간단한 시나리오가 있습니다. ServerA에는 내장된 네트워크 서비스 계정으로 실행되는 애플리케이션이 있습니다. ServerB의 폴더 공유에서 파일을 읽고 써야 합니다. ServerB의 폴더 공유에 어떤 권한을 설정해야 합니까?
공유의 보안 대화 상자를 열고 새 보안 사용자를 추가하고 "개체 유형"을 클릭하고 "컴퓨터"가 선택되어 있는지 확인한 다음 읽기/쓰기 액세스 권한이 있는 ServerA를 추가하면 작동하게 할 수 있습니다. 이렇게 하면 어떤 계정이 공유에 액세스할 수 있나요? 네트워크 서비스만? ServerA의 모든 로컬 계정? 무엇~해야 한다ServerA의 네트워크 서비스 계정에 ServerB의 공유에 대한 액세스 권한을 부여하려고 합니까?
메모:
나는 이것이 다음과 비슷하다는 것을 안다.이 질문. 그러나 내 시나리오에서는 ServerA와 ServerB가 동일한 도메인에 있습니다.
답변1
"공유 권한"은 "모든 사람/모든 권한"일 수 있습니다. 실제로는 NTFS 권한만 중요합니다. (여기서 "권한 공유"에 대한 건강하지 못한 애착을 갖고 있는 사람들의 종교적 주장을 언급하세요...)
ServerB 폴더에 대한 NTFS 권한에서는 기존 파일을 수정할 수 있어야 하는지 여부에 따라 "DOMAIN\ServerA - 수정" 또는 "DOMAIN\ServerA - 쓰기"를 사용하여 얻을 수 있습니다. (수정은 추가 쓰기를 위해 파일을 생성한 후 응용 프로그램이 다시 열 수 있기 때문에 실제로 선호됩니다. 수정은 해당 권한을 부여하지만 쓰기는 그렇지 않습니다.)
권한에 "DOMAIN\ServerA"라는 이름이 지정되어 있다고 가정하면 ServerA의 "SYSTEM" 및 "Network Service" 컨텍스트만 액세스할 수 있습니다. ServerA 컴퓨터의 로컬 사용자 계정은 "DOMAIN\ServerA" 컨텍스트와 다릅니다. 액세스 권한을 부여하려면 개별적으로 이름을 지정해야 합니다.
여담: 서버 컴퓨터 역할이 변경됩니다. 이 역할에 대해 AD에 그룹을 만들고 ServerA를 해당 그룹에 넣은 다음 그룹 권한을 부여할 수 있습니다. ServerA의 역할을 변경하고 이를 ServerC로 바꾸는 경우 그룹 멤버십만 변경하면 되며 폴더 권한을 다시 건드릴 필요가 없습니다. 많은 관리자는 권한에 이름이 지정된 사용자에 대해 이런 종류의 문제를 생각하지만 "컴퓨터도 사람이다"는 사실을 잊어버리고 역할이 때때로 변경됩니다. 미래의 작업(그리고 실수할 수 있는 능력)을 최소화하는 것이 이 게임에서 효율적이라는 것입니다...
답변2
컴퓨터의 네트워크 서비스 계정은 컴퓨터 이름 계정으로 신뢰할 수 있는 다른 컴퓨터에 매핑됩니다. 예를 들어 MyDomain의 ServerA에서 네트워크 서비스 계정으로 실행 중인 경우 MyDomain\ServerA$로 매핑되어야 합니다(예, 달러 기호가 필요합니다). SSRS 또는 Microsoft CRM의 확장 설치와 같이 다른 서버의 SQL Server에 연결하는 네트워크 서비스 계정으로 IIS 앱을 실행하는 경우 이러한 현상이 상당히 자주 나타납니다.
답변3
나는 에반의 말에 동의한다. 그러나 보안이 중요한 문제인 경우 이상적인 솔루션은 해당 응용 프로그램/서비스를 실행할 전용 사용자 계정을 만들고 해당 계정에 공유 폴더에 필요한 권한을 부여하는 것입니다. 이렇게 하면 해당 응용 프로그램/서비스만 공유에 액세스하고 있는지 확인할 수 있습니다. 하지만 이는 과잉일 수 있습니다.