it-swarm.cn

网络服务帐户访问文件夹共享

我有一个简单的场景。 ServerA上有一个应用程序,它以内置的网络服务帐户运行。它需要在ServerB上的文件夹共享上读写文件。我需要在ServerB上的文件夹共享上设置哪些权限?

通过打开共享的安全性对话框,添加新的安全性用户,单击“对象类型”并确保选中“计算机”,然后添加具有读/写访问权限的ServerA,可以使其正常工作。通过这样做,哪些帐户可以访问该共享?仅网络服务? ServerA上的所有本地帐户?我应该做什么授予ServerA的网络服务帐户访问ServerB的共享的权限?

注:
我知道这类似于 此问题 。但是,在我的场景中,ServerA和ServerB在同一域中。

31
whatknott

“共享权限”可以是“所有人/完全控制”,只有NTFS权限才真正重要。 (在这里提示对“共享权限”有不健康依恋的人的宗教论点...)

在ServerB文件夹上的NTFS权限中,可以通过“ DOMAIN\ServerA-修改”或“ DOMAIN\ServerA-写入”来获得权限,具体取决于它是否需要能够修改现有文件。 (实际上,Modify是首选,因为您的应用程序可能会在创建文件以进一步写入文件后重新打开它-修改为文件提供了正确的权限,但写入不具备此权限。)

假设您在权限中命名为“ DOMAIN\ServerA”,则只有ServerA上的“ SYSTEM”和“网络服务”上下文可以访问。 ServerA计算机上的本地用户帐户与“ DOMAIN\ServerA”上下文不同(如果您想以某种方式授予他们访问权限,则必须单独命名)。

顺便说一句:服务器计算机角色会更改。您可能要在AD中为此角色创建一个组,将ServerA放入该组,然后授予该组权限。如果您曾经更改ServerA的角色并将其替换为ServerC,则只需更改组成员身份,而无需再次触摸文件夹权限。许多管理员会考虑在权限中为用户命名的这种事情,但是他们忘记了“计算机也是人”,并且有时角色也会发生变化。在游戏中高效发挥的全部意义在于,将将来的工作量(以及犯错的能力)减至最少。

27
Evan Anderson

一台计算机的网络服务帐户将作为计算机名帐户映射到另一台受信任的计算机。例如,如果您在MyDomain中作为ServerA上的网络服务帐户运行,则应映射为MyDomain\ServerA $(是的,美元符号是必需的)。当具有IIS)作为网络服务帐户运行的应用程序连接到另一台服务器上的SQL Server时,您会看到很多东西,例如SSRS或Microsoft CRM的横向扩展安装。

12
K. Brian Kelley

我同意埃文。但是,我认为,如果安全是您真正关心的问题,那么理想的解决方案是为运行该应用程序/服务创建一个用户帐户,并为该帐户授予对共享文件夹的必要权限。这样,您可以确保只有该应用程序/服务正在访问共享。不过,这可能是过大的。

5
DCNYAM