Netzwerkdienstkonto, das auf eine Ordnerfreigabe zugreift

31

Ich habe ein einfaches Szenario. Auf ServerA befindet sich eine Anwendung, die unter dem integrierten Netzwerkdienstkonto ausgeführt wird. Es muss Dateien auf einer Ordnerfreigabe auf ServerB lesen und schreiben. Welche Berechtigungen muss ich für die Ordnerfreigabe auf ServerB festlegen?

Ich kann es zum Laufen bringen, indem ich das Sicherheitsdialogfeld der Freigabe öffne, einen neuen Sicherheitsbenutzer hinzufüge, auf "Objekttypen" klicke und sicherstelle, dass "Computer" aktiviert ist, und dann ServerA mit Lese- / Schreibzugriff hinzufüge. Auf diese Weise erhalten welche Konten Zugriff auf die Freigabe? Nur Netzwerkdienst? Alle lokalen Konten auf ServerA? Was soll ich tun, um dem Netzwerkdienstkonto von ServerA Zugriff auf die Freigabe von ServerB zu gewähren?

Hinweis:
Ich weiß, dass dies mit dieser Frage vergleichbar ist . In meinem Szenario befinden sich ServerA und ServerB jedoch in derselben Domäne.

was solls
quelle

Antworten:

27

Die "Freigabeberechtigungen" können "Jeder / Vollzugriff" sein - nur die NTFS-Berechtigungen sind von Bedeutung. (Nennen Sie religiöse Argumente von Personen, die eine ungesunde Bindung zu "Freigabeberechtigungen" haben ...)

In den NTFS-Berechtigungen für den Ordner auf ServerB können Sie entweder "DOMAIN \ ServerA - Modify" oder "DOMAIN \ ServerA - Write" angeben, je nachdem, ob vorhandene Dateien geändert werden müssen oder nicht. (Ändern ist wirklich die bevorzugte Option, da Ihre Anwendung eine Datei möglicherweise erneut öffnet, nachdem sie erstellt wurde, um sie weiter zu schreiben. Ändern verleiht ihr dieses Recht, Schreiben jedoch nicht.)

Nur die Kontexte "SYSTEM" und "Network Service" auf ServerA haben Zugriff, sofern Sie in der Berechtigung "DOMAIN \ ServerA" angeben. Lokale Benutzerkonten auf dem ServerA-Computer unterscheiden sich vom Kontext "DOMAIN \ ServerA" (und müssten einzeln benannt werden, wenn Sie ihnen irgendwie Zugriff gewähren möchten).

Nebenbei bemerkt: Die Server-Computerrollen ändern sich. Möglicherweise möchten Sie eine Gruppe im AD für diese Rolle erstellen, ServerA in diese Gruppe einfügen und die Gruppenrechte erteilen. Wenn Sie jemals die Rolle von ServerA ändern und sie beispielsweise durch ServerC ersetzen, müssen Sie nur die Gruppenmitgliedschaften ändern, und Sie müssen die Ordnerberechtigung nie wieder berühren. Viele Administratoren denken über diese Art von Dingen nach, wenn Benutzer in Berechtigungen benannt werden. Sie vergessen jedoch, dass "Computer auch Menschen sind" und ihre Rollen sich manchmal ändern. In Zukunft Ihre Arbeit zu minimieren (und Ihre Fähigkeit, Fehler zu machen), ist das, worum es in diesem Spiel bei der Effizienz geht ...

Evan Anderson
quelle
1
Sie können lokalen Konten auf einem Computer keinen Zugriff auf Ressourcen auf einem anderen Computer gewähren.
pipTheGeek
3
@pip: Sie können jedoch auf dem Remotecomputer eine lokale Ressource mit demselben Benutzernamen und Kennwort erstellen und diesem Konto den erforderlichen Zugriff gewähren. Das Endergebnis ist das gleiche.
John Rennie
8
Netzwerkdienst ist eine Ausnahme. Es wird als Computerkonto zugeordnet. In Windows 2000 hat das Systemkonto dasselbe getan.
K. Brian Kelley
1
Dies scheint nicht genau wie in Windows Server 2008+ beschrieben möglich zu sein. Ich kann den Server nicht als "Domäne \ Server" hinzufügen, aber ich kann (wenn ich Computer aus dem "Gesamtverzeichnis" einbinde) nur als "Server". Nach dem Hinzufügen wird der Server als "Server $" aufgeführt.
Kenny Evitt
12

Das Netzwerkdienstkonto eines Computers wird einem anderen vertrauenswürdigen Computer als Computernamenkonto zugeordnet. Wenn Sie beispielsweise als Netzwerkdienstkonto auf ServerA in MyDomain ausgeführt werden, sollte dies MyDomain \ ServerA $ lauten (ja, das Dollarzeichen ist erforderlich). Dies tritt häufig auf, wenn IIS-Apps als Netzwerkdienstkonto ausgeführt werden, das eine Verbindung zu einem SQL Server auf einem anderen Server herstellt, z. B. bei einer skalierten Installation von SSRS oder Microsoft CRM.

K. Brian Kelley
quelle
5

Ich stimme Evan zu. Ich bin jedoch der Meinung, dass die ideale Lösung, wenn die Sicherheit ein echtes Problem für Sie ist, darin besteht, ein Benutzerkonto speziell für diese Anwendung / diesen Dienst zu erstellen und diesem Konto die erforderlichen Berechtigungen für den freigegebenen Ordner zu erteilen. Auf diese Weise können Sie sicher sein, dass nur diese Anwendung / dieser Dienst auf die Freigabe zugreift. Dies kann jedoch übertrieben sein.

DCNYAM
quelle