訪問文件夾共享的網路服務帳戶
我有一個簡單的場景。ServerA 上有一個在內置網路服務帳戶下執行的應用程序。它需要在 ServerB 上的文件夾共享上讀取和寫入文件。我需要在 ServerB 上的文件夾共享上設置什麼權限?
我可以通過打開共享的安全對話框,添加新的安全使用者,點擊“對像類型”並確保選中“電腦”,然後添加具有讀/寫訪問權限的 ServerA 來使其工作。通過這樣做,哪些帳戶可以訪問共享?只有網路服務?ServerA 上的所有本地帳戶?我應該怎麼做才能授予 ServerA 的網路服務帳戶對 ServerB 共享的訪問權限?
注意:
我知道這類似於這個問題。但是,在我的場景中,ServerA 和 ServerB 位於同一個域中。
“共享權限”可以是“所有人/完全控制”——只有 NTFS 權限才是真正重要的。(提示那些對“共享權限”有不健康依戀的人的宗教論點……)
在 ServerB 上文件夾的 NTFS 權限中,您可以使用“DOMAIN\ServerA - Modify”或“DOMAIN\ServerA - Write”,具體取決於它是否需要能夠修改現有文件。(Modify 確實是首選,因為您的應用程序可能會在創建文件後重新打開文件以進一步寫入 - Modify 賦予它該權利,但 Write 沒有。)
假設您在權限中命名為“DOMAIN\ServerA”,則只有 ServerA 上的“SYSTEM”和“Network Service”上下文可以訪問。ServerA 電腦上的本地使用者帳戶與“DOMAIN\ServerA”上下文不同(如果您確實想授予他們訪問權限,則必須單獨命名)。
順便說一句:伺服器電腦角色發生變化。您可能希望在 AD 中為此角色創建一個組,將 ServerA 放入該組,並授予該組權限。如果您曾經更改 ServerA 的角色並將其替換為 ServerC,您只需更改組成員身份,您就無需再次觸及文件夾權限。很多管理員都在考慮這種以權限命名的使用者,但他們忘記了“電腦也是人”,他們的角色有時會發生變化。盡量減少你未來的工作(以及你犯錯的能力)是這場比賽中高效的全部意義所在……