Я не понимаю, что учетная запись (группа?) NETWORK SERVICE работает с общими сетевыми ресурсами:
С одной стороны, NETWORK SERVICE обычно описывается как учетная запись, локальная для данной машины. (См., Например, здесь на serverfault или в Microsoft Контроль доступа в IIS 6.0 документ.) Таким образом, это не общедоменная учетная запись. И, например, если процесс, выполняющийся в NETWORK SERVICE на SERVERA, пытается запросить ресурс на SERVERB, аутентификация будет проходить не в какой-то гипотетической MYDOMAIN \ NETWORK SERVICE, а в MYDOMAIN \ SERVERA $. (Последний известен как «компьютерная учетная запись SERVERA».)
С другой стороны, я заметил, что могу перейти в удаленный файловый ресурс, где у меня есть права администратора, и установить разрешения для определенного каталога NETWORK SERVICE. (например, я могу перейти к \\ MYSHARE в проводнике Windows, щелкнуть правой кнопкой мыши по одному из каталогов, перейти в раздел «Безопасность»> «Правка»> «Добавить», ввести «СЕТЕВОЙ СЕРВИС» в поле «Введите имена объектов для выбора» и нажать «ОК». У меня есть новая запись СЕТЕВОЙ СЛУЖБЫ в списке «Группы или имена пользователей», и я могу изменить разрешения для нее так же, как я могу изменить разрешения для группы «Пользователи».)
Если СЕТЕВАЯ СЛУЖБА - это строго машинная учетная запись, я не понимаю, что должно произойти, когда я создаю набор разрешений для СЕТЕВОЙ СЛУЖБЫ на удаленном общем ресурсе. Относится ли эта запись к СЕТЕВОЙ СЛУЖБЕ на одном конкретном (неуказанном) компьютере? Судя по значку, технически разрешения предназначены для СЕТЕВОЙ СЛУЖБЫ группа, а не СЕТЕВОЙ СЕРВИС пользователь. Но я не могу найти никакой документации для СЕТЕВОЙ СЛУЖБЫ группа или как это могло бы работать по сравнению с обычной доменной группой.
Пока я только предполагаю, что если вы предоставите доступ к СЕТЕВОЙ СЛУЖБЕ группа (при условии, что такая вещь существует), это равносильно предоставлению доступа к все «учетные записи компьютеров» во всем домене. (То есть предоставление разрешений NETWORK SERVICE на центральном файловом сервере будет таким же, как предоставление разрешений для MYDOMAIN \ SERVERA $, MYDOMAIN \ SERVERB $, MYDOMAIN \ SERVERC $, ..., MYDOMAIN \ MYLASTSERVER $.)
NETWORK SERVICE - хорошо известная учетная запись. У него одинаковый SID на каждой машине. Вы правы, что СЕТЕВАЯ СЛУЖБА на MachineA не будет аутентифицироваться как СЕТЕВАЯ СЛУЖБА на MachineB. Это не группа, это учетная запись.
Очень редко вы устанавливаете разрешение NETWORK SERVICE (общий ресурс или NTFS) для общего ресурса. Это было бы необходимо только в том случае, если служба на локальном компьютере, работающая под учетными данными NETWORK SERVICE, пыталась подключиться к этому общему ресурсу на локальном хосте.
Когда служба, входящая в систему как NETWORK SERVICE, пытается подключиться к удаленному компьютеру, будут использоваться учетные данные локальной машины. Поэтому, если служба работает на MachineA в домене example.com, эта служба будет подключаться к MachineB как Machine@example.com (или example \ MachineA, если вам нравятся имена в стиле NetBIOS).