我正在部署扫描文件的应用程序。 我们的系统访问pipe理团队将提供Windows非交互式服务帐户,以便应用程序可以访问文件共享。 他们刚刚告诉我,没有办法阻止用户使用服务帐户映射驱动器并查看文件。
我不是networking人,所以不知道这是真的。 有没有办法来防止驱动器映射?
你很模糊,但是他们说他们会为你的服务创build一个服务帐号来login并运行。
但是,在Active Directory或本地*中没有“服务帐户”的实际概念,所以在任何情况下,这只是具有所需权限的标准用户等等。他们可以select尽可能合理地限制它(NB :或者,他们可能不会!),但最终还是需要访问一些软件才能工作的东西。
如果有人拿到了用户名和密码,那么他们理论上可以使用它来validation和访问你的软件访问。
但是,这本身并不是一个安全风险,只不过是拥有pipe理账户等等。答案是一样的:把密码复杂化,随机化并将其发布给真正需要的人。
在我们能够推荐其他具体的方法来降低风险之前,我们需要更多的关于您的环境的细节,但是我不确定这样做会不会让您的专业关系有任何好处来回答他们。
然而,这个想法是最好的实践,有很好的文件logging和理解。 但你必须明白,没有“服务帐户”用户types或任何东西。 这只是一个描述性的术语。