폴더 공유에 액세스하는 네트워크 서비스 계정

간단한 시나리오가 있습니다. ServerA에는 기본 제공 네트워크 서비스 계정으로 실행되는 응용 프로그램이 있습니다. ServerB의 폴더 공유에서 파일을 읽고 써야합니다. ServerB의 폴더 공유에 어떤 권한을 설정해야합니까?

공유의 보안 대화 상자를 열고 새 보안 사용자를 추가하고 "개체 유형"을 클릭 한 다음 "컴퓨터"가 선택되어 있는지 확인한 다음 읽기 / 쓰기 액세스 권한이있는 ServerA를 추가하여 작동시킬 수 있습니다. 이렇게하면 어떤 계정이 주식에 액세스 할 수 있습니까? 네트워크 서비스 만? ServerA의 모든 로컬 계정? ServerA의 네트워크 서비스 계정에 ServerB의 공유에 대한 액세스 권한을 부여하려면 어떻게 해야 합니까?

참고 :
나는 이것이이 질문 과 유사하다는 것을 알고 있습니다. 그러나 내 시나리오에서 ServerA와 ServerB는 동일한 도메인에 있습니다.

"공유 권한"은 "모두 / 모든 권한"일 수 있으며 NTFS 권한 만 중요합니다. (여기서 "권한 공유"에 건강에 해로운 애착을 가진 사람들의 종교적 주장에 대한 큐 ...)

ServerB의 폴더에 대한 NTFS 권한에서 기존 파일을 수정할 수 있는지 여부에 따라 "DOMAIN \ ServerA-Modify"또는 "DOMAIN \ ServerA-Write"를 사용할 수 있습니다. (수정은 응용 프로그램이 파일을 만든 후 다시 열어 파일을 다시 열어서 더 많이 쓸 수 있기 때문에 실제로 선호됩니다.

권한에 "DOMAIN \ ServerA"라는 이름이 있다고 가정하면 ServerA의 "SYSTEM"및 "Network Service"컨텍스트 만 액세스 할 수 있습니다. ServerA 컴퓨터의 로컬 사용자 계정은 "DOMAIN \ ServerA"컨텍스트와 다릅니다 (액세스 권한을 부여하려면 개별적으로 이름을 지정해야 함).

제쳐두고 : 서버 컴퓨터 역할이 변경됩니다. 이 역할에 대해 AD에서 그룹을 만들고 ServerA를 해당 그룹에 넣고 그룹 권한을 부여 할 수 있습니다. ServerA의 역할을 변경하고이를 ServerC로 바꾸는 경우 그룹 구성원 만 변경하면되고 폴더 권한을 다시 만질 필요가 없습니다. 많은 관리자는 권한이 부여 된 사용자에 대해 이런 종류의 일에 대해 생각하지만 "컴퓨터도 사람"이며 역할이 변경되는 것을 잊습니다. 미래의 작업을 최소화하고 실수를 저지르는 능력은이 게임에서 효율적이되는 것입니다.

컴퓨터의 네트워크 서비스 계정은 컴퓨터 이름 계정으로 다른 신뢰할 수있는 컴퓨터에 매핑됩니다. 예를 들어 MyDomain의 ServerA에서 네트워크 서비스 계정으로 실행중인 경우 MyDomain \ ServerA $로 매핑해야합니다 (예 : 달러 기호 필요). SSRS 또는 Microsoft CRM의 수평 확장 설치와 같은 다른 서버의 SQL Server에 연결하는 네트워크 서비스 계정으로 IIS 응용 프로그램을 실행하면 IIS 응용 프로그램이 상당히 많이 나타납니다.

나는 Evan에 동의한다. 그러나 보안이 실제로 중요한 경우 이상적인 솔루션은 해당 응용 프로그램 / 서비스로 실행할 사용자 계정을 만들고 공유 폴더에 필요한 권한을 부여하는 것입니다. 이렇게하면 해당 응용 프로그램 / 서비스 만 공유에 액세스하고 있는지 확인할 수 있습니다. 그러나 이것은 과잉 일 수 있습니다.