ドメインリソースへのアクセスを非ドメインユーザーに提供することは可能ですか?
セキュリティレビューの後、現在、企業ドメイン内の単一のマシン上にあるWindows 2008 Serverアプリケーションの層を分割しています。 IIS 7 Web UIをドメイン内の新しいマシンに移動したいので、ユーザーはADアカウントを使用してそれに対して認証し、残り(アプリケーション層とデータベースサーバー)は現在のままにすることができます。マシンがファイアウォールの背後にあるドメインから移動しました。
アプリ層サービスは、ドメインサーバー上のさまざまな共有にファイルを作成する必要があります。以前は、サービスは共有にアクセスできる特別なドメインユーザーとして実行されていました。今ではそれは不可能です。
ドメインサーバー上の共有フォルダー(およびリソース全般)へのアクセスを、非ドメインユーザー/マシンに許可する方法はありますか?
ドメインリソース(つまり、共有)へのアクセスを非ドメインマシンに許可できます...そのマシン上のサービスがリモート資格情報として次のいずれかを使用して共有にアクセスする場合:
- ドメインユーザー資格情報OR
- (ドメインマシン上の)ローカルユーザーの資格情報
2つ目は、最も安全な方法です(アプリ層マシンに座っているリモートの攻撃者は、ドメインアカウントへのアクセス権(ドメイン全体へのアクセス権)を持ちませんが、ローカルアカウントを持っているドメインマシンにのみアクセスできます)。
ただし、このようなユーザーを設定して、アプリサービスを実行するように設定することはできません。接続先のサーバーに応じて異なる資格情報を指定するには、アプリケーションで何らかのサポートが必要です。
したがって、これがサポートされている場合=>アプリ層マシンAPPTIERがMSHOMEワークグループにあり、共有がMYDOMAINドメインの\\ SERVER1\share1および\\ SERVER2\share2であるとします。
- Share1へのアクセス権を持つSERVER1にローカルアカウントapptieracctを作成します
- Share2へのアクセス権を持つローカルアカウントapptieracctをSERVER2に作成します
- APPTIERで、SERVER1\aptieracctを使用して\\ SERVER1\share1にアクセスし、SERVER2\aptieracctを使用して\\ SERVER2\share2にアクセスするようにアプリケーションを構成します。
誰かがここで同様の質問に答えました
認証されていないユーザーがWindows共有にアクセスするにはどうすればよいですか?
以下は与えられた答えのカット/ペーストです
やりたいことを行うには、ファイルをホストしているコンピューターで「ゲスト」アカウントを有効にし、「Everyone」グループに必要なアクセス権を付与する必要があります。
「ゲスト」はユーザーアカウントですが、有効/無効のステータスは、オペレーティングシステムによってブール値の「認証されていないユーザーに接続を許可しますか?」と解釈されます。権限は引き続きファイルへのアクセスを制御しますが、ゲストを有効にすることで、LOTを開くことができます。
すべてのDCでゲストになるので、ドメインコントローラーコンピューター(BTW)ではこれを行わないでください...
Philの回答とChrisのコメントに加えて、Guestアカウントを有効にすることはオプションではありません(私は2番目に-Guestはneverを有効にする必要があります)。 Microsoft Windowsのみでの結果。
ただし、サードパーティ製品でソリューションを構築することは可能かもしれません。次の大まかなアイデアを検討してください。
ドメインメンバーにSSHトンネルエンドポイントを設定します。 SSHサーバーがユーザー名とパスワードを使用したログオンを許可している場合、その情報をDC-に渡すことができます。そして、ドメイン外のコンピューターから接続し、ユーザー名とパスワードを使用してログオンできます。
誰でもファイルを読み取れるようにしたい場合は、EVERYONEエントリーをフォルダーに追加し、許可を共有します(常に両方を実行します)。これにより、誰でもファイルを読み取ることができます。もちろん、クライアントマシンが同じドメイン上にある必要はなく、認証が必要な共有にアクセスするためのドメインである必要もないため、常に認証することもできます。
ファイルサーバーに追加のセキュリティが必要なため、Windowsファイアウォールを有効にし、「信頼できる」IPアドレスからのすべてのCIFS/SMBアクセスのみを有効にします。