Windows "Запустити як", не знаючи пароля

Ми встановлюємо систему цифрових медіа на радіостанції коледжу, в якій працюю. Ми намагаємось надати програмістам (читайте; ді-джеї, а не кодери) доступ до музики, не дозволяючи їм копіювати будь-яку з них на свої флешки або переносити її через Інтернет.

Ми працюємо в системах Windows (Windows XP для клієнтських машин та Windows Server 2008 для медіа-сервера). Моя ідея така.

• Створіть користувача (ProgramUser), який взагалі не має доступу до цифрових носіїв інформації.
• Створіть користувача (MediaUser), який має доступ лише для читання до цифрових носіїв, про які програмісти нічого не знають і не знають пароль.
• Запропонуйте користувачам увійти в Windows як ProgramUser, не надаючи їм доступу до медіа.
• Запустіть наш додаток для відтворення ( Traktor ) як MediaUser, дозволяючи програмісту відтворювати медіа, але не копіювати або змінювати його.

Це здається ідеальним рішенням, але є одна готча. Якщо програма для відтворення або машина виходить з ладу, програміст є єдиною людиною, яка зможе запустити його знову за розумну кількість часу (ми FM-радіостанція потужністю 15 кВт, тому простої - це велика справа). Звідси моя дилема ...

Як я можу дати програмісту можливість запускати нашу програму для відтворення як користувач, якому він не знає пароль?

sudo.bat

@echo off
runas /user:Administrator /savecred %1

дивно, що він знову не запитає пароль навіть після перезавантаження або відключення живлення

... не дозволяючи їм копіювати будь-яку з них на свої флешки або переносити її через Інтернет

Відключити флеш-пам’яті USB, доступ до Інтернету тощо на цих машинах.

Є кілька способів, що я можу придумати, щоб, можливо, обійти цю проблему. По-перше (і складніше) було б написати сервіс невеликих вікон, який запускає Traktor. Таким чином, ProgramUser може запитати сервіс для нового екземпляра Traktor, і служба працює як MediaUser, тому Traktor запускається як MediaUser.

Іншою можливістю, і набагато простіше, є створення ярлика запуску, який запускає Traktor при кожному вході в систему - ярлики Windows дозволяють встановлювати облікові дані відповідного користувача у властивостях ярлика. Якщо комп'ютер коли-небудь виходить з ладу, програмістам просто потрібно увійти, і у них з'явився новий Traktor, який працює як MediaUser!

Сподіваємось, одне з цих рішень підійде для вас!

Ви можете зробити програму, яка запускає процес MediaUser для діджея. Це можна зробити так, щоб він працював як ProgramUser.

Пароль / облікові дані для MediaUser потрібно було б скомпонувати в програмі, щоб він знав пароль, але кінцевому користувачеві цього не потрібно було б знати. У них просто буде кнопка або програма, на якій написано "Перезавантажити трекер", і вона може виконати всю роботу.

Ось C # приклад процесу. Єдиною зміною було б жорстке кодування облікових даних, щоб DJ їх не бачив.

Погляньте на сталеві руни. Я використовував його для декількох сценаріїв у моїй кар'єрі SysAdmin, коли інші альтернативи не були правдоподібними. Це, безумовно, зручно. Він генерує виконуваний файл, в якому шифрує збережені облікові дані. Зв'язок

Ідеальною ситуацією було б ви змінити Traktor для роботи як сервіс, з окремим графічним інтерфейсом. Це дає вам найкращі варіанти безпеки - тоді Traktor буде працювати як користувач із правильними обліковими даними, і нікому не потрібно знати, що вони є, або потрібно вводити пароль, щоб перезапустити його. Насправді, ви можете змусити його перезапустити себе, якщо він збоїв у оснащенні сервісами.

Потім ваш GUI для управління Traktor записується як власне додаток, що користувач працює як сам, він надсилає повідомлення в службу Traktor (через TCP / IP, RPC, спільну пам'ять або будь-яку іншу форму IPC), щоб зробити це тим, що користувач хоче. Якщо ви працювали з графічним інтерфейсом, використовуючи міжсетевий протокол (наприклад, TCP / IP), то користувач може увійти в свою робочу станцію, а послуга трактора може працювати на більш надійному сервері, можливо, заблокованому, щоб запобігти «випадковим» перезавантаженням. Якщо ви добрі, можете написати веб-додаток, щоб замість цього запустити Traktor (тобто веб-сервер надсилатиме повідомлення в сервіс), і ваш користувач може запустити станцію з дому!

Служба трактора запускатиметься із сервером, не потребуючи входу в систему.