我在 DMZ 中拥有一台服务器,该服务器通过 SMB 对内部网络中的另一台服务器的访问权限受到限制。该外部机器上的 Web 服务器需要访问该内部服务器上的整个分区。
我仍在使用一种快速而粗糙的解决方案。Web 服务器仍以 SYSTEM 用户身份运行。我设法为该用户挂载了共享。
主要问题:此设置不安全重启。重启后必须重新建立连接,因为没有办法保存共享的凭据。
Ps:DMZ 服务器不在 Windows 域中
答案1
澄清一下:Web 服务器是 DMZ 中的 Windows 计算机,IIS 在 SYSTEM 帐户下运行?不理想(因为 SYSTEM 帐户不是应该我无法访问网络资源,但在实验室环境中可能是可行的。
无论如何,听起来您需要NET USE在 SYSTEM 用户的上下文中向目标服务器发出一个命令。
计划任务可以在系统帐户下运行。
把这些放在一起,如何使用以下设置创建计划任务:
- 行动:
"%WINDIR%\system32\net.exe" USE \\TheSmbServer\TheNetworkShare /USER:TheDomain\TheUser Th3_P@55w0rd - 登录用户:
NT AUTHORITY\SYSTEM (use blank password -- Windows will manage) - 触发/计划:
At system startup - 选项:
Run whether user is logged in or not;Run with highest privileges
那应该在启动时(或接近启动时)绑定必要的身份验证凭据。
如果需要能够访问所有共享,请尝试用作\\TheSmbServer\IPC$共享。