Chr*_*ris 6 windows permissions active-directory network-share
我对 NETWORK SERVICE 帐户(组?)在网络共享上工作感到困惑:
一方面,网络服务通常被描述为给定机器本地的帐户。(例如,请参阅此处的 serverfault或IIS 6.0文档中的 Microsoft访问控制。)因此它不是一个域范围的帐户。并且,例如,如果在 SERVERA 上的 NETWORK SERVICE 下运行的进程尝试请求 SERVERB 上的资源,则身份验证将不会在某个假设的 MYDOMAIN\NETWORK SERVICE 下,而是在 MYDOMAIN\SERVERA$ 下。(后者被称为 SERVERA 的“计算机帐户”。)
另一方面,我注意到我可以转到具有管理员权限的远程文件共享,并为 NETWORK SERVICE 的特定目录设置权限。(例如,我可以在 Windows 资源管理器中转到 \\MYSHARE,右键单击目录之一,转到安全 > 编辑 > 添加,在“输入要选择的对象名称”框中键入“网络服务”,然后单击“确定”。现在我在“组或用户名”列表中有一个新的网络服务条目,我可以更改它的权限,就像我可以更改“用户”组的权限一样。)
如果 NETWORK SERVICE 严格来说是一个机器对机器的帐户,我不明白在远程共享上为 NETWORK SERVICE 创建一组权限时会发生什么。该条目是否指的是一台特定(未指定)机器上的网络服务?通过图标来判断,技术上权限是针对 NETWORK SERVICE组的,而不是针对 NETWORK SERVICE用户的。但我似乎找不到任何关于 NETWORK SERVICE组的文档,或者与常规域组相比它是如何工作的。
到目前为止,我唯一的猜测是,如果您授予对 NETWORK SERVICE组的访问权限(假设有这样的事情),这相当于授予对整个域中所有“计算机帐户”的访问权限。(也就是说,在中央文件服务器上授予 NETWORK SERVICE 权限与授予 MYDOMAIN\SERVERA$、MYDOMAIN\SERVERB$、MYDOMAIN\SERVERC$、...、MYDOMAIN\MYLASTSERVER$ 权限相同。)
NETWORK SERVICE 是一个众所周知的帐户。它在每台机器上都有相同的 SID。您是正确的,MachineA 上的 NETWORK SERVICE 将不会作为 MachineB 上的 NETWORK SERVICE 进行身份验证。这不是一个组,它是一个帐户。
您很少会在共享上设置 NETWORK SERVICE 权限(共享或 NTFS)。只有当本地机器上的服务在 NETWORK SERVICE 的凭据下运行时,才需要连接到本地主机上的共享。
当以 NETWORK SERVICE 身份登录的服务尝试连接到远程计算机时,将使用本地计算机的凭据。因此,如果某个服务在域 example.com 中的 MachineA 上运行,则该服务将以 Machine@example.com(或 example\MachineA,如果您喜欢 NetBIOS 样式名称)的形式连接到 MachineB。
| 归档时间: |
|
| 查看次数: |
26031 次 |
| 最近记录: |