नेटवर्क सेवा खाता एक फ़ोल्डर शेयर तक पहुँचने

मेरा एक साधारण परिदृश्य है। ServerA पर एक एप्लिकेशन है जो अंतर्निहित नेटवर्क सेवा खाते के अंतर्गत चलता है। यह ServerB पर एक फ़ोल्डर शेयर पर फ़ाइलों को पढ़ने और लिखने की जरूरत है। ServerB पर फ़ोल्डर साझा करने के लिए मुझे किन अनुमतियों की आवश्यकता होगी?

मैं इसे शेयर के सुरक्षा संवाद को खोलकर, एक नया सुरक्षा उपयोगकर्ता जोड़कर, "ऑब्जेक्ट प्रकार" पर क्लिक करके और यह सुनिश्चित कर सकता हूं कि "कंप्यूटर्स" चेक किया गया है और फिर सर्वरए को रीड / राइट एक्सेस के साथ जोड़कर काम कर सकता है। ऐसा करने से, किन खातों में हिस्सेदारी प्राप्त हो रही है? केवल नेटवर्क सेवा? ServerA पर सभी स्थानीय खाते? मुझे ServerB के नेटवर्क सेवा खाते को ServerB के हिस्से तक पहुंच प्रदान करने के लिए क्या करना चाहिए ?

नोट:
मुझे पता है कि यह इस प्रश्न के समान है । हालाँकि, मेरे परिदृश्य में ServerA और ServerB एक ही डोमेन में हैं।

"शेयर अनुमतियाँ" "सभी / पूर्ण नियंत्रण" हो सकती हैं - केवल NTFS अनुमतियाँ वास्तव में मायने रखती हैं। (उन लोगों से धार्मिक तर्क दें, जिनके यहां "साझा अनुमतियां" के प्रति अस्वस्थ लगाव है ...)

सर्वर पर NTFS अनुमतियों में आप "DOMAIN \ ServerA - संशोधित" या "DOMAIN \ ServerA - लिखो" के साथ प्राप्त कर सकते हैं, यह निर्भर करता है कि मौजूदा फ़ाइलों को संशोधित करने में सक्षम होने की आवश्यकता है या नहीं। (संशोधित वास्तव में पसंदीदा है क्योंकि आपके एप्लिकेशन को आगे लिखने के लिए बनाने के बाद किसी फ़ाइल को फिर से खोल सकते हैं - संशोधित उसे यह अधिकार देता है, लेकिन लिखें ऐसा नहीं है।)

सर्वरए पर केवल "सिस्टम" और "नेटवर्क सेवा" संदर्भों की पहुंच होगी, जो आपको अनुमति में "DOMAIN \ ServerA" नाम देता है। ServerA कंप्यूटर पर स्थानीय उपयोगकर्ता खाते "DOMAIN \ ServerA" संदर्भ से भिन्न होते हैं (और यदि आपको किसी तरह उन्हें एक्सेस देना चाहते हैं तो व्यक्तिगत रूप से नाम देना होगा)।

एक तरफ के रूप में: सर्वर कंप्यूटर भूमिकाएँ बदल जाती हैं। आप इस भूमिका के लिए AD में एक समूह बनाना चाहते हैं, उस समूह में ServerA डाल सकते हैं और समूह के अधिकारों को प्रदान कर सकते हैं। यदि आप कभी भी सर्वरए की भूमिका बदलते हैं और इसे बदलते हैं, तो कहते हैं, सर्वरसी, आपको केवल समूह सदस्यता बदलने की आवश्यकता है और आपको फिर से फ़ोल्डर की अनुमति को छूने की आवश्यकता नहीं है। अनुमतियों में नामित किए जा रहे उपयोगकर्ताओं के लिए इस तरह की चीज़ों के बारे में बहुत सारे व्यवस्थापक सोचते हैं, लेकिन वे यह भूल जाते हैं कि "कंप्यूटर भी लोग हैं" और उनके विचार कभी-कभी बदलते हैं। भविष्य में आपके काम को कम से कम करना (और आपकी गलतियाँ करने की क्षमता) इस खेल में कुशल होने के बारे में है ...

कंप्यूटर का नेटवर्क सेवा खाता कंप्यूटर के नाम के खाते के रूप में किसी अन्य विश्वसनीय कंप्यूटर पर मैप होगा। उदाहरण के लिए, यदि आप MyDomain में ServerA पर नेटवर्क सेवा खाते के रूप में चल रहे हैं, तो यह MyDomain \ ServerA $ के रूप में मैप होना चाहिए (हाँ, डॉलर का चिह्न आवश्यक है)। जब आप IIS ऐप्स को नेटवर्क सेवा खाते के रूप में किसी भिन्न सर्वर पर SQL सर्वर से कनेक्ट कर रहे हैं, जैसे SSRS या Microsoft CRM की स्केल की गई स्थापना के रूप में चल रहे हैं, तो आप इसे बहुत कम देखते हैं।

मैं इवान से सहमत हूं। हालांकि, मेरा मानना ​​है कि आदर्श समाधान, यदि सुरक्षा आपके लिए एक वास्तविक चिंता है, तो विशेष रूप से उस एप्लिकेशन / सेवा के लिए एक उपयोगकर्ता खाता बनाना होगा, और उस फ़ोल्डर को आवश्यक अनुमतियों को साझा करने के लिए अनुदान देना होगा। इस तरह, आप यह सुनिश्चित कर सकते हैं कि केवल वह एप्लिकेशन / सेवा ही शेयर को एक्सेस कर रही है। यह हालांकि ओवरकिल हो सकता है।