web-dev-qa-db-ja.com

ネットワーク共有でネットワークサービスの権限を付与/設定するとはどういう意味ですか?

NETWORK SERVICEアカウント(グループ?)がネットワーク共有で機能することについて混乱しています。

一方では、ネットワークサービスは通常、特定のマシンに対してローカルなアカウントとして記述されます。 (たとえば、 here on serverfault またはMicrosoftの Access Control IIS 6. ドキュメント)を参照してください。)ドメイン全体のアカウントではありませんまた、たとえば、SERVERAのNETWORK SERVICEで実行されているプロセスがSERVERBのリソースを要求しようとした場合、認証は架空のMYDOMAIN\NETWORK SERVICEではなく、MYDOMAIN\SERVERA $で行われます(後者は既知です)。 SERVERAの「コンピュータアカウント」として。)

一方、管理者権限を持つリモートファイル共有にアクセスし、NETWORK SERVICEの特定のディレクトリにアクセス許可を設定できることに気づきました。 (たとえば、Windowsエクスプローラで\\ MYSHAREに移動し、ディレクトリの1つを右クリックして、[セキュリティ]> [編集]> [追加]に移動し、[選択するオブジェクト名を入力してください]ボックスに「NETWORK SERVICE」と入力して、[OK]をクリックします。 「グループ名またはユーザー名」のリストに新しいNETWORK SERVICEエントリがあり、「ユーザー」グループのアクセス許可を変更するのと同じように、そのアクセス許可を変更できます。

NETWORK SERVICEが厳密にマシンごとのアカウントである場合、リモート共有でNETWORK SERVICEの一連のアクセス許可を作成するとどうなるかがわかりません。そのエントリは、1つの特定の(指定されていない)マシン上のNETWORK SERVICEを参照していますか?アイコンで判断する場合、権限は技術的にはネットワークサービスユーザーではなく、ネットワークサービスグループに対するものです。しかし、ネットワークサービスgroupのドキュメントや、通常のドメイングループと比較してどのように機能するかを見つけることができません。

これまでの私の唯一の推測では、ネットワークサービスへのアクセスを許可する場合グループ(そのようなものがあると想定)、これはすべて "コンピューターへのアクセスを許可することになります。アカウント全体」。 (つまり、中央ファイルサーバーでNETWORK SERVICEにアクセス許可を与えることは、MYDOMAIN\SERVERA $、MYDOMAIN\SERVERB $、MYDOMAIN\SERVERC $、...、MYDOMAIN\MYLASTSERVER $にアクセス許可を与えることと同じです。)

6
Chris

NETWORK SERVICEはよく知られたアカウントです。すべてのマシンで同じSIDを持っています。 MachineAのNETWORK SERVICEがMachineBのNETWORK SERVICEとして認証されないことは正しいです。グループではなく、アカウントです。

共有にネットワークサービスのアクセス許可(共有またはNTFS)を設定することは非常にまれです。これは、NETWORK SERVICEの資格情報で実行されているローカルマシン上のサービスがローカルホスト上の共有に接続しようとした場合にのみ必要です。

NETWORK SERVICEとしてログオンしているサービスがリモートマシンに接続しようとすると、ローカルマシンの資格情報が使用されます。したがって、サービスがドメインexample.comのMachineAで実行されている場合、そのサービスは[email protected](またはNetBIOSスタイル名が必要な場合はexample\MachineA)としてMachineBに接続します。

6
Chris S