Windows-Server-2008
是否可以向非域使用者提供對域資源的訪問權限?
經過安全審查後,我將拆分目前位於公司域中的單台電腦上的 Windows 2008 Server 應用程序的層。我想將 IIS 7 Web UI 移動到域中的新機器上,以便使用者可以使用他們的 AD 帳戶對其進行身份驗證,並將其餘部分(應用程序層和數據庫伺服器)留在目前機器上,但在防火牆後面移出域.
應用層服務需要在域伺服器上的各種共享上創建文件。以前,這些服務作為具有共享訪問權限的特殊域使用者執行。現在這不可能了。
有沒有辦法允許非域使用者/機器訪問域伺服器上的共享文件夾(和一般資源)?
您可以向非域機器授予對域資源(即共享)的訪問權限……前提是該機器上的服務使用遠端憑據訪問共享:
- 域使用者憑據或
- 本地使用者(在域機器上)的憑據
第二種是最安全的方法(坐在應用層機器上的遠端攻擊者將無法訪問域帳戶(可以訪問整個域),而只能訪問它擁有本地帳戶的域機器。
但是您將無法簡單地設置這樣的使用者來執行應用程序服務。您的應用程序必須有一些支持,才能根據它連接到的伺服器指定不同的憑據。
因此,如果支持 => 說您的應用層機器 APPTIER 在 MSHOME 工作組中,並且您的共享是 \SERVER1\share1 和 \SERVER2\share2 在 MYDOMAIN 域中:
- 在 SERVER1 上創建一個可以訪問 share1 的本地帳戶 apptieracct
- 在 SERVER2 上創建一個可以訪問 share2 的本地帳戶 apptieracct
- 在 APPTIER 上,將應用程序配置為使用 SERVER1\aptieracct 訪問 \SERVER1\share1 和 SERVER2\aptieracct 訪問 \SERVER2\share2