簡単なシナリオがあります。ServerAには、組み込みのネットワークサービスアカウントで実行されるアプリケーションがあります。ServerB上のフォルダー共有でファイルを読み書きする必要があります。ServerBのフォルダー共有に設定する必要があるアクセス許可は何ですか?
共有のセキュリティダイアログを開き、新しいセキュリティユーザーを追加し、[オブジェクトタイプ]をクリックし、[コンピューター]がオンになっていることを確認してから、読み取り/書き込みアクセス権のあるServerAを追加します。これにより、どのアカウントが共有にアクセスできるようになりますか?ネットワークサービスのみ?ServerAのすべてのローカルアカウント?ServerAのネットワークサービスアカウントにServerBの共有へのアクセスを許可するにはどうすればよいですか?
注:
これはこの質問に似ていることは知っています。ただし、私のシナリオでは、ServerAとServerBは同じドメインにあります。
回答:
「共有アクセス許可」は「全員/フルコントロール」にできます。NTFSアクセス許可だけが本当に重要です。(ここで「権限の共有」に不健康な愛着を持っている人々からの宗教的な議論をキューに入れてください...)
ServerB上のフォルダーのNTFSアクセス許可では、既存のファイルを変更できるようにする必要があるかどうかに応じて、「DOMAIN \ ServerA-変更」または「DOMAIN \ ServerA-書き込み」で取得できます。(アプリケーションは、作成後にファイルを再度開いてさらに書き込むことができるため、Modifyが実際に推奨されます。Modifyはその権利を与えますが、Writeはそうしません。)
権限に「DOMAIN \ ServerA」と名前を付けた場合、ServerAの「SYSTEM」および「Network Service」コンテキストのみがアクセスできます。ServerAコンピューターのローカルユーザーアカウントは、 "DOMAIN \ ServerA"コンテキストとは異なります(何らかの方法でアクセスを許可する場合は、個別に名前を付ける必要があります)。
余談ですが、サーバーコンピューターの役割は変わります。このロールのADにグループを作成し、ServerAをそのグループに入れて、グループに権限を付与することができます。ServerAの役割を変更して、たとえばServerCに置き換えた場合、グループメンバーシップを変更するだけでよく、フォルダーのアクセス許可を再度変更する必要はありません。多くの管理者は、アクセス許可に名前が付けられているユーザーに対してこの種のことを考えていますが、「コンピューターは人間でもある」ことを忘れており、その役割は時々変わります。将来的に作業を最小限に抑えること(およびミスを犯す可能性)が、このゲームで効率的になることのすべてです...
コンピューターのネットワークサービスアカウントは、コンピューター名アカウントとして別の信頼されたコンピューターにマップされます。たとえば、MyDomainのServerAでネットワークサービスアカウントとして実行している場合、MyDomain \ ServerA $としてマップする必要があります(はい、ドル記号が必要です)。これは、SSRSやMicrosoft CRMのスケールアウトインストールなど、別のサーバー上のSQL Serverに接続するネットワークサービスアカウントとして実行されているIISアプリがある場合に、かなり表示されます。