Frage Netzwerkdienstkonto, das auf eine Ordnerfreigabe zugreift


Ich habe ein einfaches Szenario. Es gibt eine Anwendung auf ServerA, die unter dem integrierten Netzwerkdienstkonto ausgeführt wird. Es muss Dateien auf einer Ordnerfreigabe auf ServerB lesen und schreiben. Welche Berechtigungen muss ich für die Ordnerfreigabe auf ServerB festlegen?

Ich kann es zum Laufen bringen, indem ich den Sicherheitsdialog der Freigabe öffne, einen neuen Sicherheitsbenutzer hinzufüge, auf "Objekttypen" klicke und sicherstelle, dass "Computer" aktiviert ist, und dann ServerA mit Lese- / Schreibzugriff hinzufüge. Auf diese Weise erhalten welche Konten Zugriff auf die Freigabe? Nur Netzwerkdienst? Alle lokalen Konten auf ServerA? Was sollte Ich mache ServerA Network Service-Konto Zugriff auf ServerB-Freigabe?

Hinweis:
Ich weiß, dass das ähnlich ist diese Frage. In meinem Szenario befinden sich ServerA und ServerB jedoch in derselben Domäne.


28
2017-07-15 16:53


Ursprung




Antworten:


Die "Freigabeberechtigungen" können "Jeder / Vollzugriff" sein - nur die NTFS-Berechtigungen sind wirklich wichtig. (Stichwort religiöse Argumente von Leuten, die eine ungesunde Anhaftung an "Freigabeberechtigungen" haben, hier ...)

In den NTFS-Berechtigungen für den Ordner auf ServerB können Sie entweder "DOMAIN \ ServerA - Modify" oder "DOMAIN \ ServerA - Write" verwenden, je nachdem, ob vorhandene Dateien geändert werden müssen oder nicht. (Modifizieren ist wirklich das bevorzugte, weil Ihre Anwendung eine Datei nach dem Erstellen erneut öffnen kann, um weiter zu schreiben - Modifizieren gibt es das richtige, aber Schreiben nicht.)

Nur die Kontexte "SYSTEM" und "Netzwerkdienst" auf ServerA haben Zugriff, vorausgesetzt, Sie geben "DOMAIN \ ServerA" in der Berechtigung an. Lokale Benutzerkonten auf dem ServerA-Computer unterscheiden sich vom Kontext "DOMAIN \ ServerA" (und müssten einzeln benannt werden, wenn Sie ihnen irgendwie Zugriff gewähren wollten).

Nebenbei: Servercomputerrollen ändern sich. Sie möchten möglicherweise eine Gruppe im AD für diese Rolle erstellen, ServerA in diese Gruppe aufnehmen und die Gruppenrechte gewähren. Wenn Sie die Rolle von ServerA ändern und sie beispielsweise durch ServerC ersetzen, müssen Sie nur die Gruppenmitgliedschaften ändern, und Sie müssen die Ordnerberechtigung nicht mehr berühren. Viele Admins denken darüber nach, dass Benutzer in Berechtigungen benannt werden, aber sie vergessen, dass "Computer auch Menschen sind" und ihre Rollen sich manchmal ändern. Minimieren Sie Ihre Arbeit in der Zukunft (und Ihre Fähigkeit, Fehler zu machen) ist, was effizient in diesem Spiel ist ...


23
2017-07-15 16:59



Sie können lokalen Konten auf einem Computer keinen Zugriff auf Ressourcen auf einem anderen Computer gewähren. - pipTheGeek
@pip: Sie können jedoch eine lokale Ressource mit demselben Benutzernamen und demselben Kennwort auf dem Remotecomputer erstellen und diesem Konto den erforderlichen Zugriff gewähren. Das Endergebnis ist das gleiche. - John Rennie
Netzwerkdienst ist eine Ausnahme. Es tut Karte als das Computerkonto. In Windows 2000 hat das Systemkonto dasselbe getan. - K. Brian Kelley
Dies scheint nicht genau wie in Windows Server 2008+ beschrieben möglich. Ich kann den Server nicht als "Domäne \ Server" hinzufügen, aber ich kann (wenn ich Computer aus dem "Entire Directory" einschließe) nur als "Server" bezeichnen. Nach dem Hinzufügen wird der Server als 'Server $' aufgeführt. - Kenny Evitt


Das Netzwerkdienstkonto eines Computers wird einem anderen vertrauenswürdigen Computer als Computernamenskonto zugeordnet. Wenn Sie beispielsweise als Netzwerkdienstkonto auf ServerA in MyDomain ausgeführt werden, sollte dies als MyDomain \ ServerA $ zugeordnet werden (ja, das Dollarzeichen ist erforderlich). Sie sehen dies ziemlich oft, wenn IIS-Anwendungen als Netzwerkdienstkonto ausgeführt werden, das eine Verbindung zu einem SQL Server auf einem anderen Server herstellt, z. B. eine skalierte Installation von SSRS oder Microsoft CRM.


11
2017-07-15 18:29





Ich stimme Evan zu. Ich glaube jedoch, dass die ideale Lösung, wenn Sicherheit ein echtes Problem für Sie ist, darin besteht, ein Benutzerkonto speziell für diese Anwendung / diesen Dienst zu erstellen und diesem Konto die erforderlichen Berechtigungen für den freigegebenen Ordner zu gewähren. Auf diese Weise können Sie sicher sein, dass nur diese Anwendung / dieser Dienst auf die Freigabe zugreift. Dies kann jedoch zu viel werden.


5
2017-07-15 18:08