Nastavení přístupu k souborům
Přístup služeb k síti a síťovým sdílením
Tento článek vysvětluje, jak se služby Windows autentizují při přístupu k síti a jak nastavit oprávnění, aby náš servisní software mohl přistupovat k síťovým složkám (UNC cestám).
Proč je to důležité
Naše datová služba:
přijímá název souboru od webového klienta, který jej podle konfiguračních pravidel upravil tak, aby byl soubor přístupný,
přistupuje k souboru a odesílá jej na web.
Aby služba mohla číst/zapisovat na síťové úložiště, musí mít k síti správnou identitu a oprávnění.
Mapované disky (S:, T: atd.) služba nevidí – proto se musí převést na UNC cesty. A naopak UNC cesty na vlastní disky služba nevidí, nebo musí procházet síťovou vrstvou, proto je vhodné převést je na místní disky.
Nastavení překladu písmen síťových disků na síťové jména a naopak najdete na Inuwebu v Nastavení / Systém / Přístup k dokumentům mimo databázi.
Syntaxe zadávání je písmeno disku := síťová cesta. Používáte-li více síťových složek a písmen, oddělte je od sebe středníkem. Příklad:
S:=\\fileserver\dokumenty; P:=\\fileserver2\DokumentyAby byl přístup k souborům možný, možná bude nutné změnit účet, pod kterým služba běží.
Naše služby mají název, který začíná qpDataService_ a za ním následuje inuweb adresa a sériové číslo Heliosu pro které je služba instalována. Nastavte práva pro příslušnou službu, abyste mohli mít přístup k souborům z webu.
qpDataService_inuweb_eu_for_HEOR0400_00XXX
qpDataService_inuweb_eu_for_HEOR0400_00XXYDalší část popisuje tyty možných účtů a jejich práva.
Účty, pod kterými může služba běžet
LocalSystem (NT AUTHORITY\SYSTEM)
Plná práva (ekvivalent administrátora)
Anonymní → většinou odmítnuto
Přístup jako DOMAIN\COMPUTERNAME$ (počítačový účet)
V doméně lze dát práva počítači, mimo doménu téměř nepoužitelné pro sdílení
NetworkService (NT AUTHORITY\NETWORK SERVICE)
Minimální lokální práva
Anonymní
Přístup jako DOMAIN\COMPUTERNAME$
Podobné LocalSystem, ale menší lokální oprávnění
LocalService (NT AUTHORITY\LOCAL SERVICE)
Minimální lokální práva
Anonymní
Anonymní
Vhodné jen pro služby bez přístupu k síti
Doménový uživatel (DOMAIN\Uzivatel)
Podle nastavení účtu
Přístup jako tento uživatel
Přístup jako tento uživatel
Doporučeno pro doménové prostředí – plná kontrola oprávnění
Místní uživatel (PCNAME\Uzivatel)
Podle nastavení účtu
Funguje, pokud cílový server má stejné jméno+heslo
Funguje, pokud cílový server má stejné jméno+heslo
Vhodné pro malé sítě bez domény
Doporučené nastavení podle prostředí
1. Prostředí s doménou
Vytvořte doménový servisní účet (např.
DOMAIN\Svc_FileSync).Nastavte službu, aby běžela pod tímto účtem.
Na cílovém serveru dejte tomuto účtu práva Read/Write na požadovaném share (NTFS i Share permissions).
Výhody:
Jednoduchá správa oprávnění v AD.
Funguje napříč všemi servery v doméně.
2. Prostředí bez domény (Workgroup)
Na všech serverech, ke kterým služba potřebuje přistupovat, vytvořte místní účet se stejným jménem a heslem.
Nastavte službu, aby běžela pod tímto účtem.
Na sdílených složkách nastavte tomuto účtu práva Read/Write.
UNC vs. lokální cesta na stejném serveru
Pokud UNC cesta (\\mujserver\share) ukazuje na stejný server, na kterém běží služba, doporučujeme ji přemapovat na lokální cestu (D:\share).
Důvody:
Spolehlivost přístupu
Lokální cesta obejde síťový stack a nevyžaduje oprávnění na sdílení – využívá jen NTFS oprávnění.
Funguje i s účty, které by přes SMB selhaly (např. LocalSystem mimo doménu).
Výkon
Lokální cesta pracuje přímo s NTFS, bez síťového protokolu.
Nižší režie, rychlejší čtení/zápis.
Menší závislost na síťové konfiguraci
Nepotřebujete povolené SMB ani řešit firewall.
Nevznikají problémy s Kerberos/NTLM autentizací.
Postup:
V konfiguraci definujte mapu UNC → lokální cesta:
\\mujserver\cesta1=D:\public\cesta1
Jak zjistit, pod kým služba přistupuje k síti
Spusťte tyto příkazy v kontextu účtu služby:
whoami /all # zobrazí účty a skupiny
klist # zobrazí Kerberos ticket (v doméně)Last updated
Was this helpful?