我对networking服务帐户(组?)在networking共享上工作感到困惑:
一方面,networking服务通常被描述为一个给定机器的本地帐户。 (例如,请参阅这里的serverfault或在IIS 6.0文档中的Microsoft Access Control )。所以这不是一个域范围的帐户。 并且,例如,如果在SERVERA上的NETWORK SERVICE下运行的进程尝试请求SERVERB上的资源,则authentication不会在某些假设的MYDOMAIN \ NETWORK SERVICE下,而是在MYDOMAIN \ SERVERA $下。 (后者被称为SERVERA的“计算机帐户”)。
另一方面,我注意到我可以去远程文件共享,我有pipe理员权限,并设置networking服务的特定目录的权限。 (例如,我可以在Windows资源pipe理器中进入\\ MYSHARE,右键单击其中一个目录,进入安全>编辑>添加,在“input对象名称select”框中input“NETWORK SERVICE”,然后单击确定。我在“组或用户名”列表中有一个新的NETWORK SERVICE条目,我可以更改它的权限,就像我可能更改“Users”组的权限一样。)
如果networking服务是严格的机器逐个帐户,我不明白什么是当我在远程共享上创build一组networking服务的权限应该发生。 那个条目是指在一台特定的(未指定的)机器上的networking服务? 通过图标判断,权限在技术上适用于NETWORK SERVICE 组 ,而不是NETWORK SERVICE 用户 。 但我似乎无法findNETWORK SERVICE 组的任何文档,或者与常规的域组相比,它如何工作。
我唯一的猜测是,如果你授予对NETWORK SERVICE 组的访问权限(假设有这样的事情),这就等于允许访问整个域中的所有 “计算机帐户”。 (也就是说,在中央文件服务器上授予NETWORK SERVICE的权限与授予MYDOMAIN \ SERVERA $,MYDOMAIN \ SERVERB $,MYDOMAIN \ SERVERC $,…,MYDOMAIN \ MYLASTSERVER $的权限相同。
networking服务是一个众所周知的帐户。 它在每台机器上具有相同的SID。 MachineA上的networking服务不会被authentication为MachineB上的networking服务,这是正确的。 这不是一个组,它是一个帐户。
您将在共享上设置NETWORK SERVICE权限(共享或NTFS)是非常罕见的。 只有在本地计算机上运行NETWORK SERVICE凭据的服务尝试连接到本地主机上的共享时,才需要执行此操作。
当以NETWORK SERVICElogin的服务尝试连接到远程计算机时,将使用本地计算机的凭据。 因此,如果服务在域example.com上的MachineA上运行,那么该服务将以[email protected]连接到MachineB(如果您喜欢NetBIOS样式名称,则为示例\ MachineA)。