我有一个Web应用程序,我需要授予在我的DMZ中的另一台机器上托pipe的文件共享的权限。 用户正在使用IUSR_ Machine帐户匿名访问该应用程序,该帐户似乎是标准configuration。 应用程序需要提供托pipe在Web服务器通过networking访问的共享中的文件。
如何授予此用户帐户对远程文件共享的访问权限? 这是常见的吗? 这个最好的做法是什么?
改为使用域用户帐户作为匿名帐户,并授予对该帐户的访问权限。 您可以在每个页面的基础上一直执行此操作,因此您可能无需编辑IUSR_MACHINE在本地框中已经使用的任何权限(如果它是触发远程文件共享访问的特定页面或请求)。
SUBINACL工具可以用来replace新用户的本地IUSR_MACHINE ACL,但要小心; 也很容易搞砸权限。
您也可以尝试允许Machine $连接到该共享,但是我怀疑在大多数情况下它将是空的用户而不是机器帐户; 你可能会遇到这种情况,那不是。
我将为webserver \ IUSR_Machine帐户添加一个访问控制项(ACE)到share / ntfs权限。