Tài khoản dịch vụ mạng truy cập vào chia sẻ thư mục

Tôi có một kịch bản đơn giản. Có một ứng dụng trên ServerA chạy trong tài khoản Dịch vụ mạng tích hợp. Nó cần đọc và ghi các tập tin trên một thư mục chia sẻ trên ServerB. Tôi cần những quyền nào để thiết lập trên thư mục chia sẻ trên ServerB?

Tôi có thể làm cho nó hoạt động bằng cách mở hộp thoại bảo mật của chia sẻ, thêm người dùng bảo mật mới, nhấp vào "Loại đối tượng" và đảm bảo "Máy tính" được chọn, sau đó thêm ServerA với quyền truy cập đọc / ghi. Bằng cách này, những tài khoản nào có được quyền truy cập vào chia sẻ? Chỉ dịch vụ mạng? Tất cả tài khoản cục bộ trên ServerA? Tôi nên làm gì để cấp quyền truy cập tài khoản Dịch vụ mạng của ServerA cho chia sẻ của ServerB?

Lưu ý:
Tôi biết điều này tương tự với câu hỏi này . Tuy nhiên, trong kịch bản của tôi, ServerA và ServerB nằm trong cùng một miền.

"Quyền chia sẻ" có thể là "Mọi người / Kiểm soát hoàn toàn" - chỉ có quyền NTFS mới thực sự quan trọng. (Đưa ra những tranh luận tôn giáo từ những người có chấp trước không lành mạnh vào "Quyền chia sẻ" tại đây ...)

Trong các quyền NTFS trên thư mục trên ServerB, bạn có thể nhận được bằng "DOMAIN \ ServerA - Sửa đổi" hoặc "DOMAIN \ ServerA - Write", tùy thuộc vào việc có cần sửa đổi các tệp hiện có hay không. (Sửa đổi thực sự là ưu tiên vì ứng dụng của bạn có thể mở lại một tệp sau khi nó tạo ra để viết thêm-- Sửa đổi cho nó đúng, nhưng Viết thì không.)

Chỉ có bối cảnh "HỆ THỐNG" và "Dịch vụ mạng" trên ServerA mới có quyền truy cập, giả sử bạn đặt tên "DOMAIN \ ServerA" trong quyền. Tài khoản người dùng cục bộ trên máy tính ServerA khác với bối cảnh "DOMAIN \ ServerA" (và sẽ phải được đặt tên riêng nếu bạn bằng cách nào đó muốn cấp cho họ quyền truy cập).

Như một bên: Vai trò máy chủ thay đổi. Bạn có thể muốn tạo một nhóm trong AD cho vai trò này, đặt ServerA vào nhóm đó và cấp quyền cho nhóm. Nếu bạn từng thay đổi vai trò của ServerA và thay thế bằng ServerC, bạn chỉ cần thay đổi tư cách thành viên nhóm và bạn không bao giờ cần phải chạm vào quyền của thư mục nữa. Rất nhiều quản trị viên nghĩ về loại điều này cho người dùng được đặt tên trong các quyền, nhưng họ quên rằng "máy tính cũng là con người" và vai trò của họ đôi khi thay đổi. Tối thiểu hóa công việc của bạn trong tương lai (và khả năng mắc lỗi của bạn) là những gì hiệu quả trong trò chơi này là tất cả về ...

Tài khoản dịch vụ mạng của máy tính sẽ ánh xạ tới một máy tính đáng tin cậy khác làm tài khoản tên máy tính. Ví dụ: Nếu bạn đang chạy với tài khoản Dịch vụ mạng trên ServerA trong MyDomain, thì nên ánh xạ là MyDomain \ ServerA $ (có, ký hiệu đô la là cần thiết). Bạn thấy điều này khá nhiều khi bạn có các ứng dụng IIS đang chạy như tài khoản Dịch vụ mạng kết nối với Máy chủ SQL trên một máy chủ khác, chẳng hạn như cài đặt SSRS hoặc Microsoft CRM.

Tôi đồng ý với Evan. Tuy nhiên, tôi tin rằng giải pháp lý tưởng, nếu bảo mật là mối quan tâm thực sự của bạn, sẽ là tạo một tài khoản người dùng dành riêng cho ứng dụng / dịch vụ đó để chạy và cấp cho tài khoản đó các quyền cần thiết cho thư mục dùng chung. Bằng cách này, bạn có thể chắc chắn rằng chỉ có ứng dụng / dịch vụ đó đang truy cập vào chia sẻ. Điều này có thể là quá mức cần thiết mặc dù.