบอื่น ๆ ) ผู้ใช้ต้องการ หากคุณทำให้ GUI ทำงานโดยใช้โปรโตคอลข้ามเครือข่าย (เช่น TCP / IP) จากนั้นผู้ใช้สามารถเข้าสู่เวิร์กสเตชันของเธอและบริการ traktor สามารถทำงานบนเซิร์ฟเวอร์ที่เชื่อถือได้มากขึ้นอาจถูกล็อคอยู่เพื่อป้องกันการรีบูตโดยไม่ตั้งใจ หากคุณดีคุณสามารถเขียนแอปพลิเคชันเว็บเพื่อขับ Traktor แทน (นั่นคือเว็บเซิร์ฟเวอร์จะส่งข้อความไปยังบริการ) และผู้ใช้ของคุณสามารถเรียกใช้สถานีจากที่บ้าน!

บริการ traktor จะเริ่มทำงานกับเซิร์ฟเวอร์โดยไม่จำเป็นต้องลงชื่อเข้าใช้