Як надати мережевий доступ до облікового запису LocalSystem?


65

Як ви надаєте доступ до мережевих ресурсів до LocalSystemоблікового запису (NT AUTHORITY \ SYSTEM)?


Фон

Під час доступу до мережі обліковий запис LocalSystem виконує функції комп'ютера в мережі :

Обліковий запис LocalSystem

Обліковий запис LocalSystem - це попередньо визначений локальний обліковий запис, який використовується менеджером управління послугами.

... і виступає в ролі комп'ютера в мережі.

Або знову сказати те саме: Обліковий запис LocalSystem виконує функції комп'ютера в мережі :

Коли служба працює під обліковим записом LocalSystem на комп'ютері, що є членом домену, служба має будь-який доступ до мережі до облікового запису комп'ютера або до будь-яких груп, до яких входить обліковий запис комп'ютера.

Як можна надати " комп'ютеру " доступ до спільної папки та файлів?


Примітка :

Зазвичай комп’ютерні акаунти мають мало привілеїв і не належать до груп.

Тож як я можу надати комп’ютеру доступ до однієї з моїх акцій; вважаючи, що " Усі " вже мають доступ?

Примітка : робоча група

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |

Це питання трохи пов'язане з попереднім питанням, пов’язаним із забезпеченням анонімного доступу до акції - принаймні, здається, що його можна вирішити за допомогою анонімно доступної спільної доступу.
CodeFox

Відповіді:


59

У доменному середовищі ви можете надати права доступу до облікових записів комп'ютерів; це стосується процесів, що працюють на цих комп’ютерах як ( LocalSystemабо NetworkServiceне LocalService, які представляють анонімні облікові дані в мережі) під час їх підключення до віддалених систем.

Отже, якщо у вас є комп'ютер під назвою MANGO, у вас буде викликаний обліковий запис комп'ютера Active Directory MANGO$, на який ви можете надати дозволи.

введіть тут опис зображення

Примітка . Ви не можете робити нічого цього в середовищі робочої групи; це стосується лише доменів.


6
+1 та прийнято. Але: LocalService може отримати доступ до мережі, вона просто "представляє анонімні облікові дані в мережі" ( msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx )
Ian Boyd,

Зазначимо, витративши несуттєву кількість часу, намагаючись змусити це працювати для кількох доменів, я не думаю, що це можливо. тобто \\ DOMAIN2 \ MANGO $ не надає доступу.
BennyB

Це працює лише в тому випадку, якщо домени перебувають у довірчих відносинах; в іншому випадку ви маєте рацію, це не працює.
Массімо

Я думав, що щоденні групи включають аутентифікованих користувачів, а також акаунт local_service та local_system?
kakacii

Зауважте, що LocalSystemтакож можна отримати доступ до всього, що може будь-який інший процес. Таким чином, він може красти облікові дані користувачів, які ввійшли в систему.
Демі

4

Ви цього не робите. Якщо вам потрібна послуга для підключення до віддалених файлів або інших мережевих служб, тоді ви хочете, щоб служба запускалася як іменований обліковий запис, а на віддаленій машині було призначено права на цей іменований обліковий запис.

Було б найкраще, якби ви повністю пояснили, що ви намагаєтесь зробити - таким чином ви отримаєте найкращі відповіді.


6
Зовсім неправильно. Ви можете надавати дозволи машинним обліковим записам (і, таким чином, службам, що працюють під ними) точно так само, як ви можете надати їм облікові записи користувачів. Звичайно, є сценарії, де це може бути не найкращим рішенням, але це цілком можливо.
Массімо

1
Відповідь виглядала саме так, це і є причиною мого протистояння; Крім того, оригінальний плакат, здається, добре знає різницю між обліковим записом користувача та комп'ютером, тому відповісти на його запитання "не робити цього" мені просто не здавалося правильним.
Массімо

1
Крім того, існують дуже законні сценарії, коли потрібно надання дозволів на машинні рахунки. Подумайте лише про сценарії запуску комп'ютера або розгортання програмного забезпечення GPO або послуги, які просто хочуть працювати як LocalSystem, і ви нічого не можете з цим зробити. Я не кажу, що це, звичайно, найкраща практика чи "правильне рішення"; але якщо хтось запитує "як це зробити?" Я думаю, що "не роби цього", безумовно, не є правильною відповіддю.
Массімо

1
У середовищі робочої групи, ви не можете призначити права на MachineB до облікового запису користувача , визначеної на machineâ ... крім того, він спеціально просив , як призначати права на MASCHINE рахунок, так це те, що я відповів; і я також сказав, що це неможливо без домену.
Массімо

2
Ян - якщо ви цього хочете, зазвичай краще використовувати агент агента SQL Server та його обліковий запис або використовувати послуги інтеграції. Ви можете отримати більш детальну інформацію, коли ви задасте детальний запитання, і це все ще може бути дуже застосовно до ситуацій інших читачів.
mfinni

-1

Це просто:

Помістіть обліковий запис машини в локальну групу адміністраторів, і тоді ця машина (або її локальний обліковий запис адміністратора) може повністю отримати доступ до пункту призначення НАД Мережу. Протестований сьогодні, працює чудово.


2
Хоча це функціонально, це НЕ рекомендується і не найкраща практика. Обліковий Local Systemзапис називається локальним з причини. Якщо ви хочете щось мати доступ до мережі, послугу чи інше потрібно змінити, щоб запустити її як інший користувач. Це було б як надання доступу до guestоблікового запису адміністратору машини. Це буде працювати, але це перемагає мету того, для чого він був побудований.
Cory Knutson
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.