บัญชีบริการเครือข่ายที่เข้าถึงโฟลเดอร์แชร์


31

ฉันมีสถานการณ์ง่าย ๆ มีแอปพลิเคชันบน ServerA ที่ทำงานภายใต้บัญชีบริการเครือข่ายในตัว จำเป็นต้องอ่านและเขียนไฟล์ในโฟลเดอร์ที่แชร์บน ServerB ฉันต้องมีการอนุญาตอะไรบ้างในการแชร์โฟลเดอร์บน ServerB

ฉันสามารถทำให้มันทำงานได้โดยการเปิดกล่องโต้ตอบความปลอดภัยของการแบ่งปันเพิ่มผู้ใช้ความปลอดภัยใหม่คลิก "ประเภทวัตถุ" และตรวจสอบให้แน่ใจว่า "คอมพิวเตอร์" ถูกตรวจสอบแล้วเพิ่ม ServerA ด้วยการเข้าถึงแบบอ่าน / เขียน ด้วยการทำเช่นนี้บัญชีใดบ้างที่สามารถเข้าถึงการแบ่งปันได้ บริการเครือข่ายเท่านั้น บัญชีท้องถิ่นทั้งหมดใน ServerA? อะไรควรฉันจะทำให้สิทธิ์การเข้าถึงบัญชี ServerA ของบริการเครือข่ายหุ้น ServerB หรือไม่?

หมายเหตุ:
ฉันรู้ว่านี่คล้ายกับคำถามนี้ อย่างไรก็ตามในสถานการณ์สมมติของฉัน ServerA และ ServerB อยู่ในโดเมนเดียวกัน

คำตอบ:


27

"การอนุญาตให้ใช้ร่วมกัน" สามารถเป็น "ทุกคน / การควบคุมทั้งหมด" - เฉพาะสิทธิ์ NTFS เท่านั้นที่สำคัญ (คิวโต้แย้งทางศาสนาจากคนที่มีสิ่งที่แนบที่ไม่แข็งแรงต่อ "แบ่งปันสิทธิ์" ที่นี่ ... )

ในสิทธิ์ NTFS ในโฟลเดอร์บน ServerB คุณสามารถทำได้ด้วย "DOMAIN \ ServerA - แก้ไข" หรือ "DOMAIN \ ServerA - เขียน" ขึ้นอยู่กับว่าจำเป็นต้องแก้ไขไฟล์ที่มีอยู่หรือไม่ (การปรับเปลี่ยนเป็นที่ต้องการจริง ๆ เนื่องจากแอปพลิเคชันของคุณอาจเปิดไฟล์อีกครั้งหลังจากที่มันสร้างขึ้นเพื่อเขียนเพิ่มเติม - การปรับเปลี่ยนให้สิทธิ์นั้น แต่การเขียนไม่ได้)

บริบท "ระบบ" และ "บริการเครือข่าย" บน ServerA เท่านั้นที่จะสามารถเข้าถึงได้โดยสมมติว่าคุณชื่อ "DOMAIN \ ServerA" ในการอนุญาต บัญชีผู้ใช้ภายในบนคอมพิวเตอร์ ServerA นั้นแตกต่างจากบริบท "DOMAIN \ ServerA" (และจะต้องตั้งชื่อแยกต่างหากหากคุณต้องการให้สิทธิ์การเข้าถึงแก่พวกเขา)

