Назад | Перейти на главную страницу

Как установить разрешения для общих сетевых ресурсов, чтобы разрешить доступ к учетной записи SYSTEM в кластере серверов?

Я хочу обмениваться общими данными в кластере серверов через общие сетевые ресурсы. На каждом сервере будет одна общая папка, к которой будут иметь доступ все остальные серверы. Серверные процессы, которые будут обращаться к этим данным, в настоящее время работают как SYSTEM. Я хотел бы ограничить разрешения для этих папок, чтобы только процессы, запущенные на других серверах в кластере, могли получить доступ к общему ресурсу. Я НЕ хочу, чтобы общие сетевые ресурсы были доступны кому-либо еще в домене (кроме, возможно, администраторов, которые в любом случае могут удаленно подключаться к серверам).

Как мне настроить разрешения для общих файловых ресурсов для этого? Можно ли это сделать, если серверные процессы работают как СИСТЕМА? Если нет прямого способа сделать это, есть ли какие-то лучшие практики?

Мы работаем под управлением Windows Server 2008 R2.

Спасибо Джефф

Кратко, шаг за шагом:

  • Создайте группу и сделайте учетные записи компьютеров AD для компьютеров кластера, входящих в эту группу.

  • Установите разрешения NTFS для папки на «СИСТЕМА / Полный доступ», «МАШИНА \ Администраторы / Полный доступ» и «Группа членов кластера / Полный доступ». (Я всегда включаю «МАШИНА \ Администраторы» и «СИСТЕМА» с «Полный доступ» практически в каждое применяемое мной разрешение. Назовите это силой привычки ...)

  • Откройте общий доступ к папке и установите для параметра «Разрешение общего доступа» значение «Все / Полный доступ». Это фактически сводит на нет эту «особенность». Разрешения NTFS обеспечат необходимую безопасность.

  • Вы в бизнесе.

Я считаю, что это можно сделать, если сервисы будут работать не как SYSTEM, а как NetworkService (1). Это позволяет службе использовать учетную запись Active Directory компьютера в сети. Как только вы это сделаете, вы можете создать группу AD, содержащую учетные записи машин серверов, которым нужен доступ к общему ресурсу. Затем вы можете установить разрешения для общего доступа, чтобы разрешить доступ только из этой созданной группы. Для дополнительной защиты вы также можете установить разрешения NTFS, чтобы разрешить изменение из этой одной группы, администраторов и ничего больше.

(1) Я удален, это можно сделать с помощью чистой СИСТЕМЫ. Будет дважды проверять, когда у меня будет пропускная способность