Можно ли разрешить пользователю домена A писать на файловом ресурсе домена B без доверительных отношений?

В настоящее время я работаю с двумя серверами Windows 2008, каждый из которых работает на совершенно разных доменах без возможности установить доверительные отношения между ними.

Что мне нужно, чтобы найти способ сделать это иметь службу на "Контроллере домена A", способную записывать на файловый ресурс на "Домене B".

Я могу подключить диск с контроллера домена A к "домену B" (\\Folder), используя учетную запись из домена B (Domain_B\Account). Однако я не могу запустить службу на контроллере домена A под этой учетной записью, так как Domain_B \ Account не может быть аутентифицирована им.

Есть ли способ сделать это, кроме установки разрешений "\\ Папка", чтобы разрешить чтение / запись для EVERYONE аккаунт, который я неохотно делаю по очевидным причинам безопасности?

Источник

1 ответ

Одно из решений:

(Обратите внимание, что это не будет работать на контроллере домена, так как они не различают AD и локальные имена входа на контроллере домена)

  1. Создайте локального пользователя на компьютере A, т.е. Computer A\SharedServiceUser
  2. Создайте локального пользователя на компьютере B с точно таким же именем пользователя и паролем, т.е. ComputerB\SharedServiceUser
  3. Установите разрешения для общего ресурса на компьютере B для локального пользователя, созданного на компьютере B
  4. Установите службу на Computer A для запуска в качестве локального пользователя на Computer A

Это работает, потому что хеши паролей Windows не солят. Поэтому, когда служба на Computer A передает свою идентификационную информацию по сети как.\SharedServiceUser с Hash в качестве пароля, она совпадает с локальной идентификационной информацией пользователя на ComputerB .\SharedServiceUser

Источник
Другие вопросы по тегам