22 votos

Cuenta de Servicio de red de acceso a un recurso compartido de carpeta

Tengo un simple escenario. Hay una aplicación en el Servidor que se ejecuta bajo el incorporado en la cuenta de Servicio de Red. Que necesita para leer y escribir archivos en una carpeta de recurso compartido en el servidor b. ¿Qué permisos necesito para poner en la carpeta de recurso compartido en el servidor b?

Puedo llegar a trabajar por abrir el cuadro de diálogo de seguridad de la cuota, la adición de un nuevo usuario, haga clic en "Tipo de Objeto" y asegurarse de que "los Equipos" está activada y, a continuación, agregar el Servidor con acceso de lectura/escritura. Al hacer esto, ¿qué cuentas están ganando acceso a la participación? Sólo Servicio De Red? Todas las cuentas locales en el Servidor? ¿Qué debería yo hacer para conceder A la cuenta de Servicio de Red de acceso a ServerB del compartir?

Nota:
Sé que esto es similar a esta pregunta. Sin embargo, en mi escenario Servidora y el servidor b están en el mismo dominio.

11voto

K. Brian Kelley Puntos7714

La cuenta de servicio de red de un equipo que va a asignar a otro equipo de confianza como el nombre de equipo de la cuenta. Por ejemplo, Si se ejecuta como la cuenta de Servicio de Red en el Servidor en MyDomain, que se debe asignar como MyDomain\ServerA$ (sí, el signo de dólar es necesario). Usted ve esta bastante cuando se tiene IIS aplicaciones que se ejecutan como la cuenta de Servicio de Red conecta a SQL Server en un servidor diferente, de acuerdo a la escala a la instalación de SSRS o Microsoft CRM.

5voto

Estoy de acuerdo con Evan. Sin embargo, creo que la solución ideal, si la seguridad es una preocupación real para usted, sería crear una cuenta de usuario específica para que la aplicación / servicio para que se ejecute como, y haz que cuenta con los permisos necesarios a la carpeta compartida. De esta manera, usted puede estar seguro de que sólo la aplicación / servicio es el acceso al recurso compartido. Esto puede ser una exageración, aunque.

1voto

Evan Anderson Puntos118832

Los "Permisos de recurso Compartido" puede ser "Todos / Control Total"-- sólo los permisos de NTFS realmente importa. (Cue argumentos religiosos de las personas que tienen un enfermizo apego a "Compartir" Permisos de aquí...)

En los permisos de NTFS en la carpeta en el servidor b, usted podría obtener con "DOMINIO\ServerA - Modificar" o "DOMINIO\ServerA - Escritura", dependiendo de si es necesaria para poder modificar los archivos existentes o no. (Modificar es muy recomendado debido a que su aplicación puede volver a abrir un archivo después de que se crea para escribir más-- Modificar le da ese derecho, pero Escribir no).

Sólo el "SISTEMA" y "Servicio de Red" de los contextos en el Servidor tendrá acceso, asumiendo el nombre de "DOMINIO\Servidor" en el permiso. Cuentas de usuario locales en el Servidor de la computadora son diferentes de los de "DOMINIO\ServerA" contexto (y tendría que ser llamado de forma individual si de alguna manera quería conceder el acceso).

Como un aparte: equipo Servidor cambian los papeles. Puede que desee crear un grupo en el ANUNCIO para este papel, poner el Servidor en ese grupo, y la concesión de los derechos de grupo. Si alguna vez cambias de Servidor del papel y reemplazar con, digamos, C, sólo es necesario cambiar la pertenencia a grupos y usted nunca tiene que tocar los permisos de las carpetas de nuevo. Una gran cantidad de administradores de pensar este tipo de cosas para los usuarios de ser nombrado en los permisos, pero se olvidan de que "los equipos también son personas" y sus roles a veces el cambio. La minimización de su trabajo en el futuro (y su capacidad de cometer errores), es lo que ser eficiente en este juego es todo acerca de...

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

;