Megosztás:

Hálózati biztonsági hitelesítő adatok kiválasztása

A szimbólumproxy-kiszolgálónak olyan biztonsági környezetből kell futnia, amely megfelelő jogosultságokkal rendelkezik a használni kívánt szimbólumtárolókhoz való hozzáféréshez. Ha egy külső webáruházból( például https://msdl.microsoft.com/download/symbols) szerez be szimbólumokat, a szimbólumproxy-kiszolgálónak a tűzfalakon kívülről kell elérnie az internetet. Ha a hálózat más számítógépéről szerez be fájlokat, a szimbólumproxy-kiszolgálónak megfelelő jogosultságokkal kell rendelkeznie a fájlok ezen helyekről való olvasásához. Két lehetőség közül választhat, ha a szimbólumproxy-kiszolgálót úgy állítja be, hogy az Hálózati szolgáltatás-fiókként hitelesítse magát, vagy hozzon létre egy olyan felhasználói fiókot, amelyet az Active Directory Domain Servicesben kezel más felhasználói fiókokkal együtt.

Megjegyzés Célszerű a fiók jogosultságait csak a fájlok olvasásához és a c:\symstore-ba másolásához szükséges jogosultságokra korlátozni. Ez a korlátozás megakadályozza, hogy a HTTP-tárolóhoz hozzáférő ügyfelek kárt tegyenek a rendszerben.

Megjegyzés Győződjön meg arról, hogy az itt bemutatott lehetőségeknek van értelme a környezetben. A különböző szervezetek különböző biztonsági igényekkel és követelményekkel rendelkeznek. Módosítsa az itt ismertetett folyamatot a szervezet biztonsági követelményeinek támogatásához.

Hitelesítés hálózati szolgáltatásként

A Network Service-fiók a Windowsba van beépítve, így nincs további lépés az új fiók létrehozására. Ebben a példában elnevezzük azt a számítógépet, amelyen a szimbólumproxy-kiszolgáló konfigurálva van, SymMachineName egy corpnevű tartományon.

A külső szimbólumtárolókat vagy internetes proxykat úgy kell konfigurálni, hogy lehetővé tegyék a számítógép Hálózati szolgáltatás fiókjának sikeres hitelesítését. Ennek kétféle módja van:

  • Hozzáférés engedélyezése a Hitelesített felhasználók csoporthoz a külső tárolóhoz vagy internetes proxyhoz.

  • Engedélyezze a hozzáférést a gépfiókhoz corp\SymMachineName$. Ez a beállítás biztonságosabb, mert csak a szimbólumproxy-kiszolgáló "Hálózati szolgáltatás" fiókjához korlátozza a hozzáférést.

Azonosítás tartományi felhasználóként

Ebben a példában feltételezzük, hogy a felhasználói fiók neve SymProxyUser egy corpnevű tartományon.

A felhasználói fiók hozzáadása a IIS_USRS csoporthoz

  1. Az Felügyeleti eszközök közül nyissa meg a Számítógép-kezelést.

  2. Bontsa ki Helyi felhasználók és csoportok.

  3. Kattintson a "Csoportok" elemre.

  4. Kattintson duplán a IIS_USRS a középső panelen, és válassza Tulajdonságoklehetőséget.

  5. A Tagok szakaszban kattintson a hozzáadása elemre.

  6. Írja be a corp\SymProxyUser kifejezést az objektum nevét tartalmazó mezőbe a kiválasztáshoz.

  7. Ha ki szeretne lépni a Felhasználók, számítógép vagy csoportok kijelölése párbeszédpanelről, kattintson OKgombra.

  8. Ha ki szeretne lépni IIS_USRS Tulajdonságok, kattintson OKgombra.

  9. Zárja be a Számítógép-kezelés konzolt.

Állítsa be az IIS-t a fiók használatához

  1. Nyissa meg a Rendszereszközök, majd az Internet Information Services (IIS) kezelőt.

  2. Nyissa meg webhelyek.

  3. Kattintson a jobb gombbal Alapértelmezett webhely elemre, és válassza a Tulajdonságoklehetőséget.

  4. Kattintson a Címtár biztonsági fülre.

  5. A Hitelesítés és hozzáférés-vezérlés szakaszban kattintson a Szerkesztés...elemre.

  6. Győződjön meg arról, hogy Névtelen hozzáférés engedélyezése be van jelölve.

  7. Adja meg annak a fióknak a hitelesítő adatait, amely engedéllyel rendelkezik a távoli szimbólumkiszolgáló-tároló(k) (corp\SymProxyUser) eléréséhez, majd kattintson OKgombra.

  8. Amikor a rendszer kéri, írja be újra a jelszót, majd kattintson OKgombra.

  9. Ha ki szeretne lépni Alapértelmezett webhelytulajdonságok, kattintson OKgombra.

  10. Előfordulhat, hogy megjelenik az Örökítés Felülírása párbeszédpanel. Ha igen, válassza ki, hogy mely virtuális könyvtárakra szeretné ezt alkalmazni.

Hitelesítés tartományi felhasználóként a IIS_WPG csoport használatával

Ebben a példában a felhasználói fiók neve SymProxyUser egy corpnevű tartományon. A felhasználói fiók hitelesítéséhez hozzá kell adni a IIS_WPG csoporthoz.

A felhasználói fiók hozzáadása a IIS_WPG csoporthoz

  1. Az Felügyeleti eszközök közül nyissa meg a Számítógép-kezelést.

  2. Bontsa ki Helyi felhasználók és csoportok.

  3. Kattintson a "Csoportok" elemre.

  4. Duplán kattintson a jobb oldali ablaktáblán található IIS_WPG elemen.

  5. Kattintson a gombra ahozzáadásához.

  6. Írja be a corp\SymProxyUser kifejezést az objektum nevét tartalmazó mezőbe a kiválasztáshoz.

  7. Ha ki szeretne lépni a Felhasználók, számítógép vagy csoportok kijelölése párbeszédpanelről, kattintson OKgombra.

  8. Ha ki szeretne lépni IIS_WPG Tulajdonságok, kattintson az OKgombra.

  9. Zárja be a Számítógép-kezelés konzolt.

  • Last updated on