Account del servizio di rete che accede a una condivisione di cartelle

Ho uno scenario semplice. Esiste un'applicazione su ServerA che viene eseguita con l'account di servizio di rete integrato. Deve leggere e scrivere file su una condivisione cartella su ServerB. Quali autorizzazioni devo impostare sulla condivisione delle cartelle su ServerB?

Posso farlo funzionare aprendo la finestra di dialogo di sicurezza della condivisione, aggiungendo un nuovo utente di sicurezza, facendo clic su "Tipi di oggetto" e assicurando che "Computer" sia selezionato, quindi aggiungendo ServerA con accesso in lettura / scrittura. In questo modo, quali account stanno ottenendo l'accesso alla condivisione? Solo servizio di rete? Tutti gli account locali su ServerA? Quello che dovrebbe ho essere facendo per concedere l'accesso all'account Servizio di rete di ServerA alla quota di ServerB?

Nota:
so che è simile a questa domanda . Tuttavia, nel mio scenario ServerA e ServerB si trovano nello stesso dominio.

Le "Autorizzazioni di condivisione" possono essere "Tutti / Controllo completo" - solo le autorizzazioni NTFS contano davvero. (Indica argomenti religiosi di persone che hanno un malsano attaccamento a "Autorizzazioni di condivisione" qui ...)

Nelle autorizzazioni NTFS per la cartella su ServerB è possibile ottenere "DOMAIN \ ServerA - Modifica" o "DOMAIN \ ServerA - Scrittura", a seconda che sia necessario o meno modificare i file esistenti. (La modifica è davvero la preferita perché l'applicazione potrebbe riaprire un file dopo averlo creato per scrivere ulteriormente - Modifica dà quello giusto, ma Write no.)

Solo i contesti "SISTEMA" e "Servizio di rete" su ServerA avranno accesso, assumendo il nome "DOMINIO \ ServerA" nell'autorizzazione. Gli account utente locali sul computer ServerA sono diversi dal contesto "DOMAIN \ ServerA" (e dovrebbero essere nominati singolarmente se in qualche modo si desidera concedere loro l'accesso).

A parte: i ruoli dei computer server cambiano. È possibile che si desideri creare un gruppo in Active Directory per questo ruolo, inserire ServerA in quel gruppo e concedere i diritti di gruppo. Se si cambia mai il ruolo di ServerA e lo si sostituisce, ad esempio, con ServerC, è necessario modificare solo le appartenenze ai gruppi e non è più necessario toccare nuovamente l'autorizzazione della cartella. Molti amministratori pensano a questo genere di cose per gli utenti a cui vengono assegnate autorizzazioni, ma dimenticano che "anche i computer sono persone" e il loro ruolo a volte cambia. Ridurre al minimo il tuo lavoro in futuro (e la tua capacità di commettere errori) è ciò che significa essere efficienti in questo gioco ...

L'account del servizio di rete di un computer verrà mappato su un altro computer attendibile come account nome computer. Ad esempio, se si esegue come account del servizio di rete su ServerA in MyDomain, dovrebbe essere mappato come MyDomain \ ServerA $ (sì, è necessario il simbolo del dollaro). Lo vedi un po 'quando hai app IIS in esecuzione come account del servizio di rete che si collega a un SQL Server su un server diverso, come un'installazione ridotta di SSRS o Microsoft CRM.

Sono d'accordo con Evan. Tuttavia, credo che la soluzione ideale, se la sicurezza è una vera preoccupazione per te, sarebbe quella di creare un account utente specifico per tale applicazione / servizio da eseguire e concedere a tale account le autorizzazioni necessarie per la cartella condivisa. In questo modo, puoi essere sicuro che solo quell'applicazione / servizio acceda alla condivisione. Questo può essere eccessivo però.