我有一個簡單的場景。 ServerA 上有一個應用程式在內建網路服務帳戶下執行。它需要讀取和寫入 ServerB 上的資料夾共用上的檔案。我需要對 ServerB 上的資料夾共用設定什麼權限?
我可以透過開啟共用的安全性對話方塊、新增新的安全性使用者、按一下“物件類型”並確保選取“電腦”,然後新增具有讀取/寫入存取權限的 ServerA 來使其運作。透過這樣做,哪些帳戶可以存取該共享?僅限網路服務? ServerA 上的所有本機帳戶?什麼應該我要授予 ServerA 的網路服務帳戶存取 ServerB 共享的權限嗎?
筆記:
我知道這類似於這個問題。但是,在我的場景中,ServerA 和 ServerB 位於同一網域中。
答案1
「共享權限」可以是「所有人/完全控制」—只有 NTFS 權限才真正重要。 (這裡提示那些對「共享權限」有不健康依戀的人的宗教爭論......)
在 ServerB 上資料夾的 NTFS 權限中,您可以使用“DOMAIN\ServerA - 修改”或“DOMAIN\ServerA - 寫入”,這取決於是否需要能夠修改現有檔案。 (修改實際上是首選,因為您的應用程式可能會在建立檔案後重新開啟檔案以進一步寫入 - 修改賦予它該權利,但寫入則沒有。)
假設您在權限中命名為“DOMAIN\ServerA”,則只有 ServerA 上的“SYSTEM”和“Network Service”上下文具有存取權限。 ServerA 電腦上的本機使用者帳戶與「DOMAIN\ServerA」上下文不同(如果您確實想授予他們存取權限,則必須單獨命名)。
順便說一句:伺服器計算機角色發生了變化。您可能需要在 AD 中為此角色建立一個群組,將 ServerA 放入該群組,並授予該群組權限。如果您變更了 ServerA 的角色並將其替換為 ServerC,則您只需變更群組成員身份,而無需再次觸及資料夾權限。許多管理員都會考慮在權限中命名使用者的這種事情,但他們忘記了“電腦也是人”,他們的角色有時會發生變化。最大限度地減少你未來的工作(以及你犯錯的能力)就是在這個遊戲中保持高效的關鍵...
答案2
一台電腦的網路服務帳戶將會對應到另一台受信任的電腦作為電腦名稱帳戶。例如,如果您在 MyDomain 中的 ServerA 上以網路服務帳戶執行,則應對應為 MyDomain\ServerA$(是的,美元符號是必需的)。當您將 IIS 應用程式作為連接到不同伺服器上的 SQL Server 的網路服務帳戶執行時(例如 SSRS 或 Microsoft CRM 的橫向擴充安裝),您會經常看到這種情況。
答案3
我同意埃文的觀點。但是,我相信,如果安全性確實是您關心的問題,那麼理想的解決方案是專門為該應用程式/服務建立使用者帳戶來運行,並授予該帳戶對共用資料夾的必要權限。這樣,您可以確保只有該應用程式/服務正在存取共用。但這可能有些過分了。