/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accou mówi:
System lokalny: całkowicie zaufane konto, więcej niż konto administratora. Na jednym pudełku nie ma nic, czego to konto nie może zrobić i ma prawo dostępu do sieci jako komputera (wymaga to usługi Active Directory i przyznania uprawnień konta na komputer do czegoś) ”
http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Przygotowanie do instalacji SQL Server 2000 (64-bit) - Tworzenie kont usług Windows) mówi:
„ Lokalne konto systemowe nie wymaga hasła, nie ma praw dostępu do sieci i ogranicza instalację programu SQL Server do interakcji z innymi serwerami ”.
http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (konto LocalSystem, data kompilacji: 8/5/2010) mówi:
„ Konto LocalSystem jest predefiniowanym kontem lokalnym używanym przez menedżera sterowania usługami. Konto to nie jest rozpoznawane przez podsystem zabezpieczeń , więc nie można podać jego nazwy w wywołaniu funkcji LookupAccountName. Ma szerokie uprawnienia na komputerze lokalnym oraz działa jako komputer w sieci. Jego token zawiera identyfikatory SID NT \ AUTHORITY \ SYSTEM i BUILTIN \ Administrators ; konta te mają dostęp do większości obiektów systemowych. Nazwa konta we wszystkich lokalizacjach to. \ LocalSystem . Nazwa, LocalSystem lub ComputerName Można także użyć \ LocalSystem . To konto nie ma hasła. Jeśli podasz LocalSystem konto w wywołaniu funkcji CreateService, wszelkie podane przez Ciebie informacje o haśle są ignorowane ”
http://technet.microsoft.com/en-us/library/ms143504.aspx (Konfigurowanie kont usług Windows) mówi:
System lokalny to bardzo wysoko uprzywilejowane konto wbudowane. Ma szerokie uprawnienia w systemie lokalnym i działa jako komputer w sieci. > Rzeczywista nazwa konta to „NT AUTHORITY \ SYSTEM”.
Dobrze znane identyfikatory zabezpieczeń w systemach operacyjnych Windows ( http://support.microsoft.com/kb/243330 ) w ogóle nie mają SYSTEMU (tylko „ SYSTEM LOKALNY ”)
Mój system Windows XP Pro SP3 (z konfiguracją MS SQL Server , programistą w grupie roboczej ) ma SYSTEM, ale nie LocalSystem lub „ Local System ”.
PYTANIA:
Czy ktoś może usunąć ten bałagan?
Możliwe jest spalanie godzin po godzinach, dzień po dniu, czytając dokumenty MS, aby zebrać coraz więcej sprzeczności i nieporozumień ...
1) Czy uprawnienia LocalSystem mają dostęp do sieci, czy nie? Jaki jest mechanizm?
2) Czy SYSTEM i LocalSystem (i „System lokalny”) są synonimami?
Dlaczego zostały wprowadzone?
Jakie są różnice między SYSTEMEM a Systemem lokalnym
----------
Aktualizacja 1:
Cześć, sysamin1138!
Twoje odpowiedzi dodają jeszcze więcej zamieszania, jeśli porównasz je z obserwowaną rzeczywistością, na przykład z faktem, że zainstalowany system Windows Fresh lub grupa robocza Windows XP Pro SP3 ma tylko SYSTEM (ale nie LocalSystem).
Sysadmin138 napisał:
- „Różne zasady bezpieczeństwa dla podobnych problemów, które pozwalają na nieco bardziej szczegółowy projekt bezpieczeństwa. Jedna jest tylko lokalna, druga ma widoczność domeny.”
Czy to zdanie oznacza, że LocalSystem jest dodawany po dołączeniu komputera do domeny?
Czy należy rozumieć, że SYSTEM służy do dostępu „lokalnego” / wewnętrznego i dla grup roboczych (identyfikacja komputera), a LocalSystem do identyfikacji komputera w domenie?
----------
Aktualizacja 2: ta sama grupa robocza Windows XP Pro SP3, jeśli nie określono inaczej
Cześć, Sysadmin1138 , w twojej edycji
„Po prostu w tym przypadku SYSTEM i NT Authority / SYSTEM mają równoważne zdolności”,
w jaki sposób są one (NT Authority / SYSTEM i SYSTEM) powiązane z LocalSystem? Czy nie pomyliłeś jednego z nich z LocalSystem?
