it-swarm-tr.com

Klasör paylaşımına erişen Ağ Hizmeti hesabı

Basit bir senaryom var. ServerA'da yerleşik Network Service hesabı altında çalışan bir uygulama var. ServerB'deki bir klasör paylaşımındaki dosyaları okumalı ve yazmalıdır. ServerB'deki klasör paylaşımında hangi izinleri ayarlamam gerekir?

Paylaşımın güvenlik iletişim kutusunu açıp yeni bir güvenlik kullanıcısı ekleyerek, "Nesne Türleri" ni tıklatıp "Bilgisayarlar" ın işaretli olduğundan emin olduktan sonra okuma/yazma erişimine sahip ServerA ekleyerek çalıştırabilirim. Bunu yaparak hangi hesaplar paylaşıma erişiyor? Yalnızca Ağ Hizmeti? ServerA'daki tüm yerel hesaplar? Ne gerekir ServerA'nın Network Service hesabına ServerB'nin paylaşımına erişim izni vermek için ne yapıyorum?

Not:
Bunun bu sor ile benzer olduğunu biliyorum. Ancak, benim senaryomda ServerA ve ServerB aynı etki alanında.

31
whatknott

"Paylaşım İzinleri" "Herkes/Tam Denetim" olabilir - yalnızca NTFS izinleri gerçekten önemlidir. (Buradaki "Paylaşım İzinleri" ne sağlıksız bir şekilde bağlı olan kişilerden dini iddialarda bulunun ...)

ServerB üzerindeki klasördeki NTFS izinlerinde, varolan dosyaları değiştirip değiştiremeyeceğine bağlı olarak "DOMAIN\ServerA - Değiştir" veya "DOMAIN\ServerA - Yaz" seçeneklerinden yararlanabilirsiniz. (Değişiklik gerçekten tercih edilir, çünkü uygulamanız bir dosyayı daha fazla yazmak için oluşturduktan sonra yeniden açabilir; Değiştir, bunu doğru verir, ancak Yazmaz.)

Yalnızca ServerA üzerindeki "SYSTEM" ve "Network Service" bağlamları, izinte "DOMAIN\ServerA" adını verdiğinizi varsayar. ServerA bilgisayarındaki yerel kullanıcı hesapları "DOMAIN\ServerA" bağlamından farklıdır (ve bir şekilde onlara erişim izni vermek istiyorsanız, tek tek adlandırılmalıdır).

Bir yana: Sunucu bilgisayar rolleri değişir. Bu rol için AD'de bir grup oluşturmak, ServerA'yı bu gruba koymak ve grup haklarını vermek isteyebilirsiniz. ServerA'nın rolünü değiştirir ve örneğin ServerC ile değiştirirseniz, yalnızca grup üyeliklerini değiştirmeniz gerekir ve bir daha asla klasör iznine dokunmanız gerekmez. Birçok yönetici, izinlerde adlandırılan kullanıcılar için bu tür bir şey düşünür, ancak "bilgisayarlar da insandır" ve rollerinin bazen değiştiğini unuturlar. Gelecekte çalışmanızı en aza indirgemek (ve hata yapma yeteneğiniz) bu oyunda verimli olmanın tüm amacı ...

27
Evan Anderson

Bir bilgisayarın ağ hizmeti hesabı, bilgisayar adı hesabı olarak başka bir güvenilir bilgisayara eşlenir. Örneğin, MyDomain içindeki ServerA'da Ağ Hizmeti hesabı olarak çalışıyorsanız, MyDomain\ServerA $ olarak eşlenmelidir (evet, dolar işareti gereklidir). IIS SSRS veya Microsoft CRM'nin ölçeklendirilmiş yüklemesi gibi farklı bir sunucudaki SQL Server'a bağlanan Ağ Hizmeti hesabı olarak çalışan uygulamalarınız olduğunda bunu biraz görüyorsunuz.

12
K. Brian Kelley

Evan ile hemfikirim. Bununla birlikte, eğer güvenlik sizin için gerçek bir endişe ise ideal çözümün, özellikle o uygulamanın/hizmetin çalışması için bir kullanıcı hesabı oluşturmak ve bu hesaba paylaşılan klasöre gerekli izinleri vermek olduğuna inanıyorum. Bu şekilde, paylaşıma yalnızca o uygulamanın/hizmetin eriştiğinden emin olabilirsiniz. Bu aşırıya kaçmış olabilir.

5
DCNYAM