Como defino permissões em compartilhamentos de rede para permitir acesso à conta do SISTEMA no cluster de servidores?

Question

Como defino permissões em compartilhamentos de rede para permitir acesso à conta do SISTEMA no cluster de servidores?

#1 resposta do (3 votos)
#2 resposta do (0 votos)

3

Eu quero compartilhar dados comuns em um cluster de servidores por meio de compartilhamentos de rede. Haverá uma pasta de compartilhamento em cada servidor, que todos os outros servidores podem acessar. Os processos do servidor que estarão acessando esses dados estão sendo executados atualmente como SYSTEM. Eu gostaria de restringir as permissões nessas pastas para que apenas os processos em execução nos outros servidores no cluster possam acessar o compartilhamento. Eu NÃO quero que os compartilhamentos de rede sejam acessíveis a qualquer outra pessoa no domínio (exceto, talvez, os administradores que podem acessar remotamente os servidores).

Como configuro as permissões nos compartilhamentos de arquivos para realizar isso? Pode ser feito com os processos do servidor em execução como SYSTEM? Se não há uma maneira direta de fazer isso, existe um trabalho de melhor prática?

Estamos executando o Windows Server 2008 R2.

Obrigado Jeff

permissions networking active-directory windows-server-2008

por Jeff D. 24.06.2011 / 23:09

2 respostas

0

Eu acredito que você pode fazer isso executando os serviços não como SYSTEM, mas como NetworkService (1). Isso permite que o serviço use a conta do Active Directory do computador na rede. Depois de fazer isso, você pode criar um grupo AD contendo as contas de máquina dos servidores que precisam acessar o compartilhamento. Você pode definir as permissões Compartilhar para permitir somente o acesso desse grupo criado. Para proteção extra, você também pode definir as permissões NTFS para permitir a modificação daquele grupo, administradores e nada mais.

(1) Sou remoto, isso pode ser feito com o SYSTEM puro. Verificarei novamente quando tiver largura de banda

por 24.06.2011 / 23:26

Tags permissions networking active-directory windows-server-2008

Consulta DNS anexando o sufixo pai duas vezes Procurando por um bom cliente de testes de penetração na web [fechado]

score 3 · Accepted Answer

De uma forma resumida, passo a passo:

Crie um grupo e torne o computador do AD responsável pelos membros do grupo de computadores do cluster.
Defina as permissões de NTFS na pasta como "SYSTEM / Full Control", "MACHINE \ Administradores / Controle total" e "O grupo de membros de cluster / controle total". (Eu sempre incluo "MACHINE \ Administrators" e "SYSTEM" com "Full Control" em praticamente todas as permissões que eu aplico. Chame de força de hábitos ...)
Compartilhe a pasta e defina a Permissão de compartilhamento como "Todos / Controle total". Isso efetivamente anula esse "recurso". As permissões do NTFS aplicarão a segurança que você está procurando.
Você está no negócio.