Подключение баз данных в MSSQL "на лету"

[Найч]

Подключение баз данных в MSSQL "на лету"

Здравствуйте!
Ситуация такова. Система использует MSSQL. Для секурности БД с пользовательскими данными располагается логически на другом разделе(зашифрованном). Физически же этот раздел - один файл на флешке.
Итого администратор вставляет флешку, монтирует в виндах новый раздел, после чего перепускает демона, чтоб "подмонтированную" БД можно было юзать. После чего все пользователи через web-интерфейс могут делать, что положено.
Но. Требуется дать пользователям возможность работать с системой без участия администратора. То есть они должны ввести пароль для расшифровывания диска с БД (с организацией этого проблем нет) и перепустить демона СУБД(чтоб база "увиделась"). А вот это может только админ. Собственно, возникающие отсюда вопросы:
1. Можно ли, не трогая демона MS, подмонтировать БД?
2. Если нет, то как дать возможность пользователю перепустить этого демона?

Win 2000 Server rus

Спасибо.

 

[Profic]

Идея (перенесенная с юникса

Имеет cmd-шник, который запускается с правами админа (такое вроде можно сделать), в котором указано что-то типа
net stop mssql
net start mssql
через web его вызываем

 

[Найч]

Немного не понял. Если мы его вызываем через веб, то апач должен запускаться с правами админа (чтоб можно было работать с сервисами)? Или коим образом запустить "админский" батник?
Поясни, пожалуйста, подробнее.

 

[si]

немного на изврат все это смахивает вам не кажется ?

-~{}~ 17.11.04 16:49:

кстати по теме http://voffka.com/archives/elcomhard.jpg

 

[Найч]

si
Пока нет. Если есть аргументы - выслушаю.

-~{}~ 17.11.04 16:51:

Картинка хороша, но, к сожалению, мне не поможет

 

[Profic]

Найч
Идея была, что-то типа setuid. Но как оказалось в винде такое низя сделать

 

[Yukko]

man runas

 

[Найч]

Цикава играшка.
Спасибо, будем баловаться.

 

[neko]

runas желает пароль с консоли получить, а никак не параметром
afaik это не обходится
куда как проще запустить вебсервер от local system

только чето я непомню
чтобы были какие-то ограничения на *запуск* сервисов

-~{}~ 17.11.04 21:04:

а еще лучше почитай BOL
я уже непомню если честно ничего
там были какие-то sp_attach_db и пр.

 

[fixxxer]

Можно повесить еще один сервис, который и будет этим делом заниматься. Изврат конечно, но повышение привелегий через runas, насколько я помню, исключительно интерактивное(с вводом пароля).

 

[neko]

тогда уж проще написать программу из 3х строк которая делает тоже самое что runas, но ест при этом пароль параметром

только я начинаю думать это неверный в принципе подход

 

[Найч]

Подход действительно неверный. Смысл брать админовский пароль от юзера? Хоть параметром, хоть нет. Суть-то в том, что пользователь не знает админского пароля.
Вариант с демоном, занимающимся раздачей слонов пока мне кажется долгим... Я ошибаюсь?

 

[neko]

иди уже читай BOL

 

[si]

можно узнать для чего такие сложности ?

 

[Найч]

neko
Only members of the sysadmin and dbcreator fixed server roles can execute this procedure.
si
Система манипулирует практически всей финансовой частью конторы, посему доступ к этой информации не должен иметь никто, кроме нескольких. Основой всего этого служит как раз деятельность простых пользователей.
Как дополнение к шифрованию админ желает ограничить физическое присутствие БД на рабочем месте. Короче, на флешке туда-сюда...

Решение пока такое. BestCrypt. Остается управлять разделом как сервис под всеми пользователями.

 

[neko]

тогда так неполучится в принципе
где-нибудь тебе придется дать нормальные права
или внутри sql сервера
или для вебсервера

про это "желание" я помолчу

 

[Найч]

тогда так неполучится в принципе

вроде постом выше я указал вариант

 

[Yukko]

Братья и сестры! Если я еще полностью не сошел с ума, внимайте!

У runas есть атрибут
/savecred
запускаем один раз с этим атрибутом и вводим руками пароль. Второй раз запускаем с этим же отрибутом и уже ничего не вводим! Все происходит на автомате, так как ОС запоминает атрибуты.

C:\Documents and Settings\Administrator>runas /user:user /savecred "C:\Program F
iles\Internet Explorer\iexplore.exe"
Attempting to start C:\Program Files\Internet Explorer\iexplore.exe as user "LIB
ERTYXP\user" ...
Enter the password for user:
Attempting to start C:\Program Files\Internet Explorer\iexplore.exe as user "LIB
ERTYXP\user" ...


C:\Documents and Settings\Administrator>runas /user:user /savecred "C:\Program F
iles\Internet Explorer\iexplore.exe"

Есть атрибут:
/smartcard
нужен для того, чтобы брать атрибуты доступа со смарткарты.