Вы не должны настраивать инфраструктуру сервера/клиента для использования марионетки, и при этом у Вас не должно быть выполнения puppetmaster демон. Можно указать на puppetd непосредственно на ряд файлов манифеста для сервера, и это счастливо настроит вещи для Вас.
Your solution of setting explicit permissions will work - for about a week until someone creates a new file with explicit permissions.
Have you considered adding your crawler account to the domain backup operators group? that should get it read access to any file on a domain file server.