我目前正在使用两台 Windows 2008 服务器,每台服务器都在完全独立的域上运行,无法在它们之间建立信任关系。
我需要找到一种方法来让“域控制器 A”上的服务能够写入“域 B”上的文件共享。
我能够使用域 B 中的帐户 (Domain_B\Account) 将驱动器从域控制器 A 映射到“域 B”(\\Folder)。但是,我无法使用此帐户在域控制器 A 上运行服务,因为 Domain_B\Account 无法通过该帐户进行身份验证。
除了设置“\\Folder”的权限以允许帐户读/写之外EVERYONE,还有其他方法吗?出于明显的安全原因,我不愿意这样做?
答案1
一个解决方案:
(请注意,这在域控制器上不起作用,因为它们不区分域控制器上的 AD 和本地登录)
- 在计算机 A 上创建本地用户,即 ComputerA\SharedServiceUser
- 在计算机 B 上创建一个具有完全相同用户名和密码的本地用户,即 ComputerB\SharedServiceUser
- 为在计算机 B 上创建的本地用户设置在计算机 B 上的共享的权限
- 将 ComputerA 上的服务设置为以 ComputerA 上的本地用户身份运行
这是因为 Windows 密码哈希不加盐。因此,当 ComputerA 上的服务将其身份作为 .\SharedServiceUser 以哈希作为密码通过网络传递时,它会与 ComputerB 上的本地用户身份相匹配 .\SharedServiceUser