Windows LocalSystem проти системи


23

/programming/510170/the-difference-bet between- the- local- system- account- and- the- network- service- accou розповідає:

Локальна система: повністю надійний обліковий запис, більше ніж обліковий запис адміністратора. На одному вікні немає нічого, що цей обліковий запис не може зробити, і він має право на доступ до мережі як машина (для цього потрібна Active Directory та надання дозволу на обліковий запис машини на щось) "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Підготовка до встановлення SQL Server 2000 (64 біт) - створення облікових записів служб Windows) повідомляє:

"Обліковий запис локальної системи не вимагає пароля, не має прав доступу до мережі та обмежує вашу установку SQL Server від взаємодії з іншими серверами. "

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (обліковий запис LocalSystem, дата складання: 5/5/2010) повідомляє:

"Обліковий запис LocalSystem - це заздалегідь визначений локальний обліковий запис, який використовується менеджером управління сервісом. Цей обліковий запис не розпізнається підсистемою захисту , тому ви не можете вказати його ім'я у виклику до функції LookupAccountName. Він має широкі привілеї на локальному комп'ютері та діє в якості комп'ютера в мережі, його маркер включає NT AUTHORITY \ SYSTEM і BUILTIN \ Administrator SID ; ці облікові записи мають доступ до більшості системних об'єктів. Ім'я облікового запису в усіх локальних системах . \ LocalSystem . Ім'я, LocalSystem або ComputerName \ LocalSystem також може бути використаний. У цьому обліковому записі немає пароля. Якщо ви вказали LocalSystem облікового запису під час виклику до функції CreateService, будь-яка вказана вами інформація про пароль ігнорується "

http://technet.microsoft.com/en-us/library/ms143504.aspx (Налаштування облікових записів служби Windows) повідомляє:

Локальна система - це дуже привілейований вбудований рахунок. Він має широкі привілеї в локальній системі і виступає в якості комп'ютера в мережі. > Фактична назва облікового запису - "NT AUTHORITY \ SYSTEM".

Відомі ідентифікатори безпеки в операційних системах Windows ( http://support.microsoft.com/kb/243330 ) взагалі не мають жодної СИСТЕМИ (а лише " МІСЦЕВА СИСТЕМА ")


У моєму Windows XP Pro SP3 (з налаштуванням MS SQL Server , розробкою машини в робочій групі ) є СИСТЕМА, але не LocalSystem або " Локальна система ".

ЗАПИТАННЯ:

Чи може хтось очистити цей безлад?

Можна записувати години за годинами, день у день читаючи документи MS, просто збирати все більше і більше суперечностей та непорозумінь ...

1) Чи має права LocalSystem доступ до мережі чи ні? Який механізм?

2) Чи є синонімами SYSTEM та LocalSystem (і "Local System")?

Чому їх запровадили?

Які відмінності між системою SYSTEM та локальною системою

----------

Оновлення1:

Привіт, sysamin1138!

Ваші відповіді додають ще більше плутанини, якщо порівнювати їх із спостережуваною реальністю, наприклад, з тим, що в свіжому встановленому або робочій групі Windows XP Pro SP3 є тільки СИСТЕМА (але не LocalSystem).

Sysadmin138 написав:

  • "Різні принципи безпеки для подібних проблем, які дозволяють трохи деталізуватися у вашому дизайні безпеки. Один лише локальний, інший має видимість домену."

Чи означає ця фраза, що LocalSystem додається після приєднання комп'ютера до домену?

Чи слід розуміти, що SYSTEM призначений для "локального" / внутрішнього доступу та доступу до робочої групи (комп'ютерна ідентифікація), а LocalSystem - для ідентифікації комп'ютера в домені?

----------

Update2: та сама робоча група Windows XP Pro SP3, якщо не вказано інше

Привіт, Sysadmin1138 , у твоєму редагуванні

"Просто в цьому випадку SYSTEM і NT Authority / SYSTEM є еквівалентними за здатністю",

як вони (NT Authority / SYSTEM і SYSTEM) пов'язані з LocalSystem? Ви не помилилися з одним із LocalSystem?

