Назад | Перейти на главную страницу

Перезагрузите сервер Exchange с одноразовой учетной записью или сценарием

Не уверен, что это лучший способ добиться этого, но вот предыстория и цель.

ЗАДНИЙ ПЛАН Мы малый бизнес. Иногда я или другой человек, который способен справиться с отключением электронной почты, недоступен .... Обычно это так же просто, как перезапустить старый и утомленный ящик обмена, чтобы вернуть его в онлайн ... очевидно, что это временное решение пока я не смогу выяснить причину конкретного отключения. Но идея состоит в том, чтобы сократить время простоя, вызванное этим, до нашего колл-центра.

ЦЕЛЬ: Я хочу настроить одноразовую учетную запись администратора. ИЛИ напишите сценарий, который позволяет пользователю просто перезапустить сервер.

Поймите, что текущая учетная запись этого пользователя ограничена только пользователем домена, а не администратором любого типа.

Дополнительная информация Идея с одноразовой учетной записью заключается в том, что пользователь может использовать ее один раз. Войдите в систему, внесите изменения, и как только они будут выполнены и выйдете из системы, учетная запись будет заблокирована, или ее пароль будет изменен, или будет отключена. Все, что угодно, чтобы помешать им использовать его во второй раз. Таким образом, у пользователя есть некоторая ответственность за использование его только в экстренных случаях и по прямому назначению, а не в качестве простого способа настройки своей ограниченной учетной записи или установки программного обеспечения среди прочего.

Что касается сценария, я понимаю, что из-за ограниченного разрешения для стандартных пользователей этот пользователь не сможет использовать свое текущее разрешение для удаленного выполнения PSSHUTDOWN.EXE в поле обмена. Поэтому нам нужно было бы найти хороший метод, чтобы позволить пользователю выполнить перезапуск. Это должен быть простой сценарий VB, который не является проблемой. Моя проблема заключается в создании некоторой формы безопасности, позволяющей им вводить, возможно, пароль, чтобы начать процесс. Бонусные баллы, если вы можете включить остановку сервисов в скрипте. такие вещи, как «я», могу заполнить остальные, как только увижу, как вы реализуете первый. net stop "Информационное хранилище Microsoft Exchange"

Мне кажется, второй план намного безопаснее. Таким образом, я могу просто использовать безопасность неизвестностью. Не сообщать ему порт RDP и не включать его в систему, а просто использовать пароль для активации перезагрузки.

Так что помощь в этом очень ценится. Или альтернативные предложения всегда приветствуются.

Я думаю, что при использовании PowerShell это должно сработать, хотя по очевидным причинам я вообще не тестировал это. Я предлагаю создать учетную запись администратора обмена, добавить ее в локальную группу администраторов сервера обмена. Предоставьте этой учетной записи полные разрешения в AD более сам (На самом деле я не уверен, может ли учетная запись пользователя по умолчанию отключать себя). Затем сохраните приведенный ниже сценарий PowerShell в сети и поместите CMD-файл с ярлыком для него на рабочий стол того, кто будет его запускать. Покажите им, как использовать функцию «Запуск от имени другого пользователя» (удерживайте Shift при щелчке правой кнопкой мыши). CMD-файлу просто необходимы:

PowerShell. \\ сервер \ общий ресурс \ script.ps1

Скрипт PowerShell может быть довольно коротким:

# Stop the service
(get-wmiobject win32_service -filter "name='Spooler'" -computername ComputerName).StopService()

# check service status
# Add a While loop if needed
(get-wmiobject -query "select * from win32_service where name='Spooler'" -computername ComputerName).state # this will return the state of the named service


restart-computer -computername ExchangeServerName

# Import ActiveDirectory module
Import-Module active*

# disable the account
# substitute $username with the newly created account
# or perhaps with $env:USERNAME using RunAs might work right...
set-user $username -Enabled $false

У пользователя (-ей) может быть пароль, так как после запуска этого сценария он отключит учетную запись до тех пор, пока вы или пользователь с соответствующими учетными данными не сможете повторно включить ее.

Кроме того, в целях безопасности вы можете добавить эту новую учетную запись в политику, чтобы предотвратить ее интерактивный или иной вход в систему. В объекте групповой политики, применяемом к [возможно, всем рабочим станциям и серверу]: Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя \ Запретить вход локально и Запретить вход через службы удаленных рабочих столов

Это неуклюже, но это может сработать ...

Настройте запланированную задачу на другом компьютере, чтобы запустить psshutdown через определенного пользователя. Предоставьте своему лакею достаточно прав, чтобы запустить задание. Не давайте ему расписания. Когда Exchange нужно пощекотать, они могут щелкнуть правой кнопкой мыши и запустить его.

Обратной стороной является то, что они могут сделать это в любое время, но это все, что они могут.