在網路共享上授予/設置網路服務權限是什麼意思?
我對網路共享上的網路服務帳戶(組?)感到困惑:
一方面,網路服務通常被描述為給定機器的本地帳戶。(例如,參見serverfault或 Microsoft 的IIS 6.0 中的訪問控製文件。)所以它不是域範圍的帳戶。並且,例如,如果在 SERVERA 上的 NETWORK SERVICE 下執行的程序嘗試請求 SERVERB 上的資源,則身份驗證不會在某些假設的 MYDOMAIN\NETWORK SERVICE 下,而是在 MYDOMAIN\SERVERA$ 下。(後者被稱為 SERVERA 的“電腦帳戶”。)
另一方面,我注意到我可以轉到我擁有管理員權限的遠端文件共享,並為 NETWORK SERVICE 設置特定目錄的權限。(例如,我可以在 Windows 資源管理器中轉到 \MYSHARE,右鍵點擊其中一個目錄,轉到安全 > 編輯 > 添加,在“輸入要選擇的對象名稱”框中鍵入“網路服務”,然後點擊“確定”。現在我在“組或使用者名”列表中有一個新的 NETWORK SERVICE 條目,我可以更改它的權限,就像我可以更改“使用者”組的權限一樣。)
如果 NETWORK SERVICE 嚴格來說是一個機器帳戶,我不明白當我在遠端共享上為 NETWORK SERVICE 創建一組權限時應該發生什麼。該條目是否指的是一台特定(未指定)機器上的網路服務?從圖示判斷,權限在技術上是針對 NETWORK SERVICE組,而不是 NETWORK SERVICE使用者。但我似乎找不到任何有關 NETWORK SERVICE組的文件,或者與正常域組相比它的工作方式。
到目前為止,我唯一的猜測是,如果您授予對 NETWORK SERVICE組的訪問權限(假設有這樣的事情),這相當於授予對整個域上所有“電腦帳戶”的訪問權限。(也就是說,在中央文件伺服器上授予 NETWORK SERVICE 權限與授予 MYDOMAIN\SERVERA 權限相同 $ , MYDOMAIN\SERVERB $ , 我的域\伺服器 $ , …, MYDOMAIN\MYLASTSERVER $ .)
NETWORK SERVICE 是一個眾所周知的帳戶。它在每台機器上都有相同的 SID。您是正確的,MachineA 上的 NETWORK SERVICE 不會作為 MachineB 上的 NETWORK SERVICE 進行身份驗證。它不是一個組,它是一個帳戶。
您很少會在共享上設置網路服務權限(共享或 NTFS)。僅當本地電腦上的服務在 NETWORK SERVICE 憑據下執行時,才需要嘗試連接到本地主機上的該共享。
當以 NETWORK SERVICE 身份登錄的服務嘗試連接到遠端電腦時,將使用本地電腦的憑據。因此,如果服務在域 example.com 中的 MachineA 上執行,那麼該服務將以 Machine@example.com(或 example\MachineA,如果您喜歡 NetBIOS 樣式名稱)連接到 MachineB。