我对网络共享上的网络服务帐户(组?)的工作感到困惑:
一方面,网络服务通常被描述为给定机器的本地帐户。(例如,参见这里是 serverfault或者在微软的IIS 6.0 中的访问控制文档。)因此它不是一个域范围的帐户。例如,如果在 SERVERA 上的 NETWORK SERVICE 下运行的进程尝试请求 SERVERB 上的资源,则身份验证不会在某个假设的 MYDOMAIN\NETWORK SERVICE 下进行,而是在 MYDOMAIN\SERVERA$ 下进行。(后者称为 SERVERA 的“计算机帐户”。)
另一方面,我注意到我可以转到我具有管理员权限的远程文件共享,并为 NETWORK SERVICE 设置特定目录的权限。(例如,我可以在 Windows 资源管理器中转到 \\MYSHARE,右键单击其中一个目录,转到安全 > 编辑 > 添加,在“输入要选择的对象名称”框中键入“NETWORK SERVICE”,然后单击确定。现在我在“组或用户名”列表中有了一个新的 NETWORK SERVICE 条目,我可以更改它的权限,就像我可以更改“用户”组的权限一样。)
如果网络服务严格来说是一个逐台计算机的帐户,我不明白当我在远程共享上为网络服务创建一组权限时会发生什么。该条目是否指的是某台特定(未指定)计算机上的网络服务?根据图标判断,这些权限在技术上适用于网络服务团体,而不是网络服务用户。但我似乎找不到任何有关网络服务的文档团体或者与常规域组相比它如何工作。
到目前为止,我唯一的猜测是,如果你授予对网络服务的访问权限团体(假设有这样的事情),这相当于授予访问权限全部整个域中的“计算机帐户”。 (也就是说,授予中央文件服务器上的 NETWORK SERVICE 权限与授予 MYDOMAIN\SERVERA$、MYDOMAIN\SERVERB$、MYDOMAIN\SERVERC$、...、MYDOMAIN\MYLASTSERVER$ 权限相同。)
答案1
NETWORK SERVICE 是一个众所周知的帐户。它在每台机器上都有相同的 SID。您说得对,MachineA 上的 NETWORK SERVICE 不会以 MachineB 上的 NETWORK SERVICE 的身份进行身份验证。它不是一个组,而是一个帐户。
您很少会在共享上设置 NETWORK SERVICE 权限(共享或 NTFS)。仅当本地计算机上的服务以 NETWORK SERVICE 凭据运行并尝试连接到本地主机上的共享时,才需要这样做。
当以 NETWORK SERVICE 身份登录的服务尝试连接到远程计算机时,将使用本地计算机的凭据。因此,如果服务在域 example.com 中的 MachineA 上运行,则该服务将以以下身份连接到 MachineB[电子邮件保护](或者例如\MachineA,如果您喜欢 NetBIOS 样式的名称)。