У меня есть веб-приложение, которому нужно предоставить разрешения для общего файлового ресурса, размещенного на другом компьютере в моей демилитаризованной зоне. Пользователи получают доступ к приложению анонимно с помощью IUSR_Машина учетная запись, которая выглядит стандартной конфигурацией. Приложение должно обслуживать файлы, размещенные в общем ресурсе, к которому веб-сервер получает доступ по сети.
Как мне предоставить этой учетной записи пользователя доступ к удаленному файловому ресурсу? Это обычное дело? Что для этого лучше всего?
Вместо этого используйте учетную запись пользователя домена в качестве анонимной и предоставьте доступ к этой учетной записи. Вы можете делать это полностью вплоть до отдельных страниц, поэтому вам может не потребоваться редактировать какие-либо разрешения, уже используемые IUSR_MACHINE в локальном поле, если это конкретная страница или запрос, запускающий доступ к удаленному файловому ресурсу.
Инструмент SUBINACL можно использовать для замены локальных ACL IUSR_MACHINE на нового пользователя, но будьте осторожны; с этим легко испортить и разрешения.
Вы также можете поэкспериментировать с разрешением подключений Machine $ к этому общему ресурсу, но я подозреваю, что в большинстве случаев это будет нулевой пользователь, а не учетная запись компьютера; у вас может быть случай, когда это не так.
Я бы добавил запись управления доступом (ACE) для учетной записи webserver \ IUSR_Machine в разрешения share / ntfs.