Account del servizio di rete che accede a una condivisione di cartelle


31

Ho uno scenario semplice. Esiste un'applicazione su ServerA che viene eseguita con l'account di servizio di rete integrato. Deve leggere e scrivere file su una condivisione cartella su ServerB. Quali autorizzazioni devo impostare sulla condivisione delle cartelle su ServerB?

Posso farlo funzionare aprendo la finestra di dialogo di sicurezza della condivisione, aggiungendo un nuovo utente di sicurezza, facendo clic su "Tipi di oggetto" e assicurando che "Computer" sia selezionato, quindi aggiungendo ServerA con accesso in lettura / scrittura. In questo modo, quali account stanno ottenendo l'accesso alla condivisione? Solo servizio di rete? Tutti gli account locali su ServerA? Quello che dovrebbe ho essere facendo per concedere l'accesso all'account Servizio di rete di ServerA alla quota di ServerB?

Nota:
so che è simile a questa domanda . Tuttavia, nel mio scenario ServerA e ServerB si trovano nello stesso dominio.

Risposte:


27

Le "Autorizzazioni di condivisione" possono essere "Tutti / Controllo completo" - solo le autorizzazioni NTFS contano davvero. (Indica argomenti religiosi di persone che hanno un malsano attaccamento a "Autorizzazioni di condivisione" qui ...)

Nelle autorizzazioni NTFS per la cartella su ServerB è possibile ottenere "DOMAIN \ ServerA - Modifica" o "DOMAIN \ ServerA - Scrittura", a seconda che sia necessario o meno modificare i file esistenti. (La modifica è davvero la preferita perché l'applicazione potrebbe riaprire un file dopo averlo creato per scrivere ulteriormente - Modifica dà quello giusto, ma Write no.)

Solo i contesti "SISTEMA" e "Servizio di rete" su ServerA avranno accesso, assumendo il nome "DOMINIO \ ServerA" nell'autorizzazione. Gli account utente locali sul computer ServerA sono diversi dal contesto "DOMAIN \ ServerA" (e dovrebbero essere nominati singolarmente se in qualche modo si desidera concedere loro l'accesso).

A parte: i ruoli dei computer server cambiano. È possibile che si desideri creare un gruppo in Active Directory per questo ruolo, inserire ServerA in quel gruppo e concedere i diritti di gruppo. Se si cambia mai il ruolo di ServerA e lo si sostituisce, ad esempio, con ServerC, è necessario modificare solo le appartenenze ai gruppi e non è più necessario toccare nuovamente l'autorizzazione della cartella. Molti amministratori pensano a questo genere di cose per gli utenti a cui vengono assegnate autorizzazioni, ma dimenticano che "anche i computer sono persone" e il loro ruolo a volte cambia. Ridurre al minimo il tuo lavoro in futuro (e la tua capacità di commettere errori) è ciò che significa essere efficienti in questo gioco ...


1
Non è possibile garantire effettivamente agli account locali su un computer l'accesso alle risorse su un altro computer.
pipTheGeek,

3
@pip: ma puoi creare una risorsa locale con lo stesso nome utente e password sul computer remoto, quindi concedere a quell'account l'accesso richiesto. Il risultato finale è lo stesso.
John Rennie,

8
Il servizio di rete è un'eccezione. Si fa la mappa attraverso come l'account del computer. In Windows 2000, l'account di sistema ha fatto lo stesso.
K. Brian Kelley,

1
Ciò non sembra possibile esattamente come descritto in Windows Server 2008+. Non riesco ad aggiungere il server come "dominio \ server" ma posso (se includo i computer della "Directory intera") come solo "server". Inoltre, una volta aggiunto il server viene elencato "server $".
Kenny Evitt,

12

L'account del servizio di rete di un computer verrà mappato su un altro computer attendibile come account nome computer. Ad esempio, se si esegue come account del servizio di rete su ServerA in MyDomain, dovrebbe essere mappato come MyDomain \ ServerA $ (sì, è necessario il simbolo del dollaro). Lo vedi un po 'quando hai app IIS in esecuzione come account del servizio di rete che si collega a un SQL Server su un server diverso, come un'installazione ridotta di SSRS o Microsoft CRM.


5

Sono d'accordo con Evan. Tuttavia, credo che la soluzione ideale, se la sicurezza è una vera preoccupazione per te, sarebbe quella di creare un account utente specifico per tale applicazione / servizio da eseguire e concedere a tale account le autorizzazioni necessarie per la cartella condivisa. In questo modo, puoi essere sicuro che solo quell'applicazione / servizio acceda alla condivisione. Questo può essere eccessivo però.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.