Ich habe ein einfaches Szenario. Auf ServerA gibt es eine Anwendung, die unter dem integrierten Netzwerkdienstkonto ausgeführt wird. Sie muss Dateien in einer Ordnerfreigabe auf ServerB lesen und schreiben. Welche Berechtigungen muss ich für die Ordnerfreigabe auf ServerB festlegen?
Ich kann es zum Laufen bringen, indem ich den Sicherheitsdialog der Freigabe öffne, einen neuen Sicherheitsbenutzer hinzufüge, auf „Objekttypen“ klicke und sicherstelle, dass „Computer“ aktiviert ist, und dann ServerA mit Lese-/Schreibzugriff hinzufüge. Welche Konten erhalten dadurch Zugriff auf die Freigabe? Nur Netzwerkdienst? Alle lokalen Konten auf ServerA? WassollenWas muss ich tun, um dem Netzwerkdienstkonto von ServerA Zugriff auf die Freigabe von ServerB zu gewähren?
Notiz:
Ich weiß, das ist ähnlich wiediese Frage. In meinem Szenario befinden sich ServerA und ServerB jedoch in derselben Domäne.
Antwort1
Die „Freigabeberechtigungen“ können „Jeder/Vollzugriff“ sein – nur die NTFS-Berechtigungen sind wirklich wichtig. (Hier kommen religiöse Argumente von Leuten, die eine ungesunde Vorliebe für „Freigabeberechtigungen“ haben …)
In den NTFS-Berechtigungen für den Ordner auf ServerB können Sie entweder mit „DOMAIN\ServerA – Ändern“ oder „DOMAIN\ServerA – Schreiben“ auskommen, je nachdem, ob vorhandene Dateien geändert werden müssen oder nicht. (Ändern ist eigentlich vorzuziehen, da Ihre Anwendung eine Datei nach ihrer Erstellung möglicherweise erneut öffnen kann, um weiter darin zu schreiben – Ändern gibt ihr dieses Recht, Schreiben jedoch nicht.)
Nur die Kontexte „SYSTEM“ und „Netzwerkdienst“ auf ServerA haben Zugriff, vorausgesetzt, Sie geben in der Berechtigung „DOMAIN\ServerA“ an. Lokale Benutzerkonten auf dem Computer ServerA unterscheiden sich vom Kontext „DOMAIN\ServerA“ (und müssten einzeln benannt werden, wenn Sie ihnen irgendwie Zugriff gewähren möchten).
Nebenbei bemerkt: Die Rollen von Servercomputern ändern sich. Sie können eine Gruppe im AD für diese Rolle erstellen, ServerA in diese Gruppe aufnehmen und der Gruppe Rechte erteilen. Wenn Sie jemals die Rolle von ServerA ändern und sie beispielsweise durch ServerC ersetzen, müssen Sie nur die Gruppenmitgliedschaften ändern und müssen die Ordnerberechtigung nie wieder ändern. Viele Administratoren denken über derartige Dinge nach, wenn Benutzer in Berechtigungen benannt werden, aber sie vergessen, dass „Computer auch Menschen sind“ und ihre Rollen sich manchmal ändern. Die Minimierung Ihrer zukünftigen Arbeit (und Ihrer Fähigkeit, Fehler zu machen) ist das, worum es bei der Effizienz in diesem Spiel geht …
Antwort2
Das Netzwerkdienstkonto eines Computers wird einem anderen vertrauenswürdigen Computer als Computernamenkonto zugeordnet. Wenn Sie beispielsweise als Netzwerkdienstkonto auf ServerA in MyDomain laufen, sollte dies als MyDomain\ServerA$ zugeordnet werden (ja, das Dollarzeichen ist erforderlich). Sie sehen dies häufig, wenn Sie IIS-Apps als Netzwerkdienstkonto laufen haben, die eine Verbindung zu einem SQL Server auf einem anderen Server herstellen, beispielsweise bei einer skalierten Installation von SSRS oder Microsoft CRM.
Antwort3
Ich stimme Evan zu. Wenn Ihnen die Sicherheit jedoch wirklich wichtig ist, glaube ich, dass die ideale Lösung darin besteht, ein Benutzerkonto speziell für diese Anwendung/diesen Dienst zu erstellen und diesem Konto die erforderlichen Berechtigungen für den freigegebenen Ordner zu erteilen. Auf diese Weise können Sie sicher sein, dass nur diese Anwendung/dieser Dienst auf die Freigabe zugreift. Dies ist jedoch möglicherweise übertrieben.