Je ne comprends pas bien comment le compte (groupe ?) NETWORK SERVICE fonctionne sur les partages réseau :
D'une part, le SERVICE RÉSEAU est généralement décrit comme un compte local à une machine donnée. (Voir, par exemple, ici sur serverfault ou dans le site de Microsoft Contrôle d'accès dans IIS 6.0 document.) Il ne s'agit donc pas d'un compte à l'échelle du domaine. Et, par exemple, si un processus s'exécutant sous NETWORK SERVICE sur SERVERA essaie de demander une ressource sur SERVERB, l'authentification ne se fera pas sous un hypothétique MYDOMAIN \NETWORK SERVICE, mais plutôt sous MYDOMAIN \SERVERA $. (Ce dernier est appelé le "compte informatique" de SERVERA).
D'autre part, j'ai remarqué que je peux me rendre sur un partage de fichiers distant où j'ai des droits d'administrateur, et définir des autorisations sur un répertoire particulier pour le SERVICE RÉSEAU. (par exemple, je peux accéder à \\MYSHARE dans l'Explorateur Windows, cliquez avec le bouton droit de la souris sur l'un des répertoires, allez dans Sécurité > Édition > Ajouter, tapez "NETWORK SERVICE" dans la case "Entrez les noms d'objets à sélectionner" et cliquez sur OK. Maintenant, j'ai une nouvelle entrée SERVICE RÉSEAU dans la liste des "Noms de groupes ou d'utilisateurs", et je peux modifier les permissions pour celui-ci, tout comme je pourrais modifier les permissions pour le groupe "Utilisateurs").
Si NETWORK SERVICE est strictement un compte machine par machine, je ne comprends pas ce qui est censé se passer lorsque je crée un ensemble de permissions pour NETWORK SERVICE sur un partage distant. Cette entrée fait-elle référence à NETWORK SERVICE sur une machine particulière (non spécifiée) ? D'après l'icône, les autorisations sont techniquement destinées à un SERVICE RÉSEAU. groupe plutôt qu'un SERVICE RÉSEAU utilisateur . Mais je n'arrive pas à trouver de documentation sur un SERVICE RÉSEAU. groupe ou comment il pourrait fonctionner par rapport à un groupe de domaine ordinaire.
Ma seule supposition jusqu'ici est que, si vous autorisez l'accès au SERVICE RÉSEAU groupe (en supposant que cela existe), cela revient à accorder un accès à tous les "comptes d'ordinateur" sur l'ensemble du domaine. (C'est-à-dire que donner des permissions à NETWORK SERVICE sur un serveur de fichiers central reviendrait à donner des permissions à MYDOMAIN \SERVERA $, MYDOMAIN \SERVERB $, MYDOMAIN \SERVERC $, ..., MONDOMAINE \MYLASTSERVER $.)
0 votes
Je ne vois pas de question réelle quelque part là-dedans Peut-être serait-il utile d'expliquer exactement ce que vous essayez d'accomplir ?
1 votes
Le titre du post est la question. Mais pour être plus précis, il y a cette chose qui est possible (donner des permissions pour quelque chose à NETWORK SERVICE), et la question est de savoir ce que cela fait, étant donné que NETWORK SERVICE est un compte spécial. Je n'avais pas quelque chose de particulier à accomplir ; j'étais juste curieux de savoir si cela pouvait m'aider à accomplir quelque chose dans le futur.
0 votes
Ah ; bien, cela rend la situation plus claire. Avoir un +1
0 votes
Ce n'est pas parce que vous puede faire quelque chose, il ne s'ensuit pas logiquement qu'il soit jamais utile de le faire. (Bien que dans cet exemple particulier, il puisse y avoir quelques cas limites).