我有一个 Web 应用程序,需要授予对托管在我 DMZ 中另一台计算机上的文件共享的权限。用户使用 IUSR_ 匿名访问该应用程序机器帐户,这似乎是标准配置。应用程序需要提供托管在共享中的文件,Web 服务器可通过网络访问这些文件。
如何授予此用户帐户对远程文件共享的访问权限?这很常见吗?最佳做法是什么?
答案1
改用域用户帐户作为匿名帐户,并授予该帐户访问权限。您可以逐页执行此操作,因此如果是触发远程文件共享访问的特定页面或请求,您可能不需要编辑本地框上 IUSR_MACHINE 已使用的任何权限。
工具 SUBINACL 可用于用新用户替换本地 IUSR_MACHINE ACL,但要小心;这样也很容易搞砸权限。
您还可以尝试允许 Machine$ 连接到该共享,但我怀疑在大多数情况下它将是一个空用户而不是机器帐户;您可能遇到并非如此的情况。
答案2
我将为 webserver\IUSR_Machine 帐户的共享/ntfs 权限添加一个访问控制条目 (ACE)。