Грег Аскеу,

"Зауважте, що якщо ви налаштуєте службу для входу як. \ LocalSystem, вона все одно буде відображатися як увійшли як NT AUTHORITY \ SYSTEM в Провіднику процесів або System в диспетчері завдань"

Це трохи бути ближче. Я не можу вибрати LocalSystem ні в умовах NTFS / спільного доступу, ні в списку RunAs. Але в services.msc у сервісі "SQL Server (MS SQL SERVER)" -> двічі клацніть або rc -> Властивості ---> вкладка "Логотип у вигляді:" має радіобуттом "Обліковий запис локальної системи". Потім ця послуга відображається в диспетчері завдань Windows як СИСТЕМА

Грег Аскеу та sysadmin1138 ,

"NT AUTHORITY" або будь-яка "xxx \" ніде не з'являється. Усі імена облікових записів мають один маркування. Зауважте, це комп'ютер робочої групи Windows XP. Хоча я запускаю екземпляр ADAM (Active Directory Application Mode).

Я здогадуюсь, що "NT AUTHORITY" походить від тієї відомої "підсистеми безпеки", яка відсутня в робочій групі (?) Чи з'явиться "NT Authority", якщо я приєднаю комп'ютер до домену?

У списку дозволів NTFS / спільного доступу є 2 стовпці:

  • Колонка "Ім'я (RDN)", що має однозначні імена облікових записів
  • Колонка «В папці» , мають або MyCompName (наприклад, для адміністратора, адміністраторів, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER і т.д.) або заготовки (наприклад, для анонімного входу, аутентіфіцированний користувачів, авторка GROUP, ТВОРЕЦЬ - ВЛАСНИК, СЕТЕВОЙ ПОСЛУГИ, СИСТЕМА тощо).

У колишніх також є синоніми кодування як "MyCompName \ xxxx" або ". \ Xxx" (тобто

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

Чи можете ви синхронізувати свої відповіді в контексті http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (машинні SID та доменні SID)?

----------

Update3: та сама робоча група Windows XP Pro SP3, якщо не вказано інше

Привіт, Sysadmin1138 ,

І як бачити історію редагування? і зневідповідність SID?

Прорив! cacls показує "NT Authority \ SYSTEM" ...

Хоча для сервісів все навпаки: усі сервіси відображаються у вкладці "Увійти"

  • радіо кнопка "Обліковий запис локальної системи", що призводить до системи SYSTEM у WIndowsTaskManager та
  • радіо кнопка "Цей обліковий запис" -> btn "Переглянути ...", яка не відображає обліковий запис SYSTEM у списку

Вибачте за ваш час, але я ще не зміг потрапити до жодної локальної системи в Windows XP! LocalSystem не з’являється ніде в XP! але проблема, що всі документи MS перебувають лише на LocalSystem ...

BTW, http://support.microsoft.com/kb/120929 ("Як використовується системний обліковий запис у Windows") повідомляє, що система SYSTEM призначена для внутрішнього обліку служб комп'ютера, і сюрприз-сюрприз "ЗАСТОСУЄТЬСЯ" для всіх Windows з NT Workstation 3.1 для Windows Server 2003, за винятком Windows XP (?!).

Чи є у Windows XP деяка аномалія в лінії Windows?

----------

Update4: та сама робоча група Windows XP Pro SP3, якщо не вказано інше

Я не міг виявити жодну LocalSystem (лише "локальну систему", згадану в тексті до радіо кнопки служб LogOn) в Windows XP, хоча всі документи MS зазвичай зупиняються лише на LocalSystem, але не на SYSTEM. Я позначив це питання як відповідь, зрозумівши для мене, що Windows XP - це аномалія / виняток в ОС Windows, яка має певну помилку в користуванні графічним інтерфейсом, і я можу здогадатися, як сценарій з’явився б в інших Windows (за допомогою відповідей) тут )

Якщо це невірно, будь ласка, будьте вільні довести / поділитися іншою точкою зору


Update5: та сама робоча група Windows XP Pro SP3, якщо не вказано інше

Venceremos!

Я знайшов "Локальну систему" в Windows XP! Він відображається в колонці "Увійти як" в services.msc!


1
Я вже говорив це кілька разів. "LocalSystem" - це те саме, що і "NT Authority \ System". Вони є синонімами. "Система" - це окрема сутність, яка поділяє деякі (створюють плутанину) характеристики.
sysadmin1138

У мене немає робочої групи NT \ System "для робочої групи Windows XP Pro SP3. У мене є лише "MyCompName \ SYSTEM"
Геннадій Ванін Геннадій Ванін

На жаль, моя СИСТЕМА - це не обліковий запис комп’ютера (не "MyCompName \ SYSTEM"), який, я вважаю, стане "NT Authority \ SYSTEM" після приєднання Windows до домену. Це синонім LocalSystem до приєднання? І буде ця СИСТЕМА "NT Authority \ SYSTEM" після приєднання?
Геннадій Ванін Геннадій Ванін

3
Це питання зараз не читабельно - ви могли б його скоротити та прояснити? Це допоможе майбутнім читачам, якщо питання буде коротким і простим ^^ +1
Оскар Дувеборн

Відповіді:


26

[витер велику відповідь, підсумовуючи для ясності. Перегляньте історію редагування для страшної казки.]

