Обліковий запис мережі послуг, що отримує доступ до спільної папки

У мене простий сценарій. На сервері ServerA є додаток, який працює під вбудованим обліковим записом Network Service. Для цього потрібно читати та записувати файли на спільному папці на ServerB. Які дозволи мені потрібно встановити на загальну папку на ServerB?

Я можу змусити його працювати, відкривши діалогове вікно безпеки спільного доступу, додавши нового користувача безпеки, натиснувши "Типи об'єктів" і переконайтесь, що "Комп'ютери" встановлено, а потім додавши ServerA з доступом для читання / запису. Роблячи це, які облікові записи отримують доступ до акції? Тільки мережевий сервіс? Усі локальні акаунти на ServerA? Що повинен я робити , щоб надати доступ до облікового запису Network Service SERVERA, щоб поділитися ServerB в?

Примітка.
Я знаю, що це схоже на це питання . Однак у моєму сценарії ServerA і ServerB знаходяться в одному домені.

"Дозволу на обмін" може бути "Усі / Повний контроль" - дійсно мають значення лише дозволи NTFS. (Виправдайте релігійні аргументи від людей, які мають нездорову прихильність до "Надіслати дозволи" тут ...)

У дозволах NTFS у папці на ServerB ви можете отримати "DOMAIN \ ServerA - модифікувати" або "DOMAIN \ ServerA - Write", залежно від того, чи потрібно мати змогу змінювати наявні файли чи ні. (Модифікація справді є кращою, оскільки ваша програма може повторно відкрити файл після створення файлу для подальшого запису. Модифікація надає це право, але запис - ні.)

Лише контексти "SYSTEM" та "Network Service" на ServerA матимуть доступ, припускаючи, що в дозволі ви назви "DOMAIN \ ServerA". Локальні облікові записи користувачів на комп’ютері ServerA відрізняються від контексту "DOMAIN \ ServerA" (і повинні бути названі окремо, якщо ви хоч якось хочете надати їм доступ).

В бік: Ролі серверного комп'ютера змінюються. Ви можете створити групу в AD для цієї ролі, ввести ServerA в цю групу і надати групові права. Якщо ви коли-небудь змінюєте роль ServerA і замінюєте її, скажімо, ServerC, вам потрібно лише змінити членство в групі, і вам більше не потрібно торкатися дозволу на папку. Дуже багато адміністраторів замислюються про подібну річ для користувачів, названих у дозволах, але вони забувають, що "комп'ютери теж люди", і їх роль іноді змінюється. Мінімізація вашої роботи в майбутньому (і ваша здатність робити помилки) - це те, що в цій грі є ефективністю ...

Обліковий запис мережевої служби комп’ютера буде відображатися на іншому довіреному комп'ютері як обліковий запис імені комп'ютера. Наприклад, якщо ви працюєте як обліковий запис служби мережі на сервері ServerA в MyDomain, це має відображатися як MyDomain \ ServerA $ (так, знак долара необхідний). Ви бачите це зовсім небагато, коли у вас є програми IIS, які працюють як обліковий запис Network Service, який підключається до SQL Server на іншому сервері, наприклад, зменшена установка SSRS або Microsoft CRM.

Я згоден з Еваном. Однак, я вважаю, що ідеальним рішенням, якщо безпека викликає серйозне занепокоєння, було б створити обліковий запис користувача спеціально для того, щоб цей додаток / служба працював і надав цьому обліковому запису необхідні дозволи для спільної папки. Таким чином, ви можете бути впевнені, що лише цей додаток / послуга отримує доступ до спільного доступу. Це, однак, може бути зайвим.