ネットワーク共有を介してサーバーのクラスター内で共通データを共有したい。各サーバーに1つの共有フォルダーがあり、他のすべてのサーバーがアクセスできます。このデータにアクセスするサーバープロセスは、現在SYSTEMとして実行されています。これらのフォルダーのアクセス許可を制限して、クラスター内の他のサーバーで実行されているプロセスのみが共有にアクセスできるようにします。ドメイン内の他のユーザーがネットワーク共有にアクセスできるようにしたくありません(とにかくサーバーにリモート接続できる管理者を除く)。
これを実現するためにファイル共有のアクセス許可を構成するにはどうすればよいですか? SYSTEMとして実行されているサーバープロセスで実行できますか?これを行う直接的な方法がない場合、回避策のベストプラクティスはありますか?
Windows Server 2008R2を実行しています。
ありがとう、ジェフ
簡潔に、段階的に:
グループを作成し、そのグループのクラスターコンピューターメンバーのADコンピューターアカウントを作成します。
フォルダのNTFSアクセス許可を「SYSTEM /フルコントロール」、「MACHINE\Administrators /フルコントロール」、および「クラスタメンバーグループ/フルコントロール」に設定します。 (私は常に「MACHINE\Administrators」と「SYSTEM」を「FullControl」とともに、適用するほぼすべての許可に含めます。これを「強制的な習慣」と呼びます...)
フォルダを共有し、共有権限を「全員/フルコントロール」に設定します。これにより、この「機能」が事実上無効になります。 NTFSアクセス許可は、探しているセキュリティを強化します。
あなたは仕事をしています。
これは、サービスをSYSTEMとしてではなくNetworkService(1)として実行することで実行できると思います。これにより、サービスはネットワーク上のコンピューターのActiveDirectoryアカウントを使用できるようになります。それが済んだら、共有へのアクセスが必要なサーバーのマシンアカウントを含むADグループを作成できます。次に、作成したグループからのアクセスのみを許可するように共有アクセス許可を設定できます。保護を強化するために、NTFSアクセス許可を設定して、その1つのグループ、管理者などからの変更を許可することもできます。
(1)リモートです。これは、純粋なSYSTEMで実行できる場合があります。帯域幅がある場合は再確認します