我想通过networking共享在一组服务器中共享公共数据。 每个服务器上将有一个共享文件夹,所有其他服务器都可以访问该共享文件夹。 将要访问这些数据的服务器进程当前以SYSTEM身份运行。 我想限制这些文件夹的权限,以便只有集群中其他服务器上运行的进程才能访问共享。 我不希望networking共享可以被域中的任何其他人访问(除了也许可以远程进入服务器的pipe理员)。
如何configuration文件共享上的权限来完成此操作? 可以用作为SYSTEM运行的服务器进程完成吗? 如果没有直接的方法来做到这一点,是否有一个最佳的做法呢?
我们正在运行Windows Server 2008 R2。
谢谢,杰夫
以简洁,循序渐进的方式:
创build一个组,并为该组的集群计算机成员创buildAD计算机帐户。
将该文件夹的NTFS权限设置为“SYSTEM /完全控制”,“MACHINE \ Administrators /完全控制”和“群集成员组/完全控制”。 (我几乎在每一个申请的许可中总是包含“完全控制”的“MACHINE \ Administrators”和“SYSTEM”,称之为习惯用法…)
共享文件夹并将共享权限设置为“Everyone / Full Control”。 这有效地消除了这个“function”。 NTFS权限将强制执行您要查找的安全性。
你在做生意
我相信你可以做到这一点,使服务运行不是作为系统,而是NetworkService(1)。 这允许服务在networking上使用计算机的Active Directory帐户。 完成之后,您可以创build一个AD组,其中包含需要访问共享的服务器的计算机帐户 。 然后,您可以将“共享”权限设置为仅允许从创build的组进行访问。 为了获得额外的保护,您还可以设置NTFS权限,以允许从该组pipe理员进行修改,而不是其他任何操作。
(1)远程的,这可以用纯系统来实现。 当我有带宽时会再次检查