我在DMZ中有一台服务器,通过SMB将访问权限限制在内部networking中的另一台服务器上。 该外部机器上的Web服务器需要访问该内部服务器上的整个分区。
我仍然在使用一个快速和肮脏的解决scheme。 Web服务器仍然以SYSTEM用户身份运行。 我设法为该用户安装共享。
主要问题:这个设置不是重新引导安全的。 重新启动后,必须重新build立连接,因为没有办法保存凭据共享。
Ps DMZ服务器不在Windows域中
澄清:Web服务器是DMZ中的Windows机器,IIS在SYSTEM帐户下运行? 不理想(因为SYSTEM帐户不应该有权访问networking资源),但可能是可行的,在实验室环境。
无论如何,这听起来像是需要在SYSTEM用户的上下文中向目标服务器发出NET USE 。
计划任务可以在SYSTEM帐户下运行。
把它们放在一起,用下面的设置创build一个Scheduled Task:
"%WINDIR%\system32\net.exe" USE \\TheSmbServer\TheNetworkShare /USER:TheDomain\TheUser Th3_P@55w0rd NT AUTHORITY\SYSTEM (use blank password -- Windows will manage) At system startup Run whether user is logged in or not ; Run with highest privileges 这应该绑定必要的身份validation凭据(或接近)启动。
如果需要能够访问所有共享,请尝试使用\\TheSmbServer\IPC$作为共享。