Защита скрипта от пользователей домена

@Jagir · Регистрация: 13.06.2011

Студворк — интернет-сервис помощи студентам

Здравствуйте!
Заход каждого пользователя фиксируется записью в поле "department" с помощью скрипта, описанного в этой статье http://habrahabr.ru/post/121801/
Проблема в том, что для работы скрипта требуется выдать пользователю права Write\Modify.
В связи с этим каждый пользователь, зная айпи контроллера домена, может удаленно зайти и посмотреть расшаренную папку, в которой содержится скрипт и, следовательно, удалить или повредить его.
Каким образом можно обезопасить файлы от такого? Возможно ли сделать это средствами Windows Server 2008R2 ? Пока что вариантов мне на ум приходит два - скрыть файлы или попросту проигнорировать риск, понадеявшись,что никто не знает адрес контроллера.
Спасибо.

@Maks · 29.04.2015, 11:55

А что мешает выполнять скрипт от имени администратора и запретить пользователю доступ на шару?
Саму шару можно скрыть, добавив в сетевое имя символ $.

@Jagir · 29.04.2015, 12:15 **[ТС]**

Maks, скрипт привязан к пользователю и запускается при входе-выходе в свою учетную запись.
По той же причине добавление символа не дает нужного результата - да, в папку нельзя зайти, но и скрипт перестает отрабатываться.

@Maks · 29.04.2015, 13:12

Сообщение от Jagir

Maks, скрипт привязан к пользователю и запускается при входе-выходе в свою учетную запись.

Привязан чем?
Если через управление групповой политики, то домен сам будет выполнять сие скрипт от имени пользователя и пользователь об этом никогда не узнает.

Сообщение от Jagir

По той же причине добавление символа не дает нужного результата - да, в папку нельзя зайти, но и скрипт перестает отрабатываться.

Неправильный ответ: шара остается по прежнему доступной, только она не отображается, пока не введете сетевое имя шары ручками.

@Jagir · 29.04.2015, 17:02 **[ТС]**

Maks, Спасибо. Остановлюсь пока на таком варианте решения.

@Dmitrii · 03.05.2015, 20:46

Сообщение от Jagir

... Проблема в том, что для работы скрипта требуется выдать пользователю права Write\Modify...

Чтобы такой проблемы не возникало, применяют приём, условно именуемый "проксированием".
Его суть заключается в том, что LogOn/LogOff-сценарий, выполняемый от имени пользователя, создаёт в некоторой папке общего доступа сигнальный файл (пользователям разрешена только запись в эту папку и ничего другого). За появлением подобных сигнальных файлов в папке наблюдает другой сценарий, который запущен от имени "учётки", имеющей полномочия на редактирование соответствующих атрибутов AD.

@Jagir · 06.05.2015, 10:22 **[ТС]**

Спасибо! Я применял скрипт, запускаемый от административной учетки, который попросту копировал логи в отдельную папку (на случай если вдруг их удалят или изменят). Ваше решение рациональнее.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11680&d=1772460536 Одним из. . .	Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .
SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .

@Jagir 2 / 2 / 0 Регистрация: 13.06.2011 Сообщений: 12

	Защита скрипта от пользователей домена 29.04.2015, 11:33. Показов 1766. Ответов 6 Метки нет (Все метки) Здравствуйте! Заход каждого пользователя фиксируется записью в поле "department" с помощью скрипта, описанного в этой статье http://habrahabr.ru/post/121801/ Проблема в том, что для работы скрипта требуется выдать пользователю права Write\Modify. В связи с этим каждый пользователь, зная айпи контроллера домена, может удаленно зайти и посмотреть расшаренную папку, в которой содержится скрипт и, следовательно, удалить или повредить его. Каким образом можно обезопасить файлы от такого? Возможно ли сделать это средствами Windows Server 2008R2 ? Пока что вариантов мне на ум приходит два - скрыть файлы или попросту проигнорировать риск, понадеявшись,что никто не знает адрес контроллера. Спасибо. 0

@Maks Супер-модератор 9403 / 5200 / 623 Регистрация: 13.03.2013 Сообщений: 18,317 Записей в блоге: 17
	29.04.2015, 11:55
	А что мешает выполнять скрипт от имени администратора и запретить пользователю доступ на шару? Саму шару можно скрыть, добавив в сетевое имя символ $. 0

@Jagir 2 / 2 / 0 Регистрация: 13.06.2011 Сообщений: 12
	29.04.2015, 12:15 [ТС]
	Maks, скрипт привязан к пользователю и запускается при входе-выходе в свою учетную запись. По той же причине добавление символа не дает нужного результата - да, в папку нельзя зайти, но и скрипт перестает отрабатываться. 0

@Jagir 2 / 2 / 0 Регистрация: 13.06.2011 Сообщений: 12
	29.04.2015, 17:02 [ТС]
	Maks, Спасибо. Остановлюсь пока на таком варианте решения. 0

@Jagir 2 / 2 / 0 Регистрация: 13.06.2011 Сообщений: 12
	06.05.2015, 10:22 [ТС]
	Спасибо! Я применял скрипт, запускаемый от административной учетки, который попросту копировал логи в отдельную папку (на случай если вдруг их удалят или изменят). Ваше решение рациональнее. 0