Mit AD User auf Fileshare von PC aus der nicht im AD ist...



  • Folgende Situation:

    Server (A), welcher in einer DMZ steht, und daher nicht im AD hängt. Dieser Server muss nun auf einen anderen Server (B) zugreifen, welcher aber schon im AD hängt. Schön wäre nun wenn A diesen Zugriff z.B. mit den Credentials "FOO\Bar, Passwort" (bzw. "Bar@foo.xyz, Passwort") machen könnte, und zwar von einem Programm aus welches wir selbst schreiben (C++, Service). Zusätzlich muss von einem anderen Server aus der IIS noch ähnliches machen, da muss ich sehen wie ich das hinbekomme - ist das nächste Problem.

    Die Frage ist nun: wie bekommt man das am einfachsten hin. Laufwerde mappen fällt flach, da das Service ja auch laufen soll wenn sich nach dem Boot noch nie irgendein User eingeloggt hat. Was auch nicht geht ist LogonUser + ImpersonateLoggedOnUser.

    Hab' jetzt gesehen dass man auch ohne Laufwerke zu mappen mit "net use \\server-b\sharename password /USER:Bar@foo.xyz" machen kann, so dass er dann einfach immer diese Credentials verwendet um auf die Share auf dem Rechner hinzugreifen. Kann ich das irgendwie programmatisch machen? Oder kann man dem Server A u.U. sogar beibringen sich das zu merken und bei jedem Boot selbst zu machen? Und kann ich den Sharenamen weglassen, so dass das für alle Shared gilt? (Letzteres konnte ich noch nicht ausprobieren, mach ich dann morgen.)

    Oder, ganz anders gedacht, kann man dem AD irgendwie beibringen dass es einen Computer der NICHT im AD hängt als "User" akzeptiert, bzw. manuell ein Computerkonto mit der passenden SID anlegen? Und reicht das dann damit der Server A auf B zugreifen kann?

    p.S.: falls das hier nicht hinpasst (muss ja keine programmatische Lösung werden, bzw. ich wäre sogar froh wenn es keine würde) bitte entsprechend verschieben.



  • push


Log in to reply