1

В настоящее время я работаю с двумя серверами Windows 2008, каждый из которых работает в совершенно разных доменах без возможности установить доверительные отношения между ними.

То, что мне нужно, чтобы найти способ сделать это иметь службу на "Контроллере домена А", способную записывать на файловый ресурс на "Домене Б".

Я могу подключить диск с контроллера домена A к "домену B" (\\Folder), используя учетную запись из домена B (Domain_B\Account). Однако я не могу запустить службу на контроллере домена A под этой учетной записью, так как Domain_B\Account не может быть аутентифицирована им.

Есть ли способ сделать это, кроме установки разрешений «\\Folder», чтобы разрешить чтение / запись для EVERYONE аккаунта, что я неохотно делаю по очевидным причинам безопасности?

1 ответ1

0

Одно из решений:

(Обратите внимание, что это не будет работать на контроллере домена, так как они не различают AD и локальные имена входа на контроллере домена)

  1. Создайте локального пользователя на компьютере A, т.е. ComputerA\SharedServiceUser
  2. Создайте локального пользователя на компьютере B с точно таким же именем пользователя и паролем, например ComputerB\SharedServiceUser
  3. Установите разрешения для общего ресурса на компьютере B для локального пользователя, созданного на компьютере B
  4. Установите службу на ComputerA для запуска в качестве локального пользователя на ComputerA

Это работает, потому что хеши паролей Windows не солят. Поэтому, когда служба на ComputerA передает свою идентификационную информацию по сети как.\SharedServiceUser с Hash в качестве пароля соответствует идентификатору локального пользователя на ComputerB.\SharedServiceUser

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .