Udostępnij za pośrednictwem

Usługi i przekierowane dyski

  • Artykuł

Usługa (lub dowolny proces uruchomiony w innym kontekście zabezpieczeń), który musi uzyskać dostęp do zasobu zdalnego, powinien używać nazwy Universal Naming Convention (UNC) w celu uzyskania dostępu do zasobu. Aby uzyskać dostęp do zasobu, usługa musi mieć odpowiednie uprawnienia. Jeśli usługa po stronie serwera używa połączenia RPC, delegowanie musi być włączone na serwerze zdalnym.

Litery dysku nie są globalne dla systemu. Każda sesja logowania otrzymuje własny zestaw liter dysku od A do Z. W związku z tym przekierowane dyski nie mogą być współużytkowane między procesami działającymi na różnych kontach użytkowników. Ponadto usługa (lub dowolny proces uruchomiony w ramach własnej sesji logowania) nie może uzyskać dostępu do liter dysku, które zostały ustanowione w innej sesji logowania.

Usługa nie powinna bezpośrednio uzyskiwać dostępu do zasobów lokalnych lub sieciowych za pośrednictwem zamapowanych liter dysku ani wywołać net użyć polecenia mapowania liter dysku w czasie wykonywania. Polecenie net use nie jest zalecane z kilku powodów:

  • Mapowania dysków istnieją w kontekstach logowania, więc jeśli aplikacja jest uruchomiona w kontekście konta usługi lokalnej , wszystkie inne usługi uruchomione w tym kontekście mogą mieć dostęp do zamapowanego dysku.
  • Jeśli usługa udostępnia jawne poświadczenia do net use polecenia, te poświadczenia mogą być przypadkowo współużytkowane poza granicami usługi. Zamiast tego usługa powinna używać personifikacji klienta, aby personifikować użytkownika.
  • Wiele usług działających w tym samym kontekście może zakłócać wzajemnie działanie. Jeśli obie usługi wykonują jawne net use i podać te same poświadczenia w tym samym czasie, jedna usługa zakończy się niepowodzeniem z powodu błędu "już połączone".

Ponadto usługa nie powinna używać funkcji sieciowych systemu Windows do zarządzania zamapowanych liter dysku. Mimo że funkcje sieci WNet mogą zostać zwrócone pomyślnie, wynikowe zachowanie nie jest tak zamierzone. Gdy system ustanawia przekierowany dysk, jest przechowywany na podstawie poszczególnych użytkowników. Tylko użytkownik może zarządzać przekierowanym dyskiem. System śledzi przekierowane dyski na podstawie identyfikatora zabezpieczeń logowania użytkownika (SID). Identyfikator SID logowania jest unikatowym identyfikatorem sesji logowania użytkownika. Jeden użytkownik może mieć wiele równoczesnych sesji logowania w systemie.

Jeśli usługa jest skonfigurowana do uruchamiania w ramach konta użytkownika, system zawsze tworzy nową sesję logowania dla użytkownika i uruchamia usługę w tej nowej sesji logowania. W związku z tym usługa nie może zarządzać mapowaniami dysków ustanowionych w innych sesjach użytkownika.

Windows Server 2003: Na komputerze z wieloma interfejsami sieciowymi (czyli wieloadresowymi), opóźnienia do 60 sekund mogą wystąpić podczas korzystania ze ścieżek UNC w celu uzyskania dostępu do plików przechowywanych na serwerze bloku komunikatów serwera zdalnego (SMB).