networking服务帐户访问文件夹共享

我有一个简单的情况。 ServerA上的应用程序在内置的networking服务帐户下运行。 它需要读取和写入ServerB上的文件夹共享文件。 我需要在ServerB上的文件夹共享上设置什么权限?

我可以通过打开共享的安全对话框,添加一个新的安全用户,单击“对象types”,并确保“计算机”被选中,然后添加具有读/写访问权限的ServerA来实现它。 通过这样做,哪些账户获得了份额? 只有networking服务? ServerA上的所有本地帐户? 我应该怎么做ServerA的networking服务帐户访问ServerB的共享?

注意:
我知道这是类似于这个问题 。 但是,在我的情况下,ServerA和ServerB在同一个域中。

“共享权限”可以是“所有人/完全控制” – 只有NTFS权限真的很重要。 (提示那些对“分享权限”有不健康依恋的人的宗教论点……)

在ServerB上的文件夹的NTFS权限,您可以通过“DOMAIN \ ServerA – 修改”或“DOMAIN \ ServerA – 写入”取决于它是否需要能够修改现有的文件。 (修改是真正的首选,因为你的应用程序可能会重新打开一个文件,然后再创build它,以便进一步写入 – Modify(修改)提供了正确的文件,但是Write(不))。

只有ServerA上的“SYSTEM”和“Network Service”上下文才能访问,假设你在权限中命名为“DOMAIN \ ServerA”。 ServerA计算机上的本地用户帐户与“DOMAIN \ ServerA”上下文不同(如果您想授予访问权限,则必须分别命名)。

另外:服务器计算机angular色改变。 您可能需要在AD中为此angular色创build一个组,将ServerA放入该组,然后授予组权限。 如果您更改了ServerA的angular色并将其replace为ServerC,则只需更改组成员身份,而不需要再次触摸文件夹权限。 很多pipe理员都想为用户命名权限这种事情,但他们忘记了“电脑也是人”,他们的angular色有时会改变。 将来你的工作(和你犯错误的能力)最小化就是在这个游戏中有效率的是…

计算机的networking服务帐户将映射到另一台可信计算机作为计算机名称帐户。 例如,如果您在MyDomain中作为ServerA上的networking服务帐户运行,则应映射为MyDomain \ ServerA $(是,需要美元符号)。 当您将IIS应用程序作为连接到不同服务器上的SQL Server的networking服务帐户运行时(如扩大安装SSRS或Microsoft CRM),您会看到相当多的情况。

我同意埃文。 不过,我相信理想的解决scheme,如果安全是您的真正关心,将创build一个专门为该应用程序/服务运行的用户帐户,并授予该帐户对共享文件夹的必要权限。 这样,您可以确定只有该应用程序/服务正在访问该共享。 这可能是矫枉过正。