Необходимо будет создать учетную запись на обоих серверах с тем же именем и тем же паролем. Необходимо будет настроить SQL Server Agent и SQL Agent для выполнения при этих логинах, на которых когда-либо сервер будет продвижением/получением по запросу файлов к другой машине.
Давайте не ходить вокруг да около на этом.
Если у пользователя есть права "Администратора" затем, это "игра закончена" для любой установки, которую Вы хотите осуществить на самих компьютерах. Нет НИКАКОГО механизма, который можно использовать для предотвращения "Администратора" от выполнения чего-либо, что они хотят к компьютеру. Когда Вы позволяете пользователям работать как "Администратор", Вы бросаете все управление, Вы думаете, что могли бы иметь на компьютере, они используют тот путь. Случай закрывается.
Единственный способ, которым Вы собираетесь быть способными управлять тем, какой сервер DNS эти компьютеры использование должен настроить Ваш брандмауэр для отбрасывания любых исходящих запросов к порту UDP 53 к любому IP-адресу кроме серверов DNS, которые Вы хотите, чтобы пользователи использовали. Затем если они изменят указанные серверы DNS, то их запросы никуда не пойдут, и они будут или возвращать их или жить в мире w/o DNS.
[ОЧЕНЬ БОЛЬШАЯ МЫЛЬНИЦА]
Я надеюсь, что Ваша компания не разрабатывает продукт для перепродажи.
Это - 2009. Microsoft заявляла В ТЕЧЕНИЕ МНОГИХ ЛЕТ, что все прикладное программное обеспечение shound работает правильно с непривилегированными учетными записями пользователей. В то время как я понимаю, что Ваши средства разработки могут потребовать прав "Администратора" работать правильно, очень вероятно, что на основании Ваших разработчиков, работающих как "Администратор", программное обеспечение, которое они разрабатывают, закончит тем, что требовало, чтобы у пользователя, который выполняет его также, были права "Администратора" (потому что это было записано и, очень вероятно, протестировано в среде "Администратора").
Это делает меня грустным. Каждый раз я вижу часть программного обеспечения, которое хочет записать в "C:\Program Files...", который я тихо проклинаю и становлюсь немного более сердитым на сообщество разработки программного обеспечения. Каждый раз я вижу документ установки, в котором говорится, что "У пользователей должен быть доступ 'Администратора'..." Я чувствую руки, непреднамеренно завихряющиеся в кулаки. Да, да - возможно, я отношусь к этому немного слишком серьезно, но это - мое задание...
Я болен и проклятый усталый от необходимости иметь дело с программным обеспечением, записанным незаботливыми компаниями, которые думают, что это в порядке для их программного обеспечения, чтобы потребовать, чтобы учетные записи привилегированного пользователя работали. В каждом случае, где это практично, я рекомендую своим Клиентам, чтобы они не купили такое программное обеспечение. Когда это не возможно, я обычно заканчиваю тем, что сидел без дела с Монитором Процесса, выясняющим, как установить набор абсолютного минимума полномочий заставить программное обеспечение работать с ограниченной учетной записью пользователя. Когда это не будет работать, мои Клиенты должны закончить тем, что покупали дополнительные лицензии на ОС Windows, таким образом, что мы можем запустить программное обеспечение по закону в виртуальной машине, где у пользователя может быть привилегированная учетная запись, и я могу "откатывать" любые изменения, которые внесены легко и быстро.
Это - позор мне, что у Вас нет руководителя разработки, который понимает это и запрещает разработчикам наличие прав "Администратора". Это - позор мне, что, как системный администратор, необходимо иметь дело с пользователями, имеющими права "Администратора". Это - позор мне, что мы, как сообщество системных администраторов, не делаем лучшего задания противостояния пользователям / менеджеры и объясняем, что такая значительная часть компьютерных проблем безопасности (и связанный расход) имеет первопричины, связанные с пользователями, имеющими полномочие сверх их истинной потребности.
Вам не придется даже задавать этот вопрос. Не правильно, что необходимо иметь дело с этим тем же дерьмом также откровенно.
Я презираю необходимость тарифицировать моих Клиентов напрасно в течение времени, я трачу делающее грязное программное обеспечение, которое не будет работать, поскольку стандартная пользовательская работа "из поля" работает правильно. Похоже на грязные деньги мне, и пора, чтобы я потратил бы находить способы использовать IT для создания их бизнеса более продуктивным и прибыльным.
[/ОЧЕНЬ БОЛЬШАЯ МЫЛЬНИЦА]
Администраторы, точно так же, как root
на Unix/Linux имейте абсолютную власть по машине. Программисты - еще больше. Если Вам действительно удается заблокировать настройки DNS так или иначе, кто-то, кто имеет права Администратора на той машине, может разблокировать их тот же путь. Даже если они не могут сделать этого, они все еще могут, например, использовать прокси-сервер (и HTTP и домены разрешения поддержки SOCKS на прокси).
Я Вы хотите установить Пользовательский DNS только для одной машины, можно использовать файл Хоста.
C:\Windows\System32\drivers\etc\hosts
Поместите свою запись DNS в этот файл, переопределит проверку DNS на внешнем сервере.
SeTakeOwnershipPrivilege
, который делает полномочия бесполезными.
– grawity
26 July 2009 в 12:14