Поделиться через

Службы и перенаправленные диски

  • Статья

Служба (или любой процесс, выполняемый в другом контексте безопасности), которая должна получить доступ к удаленному ресурсу, должна использовать имя универсального соглашения об именовании (UNC) для доступа к ресурсу. Служба должна иметь соответствующие привилегии для доступа к ресурсу. Если серверная служба использует подключение RPC, делегирование должно быть включено на удаленном сервере.

Буквы диска не являются глобальными для системы. Каждый сеанс входа получает собственный набор букв диска от A до Z. Таким образом, перенаправленные диски нельзя совместно использовать между процессами, выполняемыми в разных учетных записях пользователей. Кроме того, служба (или любой процесс, выполняемый в рамках собственного сеанса входа), не может получить доступ к буквам диска, установленным в другом сеансе входа.

Служба не должна напрямую обращаться к локальным или сетевым ресурсам через сопоставленные буквы дисков, а также не вызывать команду net use для сопоставления букв дисков во время выполнения. Команда net use не рекомендуется по нескольким причинам:

  • Сопоставления дисков существуют в контексте входа, поэтому если приложение работает в контексте учетной записи localService localService, то любая другая служба, запущенная в этом контексте, может иметь доступ к сопоставленным дискам.
  • Если служба предоставляет явные учетные данные для команды net use, эти учетные данные могут быть непреднамеренно общими за пределами границ службы. Вместо этого служба должна использовать олицетворение клиента для олицетворения пользователя.
  • Несколько служб, работающих в одном контексте, могут мешать друг другу. Если обе службы выполняют явные чистого использования и предоставляют одни и те же учетные данные одновременно, одна служба завершится ошибкой "уже подключен".

Кроме того, служба не должна использовать сетевые функции Windows для управления сопоставленными буквами дисков. Хотя функции WNet могут быть успешно возвращены, результирующее поведение не так предназначено. Когда система устанавливает перенаправленный диск, он хранится на основе каждого пользователя. Только пользователь может управлять перенаправленным диском. Система отслеживает перенаправленные диски на основе идентификатора безопасности входа пользователя. Идентификатор безопасности входа — это уникальный идентификатор сеанса входа пользователя. Один пользователь может иметь несколько одновременных сеансов входа в систему.

Если служба настроена для запуска под учетной записью пользователя, система всегда создает новый сеанс входа для пользователя и запускает службу в этом новом сеансе входа. Поэтому служба не может управлять сопоставлениями дисков, установленными в других сеансах пользователя.

Windows Server 2003: На компьютере с несколькими сетевыми интерфейсами (т. е. многодоменным компьютером), задержки до 60 секунд могут возникать при использовании UNC-путей для доступа к файлам, хранящимся на сервере удаленного блока сообщений сервера (SMB).