После проверки безопасности я разделяю уровни приложения Windows 2008 Server, которое в настоящее время находится на одной машине в корпоративном домене. Я хочу переместить веб-интерфейс IIS 7 на новый компьютер в домене, чтобы пользователи могли проходить аутентификацию с помощью своих учетных записей AD, а остальное (уровень приложения и сервер базы данных) оставить на текущем компьютере, но переместить домен за брандмауэр .
Службы уровня приложений должны создавать файлы в различных общих папках на серверах домена. Ранее службы работали как специальный пользователь домена с доступом к общим ресурсам. Теперь это невозможно.
Есть ли способ разрешить доступ к общим папкам (и ресурсам в целом) на серверах домена пользователям / машинам, не являющимся доменом?
Кто-то ответил на аналогичный вопрос здесь
Как неаутентифицированный пользователь может получить доступ к общему ресурсу Windows?
Ниже приводится вырезка / вставка данного ответа.
Чтобы делать то, что вы хотите, вам нужно будет включить учетную запись «Гость» на компьютере, на котором размещены файлы, а затем предоставить группе «Все» любой доступ, который вы хотите.
«Гость» - это учетная запись пользователя, но ее статус «включен / отключен» интерпретируется операционной системой как логическое значение «Разрешить неаутентифицированным пользователям подключаться?» Разрешения по-прежнему контролируют доступ к файлам, но вы открываете много вещей, включив гостя.
Не делайте этого на компьютере с контроллером домена, кстати, потому что вы будете гостем на всех контроллерах домена ...
Вы можете предоставить доступ к ресурсу домена (например, общему ресурсу) на машине, не являющейся доменом ... при условии, что служба на этом компьютере обращается к общему ресурсу, используя в качестве удаленных учетных данных:
Второй - самый безопасный способ сделать это (удаленный злоумышленник, сидящий на машине уровня приложений, не будет иметь доступа к учетной записи домена (с доступом ко всему домену), а только к компьютерам домена, на которых он имеет локальную учетную запись.
НО вы не сможете просто настроить такого пользователя для запуска службы приложения. У вас должна быть некоторая поддержка в вашем приложении, чтобы указать разные учетные данные в зависимости от того, к какому серверу оно подключается.
Итак, если это поддерживается => скажите, что ваш компьютер уровня приложений APPTIER находится в рабочей группе MSHOME, а ваши общие ресурсы - \\ SERVER1 \ share1 и \\ SERVER2 \ share2 в домене MYDOMAIN:
Если вы хотите, чтобы кто-либо мог читать файлы, добавьте запись ВСЕ для папки и разрешения SHARE (всегда делайте и то, и другое). Таким образом, любой сможет читать файлы. Конечно, вы можете настроить их всегда на аутентификацию, поскольку клиентская машина не обязательно должна находиться в том же домене или даже в домене для доступа к общему ресурсу, требующему аутентификации.
Поскольку вам нужна дополнительная безопасность на файловом сервере, включите брандмауэр Windows и только весь доступ CIFS / SMB с IP-адресов, которые являются «доверенными».
Добавление к ответу Фила и комментарию Криса о том, что включение учетной записи гостя не является вариантом (что я второй - Гость должен никогда быть включен), я должен сказать: нет, невозможно добиться желаемого результата с помощью одной только Microsoft Windows.
Тем не менее, возможно, удастся создать решение с помощью сторонних продуктов. Рассмотрим следующую приблизительную идею:
Настройте конечную точку туннеля SSH на члене домена. Если мы предположим, что SSH-сервер позволяет входить в систему с именем пользователя и паролем, он может передавать эту информацию на DC - и вуаля, вы можете подключаться с компьютеров, не принадлежащих домену, и входить в систему с именем пользователя и паролем.