Por que não posso atribuir direitos à conta do Serviço de Rede por meio de grupos?

1

Caixa do Windows (2k3). Eu tenho um site que precisa acessar arquivos em um compartilhamento de rede na máquina local. Por favor, não se concentre nesse fato. É uma longa história na qual não vou entrar agora.

O processo de trabalho está sendo executado em localmachine \ NETWORK SERVICE. Isso foi adicionado a um grupo (vamos chamá-lo de HURFDURFGROUP) ao qual foi concedido acesso tanto ao disco quanto ao compartilhamento de rede.

Em outras palavras, se eu fosse um membro do HURFDURFGROUP, poderia fazer o login no compartilhamento e abrir os arquivos contidos lá.

No entanto, embora a NETWORK SERVICE fosse um membro deste grupo, NETWORK SERVICE não podia acessar o compartilhamento de rede. As tentativas de ler arquivos resultariam em um FileNotFound e tentariam alterar a segurança dos arquivos na ação resultou em um acesso não autorizado.

O curioso é que, uma vez que eu configurei as permissões do NETWORK SERVICE no disco e o compartilhamento funcionou.

Isso me leva a acreditar que você não pode usar o Grupos para atribuir ou negar direitos ao SERVIÇO DE REDE .

Isso está correto? Alguém poderia explicar isso?

    
por Will 01.09.2009 / 14:12

2 respostas

0

Eu estava tentando encontrar uma postagem no blog MS sobre a conta "serviço de rede", mas não consegui localizá-la em uma pesquisa rápida nos meus favoritos. De qualquer forma, o que me lembro é que, de fato, essa conta é considerada uma conta de usuário especial que, embora tenha autorizações de segurança adicionais que normalmente não são atribuídas a uma conta de usuário básica, também está sujeita a outras limitações. Se me lembro da capacidade de contas se conectar aos recursos de rede é uma dessas limitações.

Dito isto, embora eu também possa dizer que estou em uma situação semelhante e que existem maneiras de fazer as coisas funcionarem. Posso dizer-lhe que em casos em que tenho serviços da Web que precisam acessar recursos de rede como parte de suas funções como a identidade do pool de aplicativos, especificamos uma conta baseada em domínio que seria um membro de seu grupo HURFDURFGROUP para seu acesso de compartilhamento. Em seguida, para torná-lo uma conta de serviço funcional para os pools de aplicativos do IIS, verifique se é um membro do grupo IIS_WPG local, além de executar "aspnet_regiis" com o domínio -ga \ nome de usuário da versão do framework asp.net que você está usando. Isso basicamente concederá a essa conta todas as permissões necessárias para que ele funcione como a identidade do pool de aplicativos desse sistema local.

Não é exatamente uma resposta direta à sua pergunta, mas talvez seja útil mesmo assim.

    
por 24.09.2009 / 23:02
3

Em um domínio, o serviço de rede é reconhecido como domínio \ machinename $. Você pode usar isso em grupos, etc. ou para permissões.

Portanto, a conta de serviço de rede local na máquina "BobsBox" no domínio "MyCompany" é "MyCompany \ BobsBox $". Eu usei isso com sucesso algumas vezes.

Eu não posso dizer para não-domínio ou grupo de trabalho, desculpe

    
por 01.09.2009 / 15:46