Обліковий запис мережі послуг, що отримує доступ до спільної папки


31

У мене простий сценарій. На сервері ServerA є додаток, який працює під вбудованим обліковим записом Network Service. Для цього потрібно читати та записувати файли на спільному папці на ServerB. Які дозволи мені потрібно встановити на загальну папку на ServerB?

Я можу змусити його працювати, відкривши діалогове вікно безпеки спільного доступу, додавши нового користувача безпеки, натиснувши "Типи об'єктів" і переконайтесь, що "Комп'ютери" встановлено, а потім додавши ServerA з доступом для читання / запису. Роблячи це, які облікові записи отримують доступ до акції? Тільки мережевий сервіс? Усі локальні акаунти на ServerA? Що повинен я робити , щоб надати доступ до облікового запису Network Service SERVERA, щоб поділитися ServerB в?

Примітка.
Я знаю, що це схоже на це питання . Однак у моєму сценарії ServerA і ServerB знаходяться в одному домені.

Відповіді:


27

"Дозволу на обмін" може бути "Усі / Повний контроль" - дійсно мають значення лише дозволи NTFS. (Виправдайте релігійні аргументи від людей, які мають нездорову прихильність до "Надіслати дозволи" тут ...)

У дозволах NTFS у папці на ServerB ви можете отримати "DOMAIN \ ServerA - модифікувати" або "DOMAIN \ ServerA - Write", залежно від того, чи потрібно мати змогу змінювати наявні файли чи ні. (Модифікація справді є кращою, оскільки ваша програма може повторно відкрити файл після створення файлу для подальшого запису. Модифікація надає це право, але запис - ні.)

Лише контексти "SYSTEM" та "Network Service" на ServerA матимуть доступ, припускаючи, що в дозволі ви назви "DOMAIN \ ServerA". Локальні облікові записи користувачів на комп’ютері ServerA відрізняються від контексту "DOMAIN \ ServerA" (і повинні бути названі окремо, якщо ви хоч якось хочете надати їм доступ).

В бік: Ролі серверного комп'ютера змінюються. Ви можете створити групу в AD для цієї ролі, ввести ServerA в цю групу і надати групові права. Якщо ви коли-небудь змінюєте роль ServerA і замінюєте її, скажімо, ServerC, вам потрібно лише змінити членство в групі, і вам більше не потрібно торкатися дозволу на папку. Дуже багато адміністраторів замислюються про подібну річ для користувачів, названих у дозволах, але вони забувають, що "комп'ютери теж люди", і їх роль іноді змінюється. Мінімізація вашої роботи в майбутньому (і ваша здатність робити помилки) - це те, що в цій грі є ефективністю ...


1
Ви не можете дозволити локальним обліковим записам на одному комп’ютері доступ до ресурсів іншого комп’ютера.
pipTheGeek

3
@pip: Але ви можете створити локальний ресурс з тим же ім'ям користувача та паролем на віддаленій машині, а потім надати цьому обліковому запису необхідний доступ. Кінцевий результат той самий.
Джон Ренні

8
Служба мережі - виняток. Це робить карту через як обліковий запис комп'ютера. У Windows 2000 обліковий запис системи зробив те саме.
К. Брайан Келлі

1
Це не здається можливим саме так, як описано в Windows Server 2008+. Я не можу додати сервер як "домен \ сервер", але можу (якщо включати комп'ютери з "Цілого каталогу") просто як "сервер". Крім того, щойно доданий сервер відображається у списку "сервер $".
Кенні Евітт

12

Обліковий запис мережевої служби комп’ютера буде відображатися на іншому довіреному комп'ютері як обліковий запис імені комп'ютера. Наприклад, якщо ви працюєте як обліковий запис служби мережі на сервері ServerA в MyDomain, це має відображатися як MyDomain \ ServerA $ (так, знак долара необхідний). Ви бачите це зовсім небагато, коли у вас є програми IIS, які працюють як обліковий запис Network Service, який підключається до SQL Server на іншому сервері, наприклад, зменшена установка SSRS або Microsoft CRM.


5

Я згоден з Еваном. Однак, я вважаю, що ідеальним рішенням, якщо безпека викликає серйозне занепокоєння, було б створити обліковий запис користувача спеціально для того, щоб цей додаток / служба працював і надав цьому обліковому запису необхідні дозволи для спільної папки. Таким чином, ви можете бути впевнені, що лише цей додаток / послуга отримує доступ до спільного доступу. Це, однак, може бути зайвим.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.