Існує єдиний відомий SID для місцевої системи. Це S-1-5-18, як ви дізналися з цієї статті KB. Цей SID повертає кілька імен, коли його вимагають скасувати. Команда командного рядка 'cacls' (XP) показує це як " NT Authority\SYSTEM". Команда командного рядка 'icacls' (Vista / Win7) також показує це як " NT Authority\SYSTEM". Інструменти графічного інтерфейсу в Провіднику Windows показують це як " SYSTEM". Коли ви налаштовуєте службу для запуску, це відображається як " Local System".

Три імені, один SID.

У робочих групах SID має значення лише на локальній робочій станції. Під час доступу до іншої робочої станції SID не передається лише ім'ям. "Локальна система" не може отримати доступ до жодної іншої системи.

У доменах відносний ідентифікатор - це те, що дозволяє Машинному обліковому запису отримати доступ до ресурсів, не локальних для цієї машини. Це ідентифікатор, що зберігається в Active Directory і використовується як принцип безпеки усіма машинами, підключеними домену. Цей ідентифікатор не є S-1-5-18. Він у формі S-1-5-21 [domainSID] - [випадковий].

Конфігурація послуги як "Локальна служба" повідомляє службі ввійти локально на робочу станцію як S-1-5-18. У ньому не буде жодних даних домену.

Налаштування служби як «Network Service» або «NT Authority \ NetworkService» повідомляє сервіс для входу в систему в домен , як обліковий запис домена, машини, і буде мати доступ до ресурсів домена. Конфігуратор служби Windows XP не має можливості вибрати "Мережевий сервіс" як тип входу. Можливо, програма установки SQL.

"Мережевий сервіс" може зробити все, що може "Локальна система", а також отримати доступ до ресурсів Домену.

"Мережевий сервіс" не має значення в контексті Робочої групи.

Коротко:

NT Authority\System= Local System= SYSTEM=S-1-5-18

Якщо вам потрібна ваша послуга для доступу до ресурсів, які не знаходяться на цій машині, вам потрібно:

  • Налаштуйте його як Сервіс за допомогою призначеного користувача для входу
  • Налаштуйте його як Сервіс, використовуючи "Служба мережі" та належіть домену

1
Насправді мережевий сервіс - це обліковий запис з низькими пільгами. Він не має тих же привілеїв, що і локальна система. Також у домені локальна система має такий самий доступ до ресурсів домену, що і мережева служба, тобто вона може входити в систему за допомогою облікового запису комп'ютера.
Гаррі Джонстон

Звідки екологічна змінна% USERNAME% для цього користувача - це ім'я комп'ютера, за яким йде знак долара "$"?
rory.ap

@ rory.ap За стародавньою умовою, що датується Windows NT, якщо не раніше, у прихованих облікових записах (та файлових акціях) є суфікс із знаком долара. І прихований я маю на увазі не відображається в деяких інструментах відображення.
sysadmin1138

3

"Більшість сервісів запускаються в контексті безпеки облікового запису локальної системи (відображається іноді як SYSTEM, а в інший раз як LocalSystem)."

"... Обліковий запис локальної системи - це той самий обліковий запис, в якому запускаються основні компоненти операційної системи Windows, включаючи диспетчер сесій (smss.exe), процес підсистеми Windows (csrss.exe), процес локальної служби безпеки ( lsass.exe) та процес входу (winlogon.exe). "

"... З точки зору безпеки, обліковий запис локальної системи надзвичайно потужний - більш потужний, ніж будь-який домен або локальний рахунок."

- Windows Internals, 5-е видання (стор. 288 - 289).

Зауважте, що якщо ви налаштуєте службу для входу як. \ LocalSystem, вона все одно буде відображатися як зареєстрована як NT AUTHORITY \ SYSTEM в Провіднику процесів або System в диспетчері завдань.

У Windows 7 сервіс, встановлений для входу в систему як: Обліковий запис "Локальна система" має ім'я користувача "СИСТЕМА" на вкладці Процеси диспетчера завдань.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.