NETWORK SERVICE não pode salvar em um caminho de rede

Question

NETWORK SERVICE não pode salvar em um caminho de rede

#1 resposta do (2 votos)
#2 resposta do (1 votos)

1

Eu fiz uma extensa pesquisa sobre isso e tentei todas as sugestões que vi. Estou solucionando problemas de um aplicativo que executa um serviço "planejador" para exportar periodicamente arquivos * .txt para um compartilhamento de rede. Eu mudei o serviço para iniciar como um serviço de rede e concedeu à conta de serviço de rede acesso total ao NTFS e acesso compartilhado. Ambas as máquinas estão no mesmo domínio e estou usando o caminho UNC como entrada para a função de exportação. Também concedi à conta de serviço de rede algumas permissões extras na Política de segurança local, como "Apropriar-se dos arquivos".

O aplicativo está sendo executado no Windows Server 2008 R2 e exportando para uma caixa que também executa o Server 2008 R2. Essas permissões que mencionei acima foram espelhadas nas duas máquinas. Alguém tem alguma sugestão extra que eu possa querer tentar?

ntfs security windows-server-2008-r2 network-share

por Josh Johnson 07.01.2012 / 19:09

2 respostas

Tags ntfs security windows-server-2008-r2 network-share

Os usuários não podem executar executáveis em compartilhamentos de rede no XP trac-admin hotcopy não funciona quando executado a partir de crontab

score 2 · Answer 1

Se eu entendi o que você fez corretamente, no compartilhamento de rede você concedeu acesso de gravação a NT AUTHORITY\NETWORK SERVICE . Esta é apenas uma conta local e conceder a este usuário acesso de gravação em uma pasta / compartilhamento não permitirá que computadores remotos gravem na pasta.

Quando um serviço em execução como NETWORK SERVICE passa pela rede, o nome de usuário de origem é o objeto do Active Directory do computador (por exemplo,SOURCECOMPUTERNAME$). Para permitir que seu computador de origem grave em um compartilhamento na máquina de destino, você precisa conceder acesso de gravação a SOURCECOMPUTERNAME$ (o objeto de computador). As outras permissões que você concedeu são supérfluas e devem ser removidas.

score 1 · Answer 2

SERVIÇO DE REDE é uma conta de usuário definida localmente, que não é reconhecida como válida quando proveniente de um computador remoto graças à filtragem de SID. Como resultado, enquanto você pode definir as permissões em compartilhamentos e tal, essa ACL só é válida no computador local, que é o único local onde o SERVIÇO DE REDE é confiável. Todas as conexões remotas de alguém que afirma ser serviço de rede vão ser negadas (que é o que você está vendo).

Você precisará fazer o que Dan sugeriu e criar e usar uma conta de usuário de domínio para isso.