У меня есть общий файловый ресурс (Windows, SMB, AD), для доступа к которому требуется проверка подлинности. Доступ к нему вручную в проводнике Windows (\\ ip \ share) запросит у меня user / pass. Это нормально. Клиентский компьютер, имеющий доступ к общему ресурсу сервера, является не в том же домене, что и сервер, и изменить это невозможно.
Однако использование этого от других пользователей (таких как пользователь IIS AppDomain) не будет работать. Эта проблема такая же, как и для общих папок (скажем, папки загрузки изображений) в IIS. (Примечание: мне нужен локальный доступ, недостаточно иметь виртуальную папку, сопоставленную с IIS.)
Есть ли способ глобально смонтировать общий ресурс в Windows? Сделать его доступным для всех пользователей. Или есть другой подход к проблеме?
Обход вы определили это единственный способ заставить это работать.
Что касается того, почему это не работает и не может работать:
Удаленная аутентификация в Windows выполняется в контексте конкретного пользователя локального пользователя. Когда ваш пользовательский сеанс сопоставляет диск с чем-то вроде M :, это сопоставление дисков доступно только в самом сеансе. Другие учетные записи на машине, например в контексте сервера терминалов, также не получают сопоставление M :.
В контексте домена отдельный компьютер может получать доступ к удаленным службам без пользователя, но делает это через учетная запись домена компьютера. Этот доступ не наследуется пользователями этого компьютера. Microsoft довольно надежно хранит токены аутентификации в пользовательском пространстве.
Когда осуществляется доступ к удаленному ресурсу, у которого еще нет ассоциированного сеанса входа в систему, Windows предоставит имя пользователя и пароль для доступа пользователя на случай, если такие учетные данные будут работать в удаленной системе. Если они этого не сделают (а иногда даже если они это сделают, например, когда поддерживаемые протоколы безопасности достаточно разные), он выдаст запрос для пользователя. Этот метод ручной синхронизации имени пользователя и пароля - единственный способ получить «бесшовную» аутентификацию в контексте рабочей группы, не прибегая к гостевым / анонимным методам совместного использования.
Один способ: если имя пользователя совпадает с пропуском на клиенте / сервере, аутентификация будет работать. Пользователь может быть назначен в IIS. Учетные данные для входа в систему в Windows будут автоматически использоваться при доступе к общему ресурсу, принадлежащему другой AD.
Это решает мою текущую проблему, но было бы неплохо узнать, есть ли способ глобально смонтировать диск в Windows.
Вы описываете анонимный доступ, который так же нежелателен, как и предоставление людям пароля администратора. Вам действительно следует установить соответствующие разрешения для учетных записей пользователей, которые будут получать доступ к общему ресурсу, и разрешить пользователям использовать соответствующие учетные записи, если у их собственных нет разрешения.