我有一个简单的场景。ServerA上有一个应用程序,它以内置的网络服务帐户运行。它需要在ServerB上的文件夹共享上读写文件。我需要在ServerB上的文件夹共享上设置哪些权限?
通过打开共享的安全性对话框,添加新的安全性用户,单击“对象类型”并确保选中“计算机”,然后添加具有读/写访问权限的ServerA,可以使其正常工作。通过这样做,哪些帐户可以访问该共享?仅网络服务?ServerA上的所有本地帐户?我应该怎么做才能授予ServerA的网络服务帐户访问ServerB的共享的权限?
注意:
我知道这类似于此问题。但是,在我的场景中,ServerA和ServerB在同一域中。
Answers:
“共享权限”可以是“所有人/完全控制”,只有NTFS权限才真正重要。(在这里提示对“共享权限”有不健康依恋的人的宗教论点...)
在ServerB文件夹上的NTFS权限中,可以通过“ DOMAIN \ ServerA-修改”或“ DOMAIN \ ServerA-写入”来获得权限,具体取决于它是否需要修改现有文件。(实际上,Modify是首选,因为您的应用程序可能会在创建文件以进一步写入文件后重新打开该文件-修改赋予该文件正确的权限,而写入则不行。)
假设您在权限中命名为“ DOMAIN \ ServerA”,则只有ServerA上的“ SYSTEM”和“网络服务”上下文可以访问。ServerA计算机上的本地用户帐户与“ DOMAIN \ ServerA”上下文不同(如果您想以某种方式授予他们访问权限,则必须单独命名)。
顺便说一句:服务器计算机角色会更改。您可能要在AD中为此角色创建一个组,将ServerA放入该组,然后授予该组权限。如果您曾经更改ServerA的角色并将其替换为ServerC,则只需更改组成员身份,而无需再次触摸文件夹权限。许多管理员会考虑在权限中为用户命名的这种事情,但是他们忘记了“计算机也是人”,并且有时角色也会发生变化。在游戏中高效发挥的全部作用在于,最大限度地减少将来的工作(以及犯错的能力)...