基本上我开始研究这个问题,因为我厌倦了select像NETWORKSERVICE这样的东西,只是为了使我们的networking神奇地工作,并想了解更多关于实际发生的事情。 我打开了一jar蠕虫,现在我真的想尽可能地把它弄清楚,而不用我那些愚蠢的新手问题来困扰我的networkingpipe理员。 很明显,这就是我最好的答案,但是我希望你们在最好的时候帮助我理解我们的环境,然后才能得到完整的故事。
基本上,我们有大约30台PC都使用Windows 7,而且我们都在同一个networking上。 我们不使用活动目录,显然这不是一个选项(内部历史/政治原因…)当我打开我的电脑,打networking,我可以看到他们。
为了双击PC并查看它的共享内容,我必须… 1)进入该PC并在该PC上创build一个与我在PC上使用的帐户相同的名称和密码的用户帐户或2)以pipe理员身份login。
为了方便起见,在我们最需要访问的系统上,我们手动进入并为每台机器上的每个人创build了单独的用户帐户,并使用与主工作站PC相同的用户名。
现在,我需要完全理解我们已经build立的这个系统的原因是我需要知道这种networking系统将如何与在IIS 7.0 Web服务器上运行的内部ASP.NET站点一起工作, SQL Server 2008 R2。 由于我们所有的计算机都有一个统一的pipe理员帐户,所以只需使用pipe理员模拟web.config文件并打电话给我一天就可以轻而易举,但我真的不想这么做—我想要做到这一点“正确”,我想要“安全地做到这一点”,我想这样做,尽量让每个用户的权限尽可能less。
这是否真的意味着我将不得不为我们的SQL Server和我们的Web服务器上的每个人创buildWindows身份validationlogin? 该网站本身只应该是只读的,期间,所以我想我可以在networking服务器上创build一个新的用户帐户,限制访问除网站以外的所有内容,只读,然后在网上冒充用户.config文件。 但是SQL数据库对于一些人群来说应该是只读的,对于一些人群来说,他们也应该有写权限,但是没有人应该有删除权限。
我很难自己研究这个问题的原因是,显然我们不是这样做的“正确”的方式开始。 每一本关于Windowsnetworking的书都会谈到小型家庭networking,或者跳到企业和大型networking的Active Directory。
微软在不同机器之间共享凭据的解决scheme是使用Active Directory域。 Active Directory使用Kerberos身份validation协议来仲裁对来自中央身份validation数据库的跨不同计算机分布的资源的访问。
你在个人计算机上创build用户帐户的方式通常被称为“穷人的信任关系”。 通过创build这些帐户来“镜像”用户“主”计算机上使用的凭据,您创build了一些虽然不可扩展或可pipe理(并且坦率地说,不是非常安全)的东西,但会为您提供与Active交互式用户的目录域。 对于“通过”(也称为“委托”)身份validation,就像使用Web应用程序和SQL Server将其返回,尽pipe如此,您将无法创build“镜像”帐户来获取function正在寻找。
如果没有Active Directory,我认为唯一的select是让不同的用户组通过Web应用程序对SQL Server进行不同的身份validation,这样就可以将证书存储在不同的SQL Server用户的Web应用程序中,并使用适当的凭据来访问基于谁已经authentication到Web服务器的SQL Server。