O que significa conceder / definir permissões para o NETWORK SERVICE em um compartilhamento de rede?

Navegue suas respostas
6

Estou confuso sobre a conta NETWORK SERVICE (grupo?) funciona em compartilhamentos de rede:

Por um lado, SERVIÇO DE REDE é geralmente descrito como uma conta que é local para uma determinada máquina. (Veja, por exemplo, aqui no serverfault ou no site da Microsoft Controle de acesso no documento do IIS 6.0 .) Portanto, não é uma conta de todo o domínio. E, por exemplo, se um processo executado sob SERVIDOR DE REDE em SERVERA tentar solicitar um recurso em SERVERB, a autenticação não estará sob algum MYDOMAIN \ NETWORK SERVICE hipotético, mas sim em MYDOMAIN \ SERVERA $. (Este último é conhecido como "conta de computador" do SERVERA.)

Por outro lado, percebi que posso ir para um compartilhamento de arquivos remoto onde tenho direitos de administrador e defino permissões em um diretório específico para o serviço de rede. (por exemplo, posso ir para \\ MYSHARE no Windows Explorer, clique com o botão direito em um dos diretórios, vá em Segurança > Editar > Adicionar, digite "SERVIÇO DE REDE" na caixa "Digite os nomes de objeto a serem selecionados" e clique em OK Agora tenho uma nova entrada NETWORK SERVICE na lista de "Group or user names", e posso alterar as permissões para ela, assim como eu poderia alterar as permissões para o grupo "Users".

Se o SERVIÇO DE REDE for estritamente uma conta máquina a máquina, não entendo o que deve acontecer quando eu criar um conjunto de permissões para o serviço de rede em um compartilhamento remoto. Essa entrada se refere ao SERVIÇO DE REDE em uma máquina específica (não especificada)? Para julgar pelo ícone, as permissões são tecnicamente para um grupo serviço de rede, em vez de um usuário de serviço de rede . Mas não consigo encontrar nenhuma documentação para um grupo serviço de rede ou como ele pode funcionar em comparação com um grupo de domínio regular.

Meu único palpite até agora é que, se você conceder acesso ao grupo SERVIÇO DE REDE (supondo que exista tal coisa), isso equivale a conceder acesso a todos as "contas de computador" em todo o domínio. (Ou seja, dar permissões ao serviço de rede em um servidor de arquivos central seria o mesmo que dar permissões para MYDOMAIN \ SERVERA $, MYDOMAIN \ SERVERB $, MYDOMAIN \ SERVERC $, ..., MYDOMAIN \ MYLASTSERVER $.)

    
por Chris 23.03.2013 / 05:05

1 resposta

6

SERVIÇO DE REDE é uma conta bem conhecida. Tem o mesmo SID em todas as máquinas. Você está correto que o serviço de rede no MachineA não será autenticado como serviço de rede no MachineB. Não é um grupo, é uma conta.

É muito raro você definir a permissão NETWORK SERVICE (compartilhamento ou NTFS) em um compartilhamento. Isso seria necessário somente se um serviço na máquina local, executado sob as credenciais do serviço de rede, estivesse tentando se conectar a esse compartilhamento no host local.

Quando um serviço que faz logon como SERVIÇO DE REDE tenta se conectar a uma máquina remota, as credenciais da máquina local serão usadas. Portanto, se um serviço estiver sendo executado no MachineA no domínio example.com, esse serviço se conectará ao MachineB como [email protected] (ou ao exemplo \ MachineA se você gostar dos nomes de estilo do NetBIOS).

    
por 23.03.2013 / 06:06

Tags

Tentando configurar o SFTP apenas em uma cadeia chroot para um usuário Existe uma lista de discussão para as próximas atualizações do Microsoft Windows?