Bir klasör paylaşımına erişen Network Service hesabı

Basit bir senaryom var. ServerA'da yerleşik Network Service hesabı altında çalışan bir uygulama var. ServerB üzerindeki bir klasör paylaşımındaki dosyaları okuyup yazması gerekir. ServerB'deki klasör paylaşımına hangi izinleri vermem gerekiyor?

Paylaşımın güvenlik iletişim kutusunu açarak, yeni bir güvenlik kullanıcısı ekleyerek, "Nesne Türleri" ni tıklayıp "Bilgisayarlar" ın işaretlendiğinden emin olduktan sonra, okuma / yazma erişimine sahip SunucuA'yı ekleyerek çalışmaya başlayabilirim. Bunu yaparak, hangi hesaplar paylaşıma erişim kazanıyor? Sadece Şebeke Servisi? ServerA'daki tüm yerel hesaplar? ServerA'nın Network Service hesabına ServerB'nin payına erişim izni vermek için ne yapmalıyım ?

Not:
Bunun bu soruya benzer olduğunu biliyorum . Ancak, benim senaryomda ServerA ve ServerB aynı etki alanında.

"Paylaşım İzinleri" "Herkes / Tam Denetim" olabilir - yalnızca NTFS izinleri gerçekten önemlidir. (Buradaki "Paylaşım İzinlerine" sağlıksız bağlılıkları olan insanlardan dini argümanları işaretleyin ...)

ServerB üzerindeki klasördeki NTFS izinlerinde, varolan dosyaları değiştirip değiştirememesi gerektiğine bağlı olarak "DOMAIN \ ServerA - Modify" veya "DOMAIN \ ServerA - Write" komutunu kullanabilirsiniz. (Değişiklik gerçekten tercih edilir, çünkü uygulamanız daha fazla yazmak için oluşturduktan sonra bir dosyayı yeniden açabilir - Değişiklik bu hakkı verir, ancak Yazmaz.)

İzni "DOMAIN \ ServerA" olarak adlandırdığınızı varsayarsak, yalnızca ServerA'daki "SYSTEM" ve "Network Service" bağlamları erişebilir. ServerA bilgisayarındaki yerel kullanıcı hesapları "DOMAIN \ ServerA" bağlamından farklıdır (ve bir şekilde onlara erişim izni vermek istiyorsanız, ayrı ayrı adlandırılması gerekir).

Bir kenara: Sunucu bilgisayar rolleri değişir. Bu rol için AD’de bir grup oluşturmak, ServerA’yı o gruba koymak ve grup haklarını vermek isteyebilirsiniz. Eğer ServerA'nın rolünü değiştirirseniz ve onun yerine ServerC ile değiştirirseniz, sadece grup üyeliğini değiştirmeniz ve klasör iznine bir daha dokunmanıza gerek kalmaz. Pek çok yönetici, kullanıcıların izinlerde adlandırılması için bu tür bir şey düşünür, ancak “bilgisayarların da insan” olduğunu ve rollerinin bazen değiştiğini unuturlar. Gelecekte çalışmanızı en aza indirgemek (ve hata yapma yeteneğiniz) bu oyunda etkili olan şey ...

Bir bilgisayarın ağ servis hesabı başka bir güvenilir bilgisayara bilgisayar adı hesabı olarak eşlenir. Örneğin, MyDomain'de ServerA'da Network Service hesabı olarak çalışıyorsanız, bu MyDomain \ ServerA $ olarak eşleşmelidir (evet, dolar işareti gereklidir). Bunu, biraz SSRS veya Microsoft CRM'in ölçeklendirilmiş kurulumu gibi farklı bir sunucudaki bir SQL Server'a bağlanan Ağ Hizmeti hesabı olarak çalışan IIS uygulamalarınız olduğunda görüyorsunuz.

Evan ile aynı fikirdeyim. Ancak, güvenliğin sizin için gerçek bir endişe kaynağı olması durumunda ideal çözümün, bu uygulamanın / hizmetin çalışması için özel olarak bir kullanıcı hesabı oluşturmak ve bu hesaba paylaşılan klasöre gerekli izinleri vermek olduğuna inanıyorum. Bu şekilde, yalnızca söz konusu uygulamanın / hizmetin paylaşıma eriştiğinden emin olabilirsiniz. Bu olsa overkill olabilir.