Greg Askew,
„Pamiętaj, że jeśli skonfigurujesz usługę do logowania jako. \ LocalSystem, nadal będzie wyglądać jak zalogowany jako NT AUTHORITY \ SYSTEM w Process Explorer lub System w Task Manager”
To jest trochę bliżej. Nie mogę wybrać LocalSystem w ramach premii NTFS / share, listy RunAs. Ale w services.msc usługa „SQL Server (MS SQL SERVER)” -> kliknij dwukrotnie lub rc -> Właściwości ---> zakładka „Logo włączone jako:” ma radiobuttom „Lokalne konto systemowe”. Ta usługa pojawia się następnie w Menedżerze zadań Windows jako SYSTEM
Greg Askew i sysadmin1138 ,
Nigdzie nie pojawia się „NT AUTHORITY” lub dowolny „xxx \” . Wszystkie nazwy kont są oznaczone pojedynczą etykietą. Uwaga: jest to komputer grupy roboczej z systemem Windows XP. Chociaż uruchamiam wystąpienie programu ADAM (tryb aplikacji usługi Active Directory).
Wydaje mi się, że „NT AUTHORITY” pochodzi ze słynnego „podsystemu bezpieczeństwa”, którego nie ma w grupie roboczej (?) Czy „NT Authority” pojawi się, jeśli przyłączę komputer do domeny?
Lista uprawnień NTFS / share ma 2 kolumny:
- Kolumna „Nazwa (RDN)” z nazwami kont o pojedynczej etykiecie
- Kolumna „W folderze” posiadająca MyCompName (np. Administrator, administratorzy, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER itp.) Lub pusta (np. W przypadku ANONIMOWEGO LOGOWANIA, uwierzytelnionych użytkowników, GRUPY CREATOR, SERWISU WŁAŚCICIELA, SIECI , SIECI) SYSTEM itp.).
Te pierwsze mają również synonimy kodowania jako „MyCompName \ xxxx” lub „. \ Xxx” (tj.
- SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
- = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
- =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)
Czy możesz zsynchronizować swoje odpowiedzi w kontekście http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (SID maszyn i SID domen)?
----------
Aktualizacja 3: ta sama grupa robocza Windows XP Pro SP3, jeśli nie określono inaczej
Cześć, Sysadmin1138 ,
A jak zobaczyć historię edycji? i dereferencji SID?
Przełom! cacls pokazuje „NT Authority \ SYSTEM” ...
Chociaż w przypadku usług wszystko jest odwrotnie: wszystkie usługi są wyświetlane w zakładce „Logowanie”
- przycisk radiowy „Lokalne konto systemowe”, którego wynikiem jest SYSTEM w WIndowsTaskManager i
- przycisk radiowy „To konto” -> btn „Przeglądaj ...”, który nie pokazuje konta SYSTEM na liście
Przepraszamy za poświęcony czas, ale nie mogłem jeszcze dostać się do żadnego lokalnego systemu w Windows XP! LocalSystem nie pojawia się nigdzie w XP! ale problem polegający na tym, że wszystkie dokumenty MS występują tylko w systemie lokalnym ...
BTW, http://support.microsoft.com/kb/120929 („Jak używane jest konto systemowe w systemie Windows”) informuje, że SYSTEM służy do wewnętrznego rejestrowania usług na komputerze, a niespodzianka „ZASTOSOWANIE” do wszystkich systemów Windows NT Workstation 3.1 do Windows Server 2003 z wyjątkiem Windows XP (?!).
Czy Windows XP jest jakąś anomalią w linii Windows?
----------
Update4: ta sama grupa robocza Windows XP Pro SP3, jeśli nie określono inaczej
Nie mogłem wykryć żadnego lokalnego systemu (tylko „system lokalny” wymieniony w tekście do przycisku usług LogOn) w systemie Windows XP, chociaż wszystkie dokumenty MS zwykle mieszkają tylko w systemie lokalnym, ale nie w SYSTEMIE. Odpowiedziałem na to pytanie, rozumiejąc dla mnie, że Windows XP jest anomalią / wyjątkiem w systemach operacyjnych Windows z pewnym błędem użyteczności GUI i powinienem zgadywać, jak wyglądałby scenariusz w innym systemie Windows (za pomocą odpowiedzi tutaj) )
Jeśli to nie jest poprawne, możesz udowodnić / podzielić się innym punktem widzenia
Aktualizacja 5: ta sama grupa robocza Windows XP Pro SP3, jeśli nie określono inaczej
Venceremos!
Znalazłem „System lokalny” w Windows XP! Jest pokazany w kolumnie „Zaloguj się jako” w services.msc!