我想通过网络共享在服务器集群内共享公共数据。每台服务器上都会有一个共享文件夹,所有其他服务器都可以访问。将访问此数据的服务器进程当前以 SYSTEM 身份运行。我想限制这些文件夹的权限,以便只有在集群中的其他服务器上运行的进程才能访问共享。我不希望域中的任何其他人都可以访问网络共享(也许可以远程访问服务器的管理员除外)。
如何配置文件共享的权限来实现这一点?可以通过以 SYSTEM 身份运行的服务器进程来实现吗?如果没有直接的方法来实现这一点,是否有最佳实践解决方法?
我们正在运行 Windows Server 2008 R2。
谢谢,杰夫
答案1
简洁地、一步一步地讲:
创建一个组并使 AD 计算机帐户成为该组的集群计算机成员。
将文件夹的 NTFS 权限设置为“SYSTEM / 完全控制”、“MACHINE\Administrators / 完全控制”和“群集成员组 / 完全控制”。(我几乎在应用的每个权限中都包含“MACHINE\Administrators”和“SYSTEM”以及“完全控制”。称之为习惯的力量......)
共享文件夹并将共享权限设置为“所有人/完全控制”。这实际上使此“功能”无效。NTFS 权限将强制执行您所需的安全性。
你在做生意。
答案2
我相信您可以通过让服务以 NetworkService(1) 而不是 SYSTEM 身份运行来实现这一点。这允许服务在网络上使用计算机的 Active Directory 帐户。完成此操作后,您可以创建一个包含机器帐户需要访问共享的服务器。然后,您可以设置共享权限,以仅允许来自该创建的组的访问。为了获得额外的保护,您还可以设置 NTFS 权限,以允许来自该组、管理员的修改,而不允许其他任何人。
(1) 我是远程用户,这可能可以通过纯系统来实现。当我有带宽时会再检查一下