Layanan dan Drive yang Dialihkan
Layanan (atau proses apa pun yang berjalan dalam konteks keamanan yang berbeda) yang harus mengakses sumber daya jarak jauh harus menggunakan nama Universal Naming Convention (UNC) untuk mengakses sumber daya. Layanan harus memiliki hak istimewa yang sesuai untuk mengakses sumber daya. Jika layanan sisi server menggunakan koneksi RPC, delegasi harus diaktifkan di server jarak jauh.
Huruf kandar tidak global ke sistem. Setiap sesi masuk menerima serangkaian huruf kandarnya sendiri dari A ke Z. Oleh karena itu, drive yang dialihkan tidak dapat dibagi antara proses yang berjalan di bawah akun pengguna yang berbeda. Selain itu, layanan (atau proses apa pun yang berjalan dalam sesi masuknya sendiri) tidak dapat mengakses huruf drive yang ditetapkan dalam sesi masuk yang berbeda.
Layanan tidak boleh langsung mengakses sumber daya lokal atau jaringan melalui huruf drive yang dipetakan, juga tidak boleh memanggil perintah penggunaan bersih untuk memetakan huruf kandar pada durasi. Perintah penggunaan bersih tidak disarankan karena beberapa alasan:
- Pemetaan drive ada di seluruh konteks masuk, jadi jika aplikasi berjalan dalam konteks akun LocalService, maka layanan lain yang berjalan dalam konteks tersebut mungkin memiliki akses ke drive yang dipetakan.
- Jika layanan memberikan kredensial eksplisit ke perintah penggunaan bersih , kredensial tersebut mungkin secara tidak sengaja dibagikan di luar batas layanan. Sebagai gantinya, layanan harus menggunakan peniruan klien untuk meniru pengguna.
- Beberapa layanan yang berjalan dalam konteks yang sama dapat mengganggu satu sama lain. Jika kedua layanan melakukan penggunaan bersih eksplisit dan memberikan kredensial yang sama secara bersamaan, satu layanan akan gagal dengan kesalahan "sudah terhubung".
Selain itu, layanan tidak boleh menggunakan Fungsi Jaringan Windows untuk mengelola huruf kandar yang dipetakan. Meskipun fungsi WNet dapat berhasil dikembalikan, perilaku yang dihasilkan tidak seperti yang diinginkan. Ketika sistem membuat drive yang dialihkan, itu disimpan berdasarkan per pengguna. Hanya pengguna yang dapat mengelola drive yang dialihkan. Sistem melacak drive yang dialihkan berdasarkan pengidentifikasi keamanan masuk (SID) pengguna. SID masuk adalah pengidentifikasi unik untuk sesi masuk pengguna. Satu pengguna dapat memiliki beberapa sesi masuk simultan pada sistem.
Jika layanan dikonfigurasi untuk berjalan di bawah akun pengguna, sistem selalu membuat sesi masuk baru untuk pengguna dan memulai layanan di sesi masuk baru tersebut. Oleh karena itu, layanan tidak dapat mengelola pemetaan drive yang ditetapkan dalam sesi pengguna lainnya.
Windows Server 2003: Pada komputer yang memiliki beberapa antarmuka jaringan (yaitu, komputer multihomed), penundaan hingga 60 detik dapat terjadi saat menggunakan jalur UNC untuk mengakses file yang disimpan di server blok pesan server jarak jauh (SMB).
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk