it-swarm-pt.tech

Windows "Executar como" sem saber a senha

Estamos instalando um sistema de mídia digital na estação de rádio da faculdade em que trabalho. Estamos tentando dar aos programadores (leitura; DJs, não codificadores) acesso à música, sem permitir que eles copiem qualquer coisa para suas unidades flash ou transfiram pela Internet.

Estamos executando nos sistemas Windows (Windows XP para os computadores clientes e Windows Server 2008 para o servidor de mídia). Minha ideia é essa.

  • Crie um usuário (ProgramUser) que não tenha acesso à mídia digital.
  • Crie um usuário (MediaUser) que tenha acesso somente leitura à mídia digital sobre a qual os programadores não sabem nada e não sabem a senha.
  • Faça com que os usuários efetuem logon no Windows como ProgramUser, não dando acesso à mídia.
  • Execute nosso aplicativo de reprodução ( Traktor ) como o MediaUser, permitindo que o programador reproduza a mídia, mas não a copie ou modifique.

Esta parece ser a solução perfeita, mas há uma pegadinha. Se o aplicativo de reprodução ou a máquina travar, o programador é a única pessoa capaz de executá-lo novamente em um período de tempo razoável (somos uma estação de rádio FM de 15 kW, portanto o tempo de inatividade é um grande problema). Daí o meu dilema ...

Como posso dar ao programador a capacidade de iniciar nosso aplicativo de reprodução como um usuário para o qual eles não sabem a senha?

13
Antilogic

Sudo.bat

@echo off
runas /user:Administrator /savecred %1

surpreendentemente, ele não solicitará a senha novamente, mesmo após a reinicialização ou falha de energia

32
jonny

... sem permitir que eles copiem nada para suas unidades flash ou transfiram pela Internet

Desative unidades flash USB, acesso à Internet etc. nessas máquinas.

1
Duncan Smart

Dê uma olhada no Steel RunAs. Eu o usei para vários scripts na minha carreira no SysAdmin quando nenhuma outra alternativa era plausível. Definitivamente é útil. Ele gera um arquivo executável, no qual criptografa as credenciais armazenadas. ligação

0
Nick Jacques

Existem algumas maneiras que eu posso pensar de improviso para talvez resolver esse problema. Primeiro (e mais difícil) seria escrever um pequeno serviço do Windows que inicie o Traktor. Assim, o ProgramUser pode solicitar ao serviço uma nova instância do Traktor, e o serviço está sendo executado como MediaUser, para que o Traktor seja iniciado como MediaUser.

Outra possibilidade, e muito mais fácil, é configurar um atalho de inicialização que inicie o Traktor a cada logon - os atalhos do Windows permitem definir as credenciais do usuário apropriado nas propriedades do atalho. Se o computador travar, os programadores só precisam fazer login e têm um novo Traktor sendo executado como MediaUser!

Espero que uma dessas soluções funcione para você!

0
Mike

Você pode criar um programa que inicie o processo do MediaUser para o DJ. Isso pode ser feito para que seja executado como ProgramUser.

A senha/credenciais do MediaUser precisariam ser compiladas no programa, para que ele soubesse a senha, mas o usuário final nunca precisaria estar ciente disso. Eles teriam apenas um botão ou programa que diz "Reiniciar o Tracktor" e ele pode fazer todo o trabalho.

Aqui está um exemplo de C # do processo. A única mudança seria codificar as credenciais para que o DJ não as veja.

0
Reed Copsey

A situação ideal seria para você modificar o Traktor para ser executado como um serviço, com uma GUI separada. Isso fornece as melhores opções de segurança - o Traktor seria executado como o usuário com as credenciais corretas e ninguém precisa saber o que são ou precisa digitar a senha para reiniciá-la. De fato, você pode reiniciar a si próprio se travar no snap-in de serviços.

Sua GUI para conduzir o Traktor é gravada como seu próprio aplicativo, que o usuário executa como ela mesma; envia mensagens ao serviço do Traktor (via TCP/IP, RPC, memória compartilhada ou qualquer outra forma de IPC) para fazer o que o usuário quer. Se você fez a GUI funcionar usando um protocolo de rede cruzada (por exemplo, TCP/IP), o usuário pode fazer login na estação de trabalho e o serviço de traktor pode ser executado em um servidor mais confiável, possivelmente bloqueado para impedir reinicializações "acidentais". Se você é bom, pode escrever um aplicativo da Web para conduzir o Traktor (ou seja, o servidor da Web envia as mensagens para o serviço) e seu usuário pode executar a estação em casa!

O serviço traktor seria iniciado com o servidor, sem precisar fazer login.

0
gbjbaanb