ในฐานะที่เป็นกัน: การเปลี่ยนแปลงบทบาทคอมพิวเตอร์เซิร์ฟเวอร์ คุณอาจต้องการสร้างกลุ่มในโฆษณาสำหรับบทบาทนี้วาง ServerA ในกลุ่มนั้นและให้สิทธิ์กลุ่ม หากคุณเปลี่ยนบทบาทของ ServerA และแทนที่ด้วยพูดว่า ServerC คุณต้องเปลี่ยนการเป็นสมาชิกกลุ่มเท่านั้นและคุณไม่จำเป็นต้องสัมผัสสิทธิ์ของโฟลเดอร์อีกครั้ง ผู้ดูแลระบบจำนวนมากคิดเกี่ยวกับสิ่งนี้สำหรับผู้ใช้ที่ตั้งชื่อในการอนุญาต แต่พวกเขาลืมว่า "คอมพิวเตอร์เป็นคนเช่นกัน" และบางครั้งบทบาทของพวกเขาก็เปลี่ยนไป การย่อขนาดงานของคุณในอนาคต (และความสามารถในการทำผิดพลาด) เป็นสิ่งที่มีประสิทธิภาพในเกมนี้คือทั้งหมดที่เกี่ยวกับ ...


1
คุณไม่สามารถดำเนินการให้บัญชีภายในเครื่องบนคอมพิวเตอร์เครื่องหนึ่งเข้าถึงทรัพยากรในคอมพิวเตอร์เครื่องอื่น
pipTheGeek

3
@pip: แต่คุณสามารถสร้างทรัพยากรท้องถิ่นด้วยชื่อผู้ใช้และรหัสผ่านเดียวกันบนเครื่องระยะไกลจากนั้นให้สิทธิ์การเข้าถึงที่จำเป็นแก่บัญชีนั้น ผลลัพธ์ที่ได้ก็เหมือนกัน
John Rennie

8
บริการเครือข่ายเป็นข้อยกเว้น มันไม่ map เจอเป็นบัญชีคอมพิวเตอร์ ใน Windows 2000 บัญชีระบบก็ทำเช่นเดียวกัน
K. Brian Kelley

1
ดูเหมือนจะไม่เป็นไปตามที่อธิบายไว้ใน Windows Server 2008+ ฉันไม่สามารถเพิ่มเซิร์ฟเวอร์เป็น 'โดเมน \ server' แต่ฉันสามารถ (ถ้าฉันรวมคอมพิวเตอร์จาก "ไดเรกทอรีทั้งหมด") เป็นเพียงแค่เซิร์ฟเวอร์ ' นอกจากนี้เมื่อเพิ่มเซิร์ฟเวอร์จะแสดงรายการ 'เซิร์ฟเวอร์ $'
Kenny Evitt

12

บัญชีบริการเครือข่ายของคอมพิวเตอร์จะจับคู่กับคอมพิวเตอร์เครื่องอื่นที่เชื่อถือได้เช่นเดียวกับบัญชีชื่อคอมพิวเตอร์ ตัวอย่างเช่นหากคุณกำลังทำงานเป็นบัญชีบริการเครือข่ายใน ServerA ใน MyDomain นั้นควรแมปเป็น MyDomain \ ServerA $ (ใช่จำเป็นต้องมีเครื่องหมายดอลลาร์) คุณเห็นสิ่งนี้ค่อนข้างน้อยเมื่อคุณมีแอพ IIS ที่ทำงานเป็นบัญชีบริการเครือข่ายที่เชื่อมต่อกับ SQL Server บนเซิร์ฟเวอร์อื่นเช่นการติดตั้ง SSRS หรือ Microsoft CRM


5

ฉันเห็นด้วยกับอีวาน อย่างไรก็ตามฉันเชื่อว่าทางออกที่ดีที่สุดหากความปลอดภัยเป็นเรื่องที่น่ากังวลสำหรับคุณจริงๆก็คือการสร้างบัญชีผู้ใช้เฉพาะสำหรับแอปพลิเคชัน / บริการนั้นเพื่อให้ทำงานได้และให้สิทธิ์สิทธิ์ที่จำเป็นแก่โฟลเดอร์ที่แชร์ ด้วยวิธีนี้คุณสามารถมั่นใจได้ว่าเฉพาะแอปพลิเคชัน / บริการที่เข้าถึงการแชร์ นี่อาจเกินความจริง

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.