root vs Administrator vs SYSTEM

15

Порівнюючи різні дистрибутиви Linux із програмним забезпеченням Windows, у чому полягає принципова відмінність рівнів доступу до адміністративних облікових записів ?

Я завжди вважав, що обліковий запис адміністратора Windows є еквівалентом кореневого облікового запису Unix . А як щодо СИСТЕМИ ? Це не звичайний обліковий запис користувача, але, виконуючи різні хитрощі, ви можете отримати оболонку як би, але чи справді вона має більші дозволи, ніж обліковий запис адміністратора?

windows  unix  user-accounts  administrator 
Брайан
джерело

Відповіді:

13

Основна відмінність адміністратора від SYSTEM полягає в тому, що Адміністратор - це фактичний обліковий запис (наприклад, у нього є пароль), тоді як SYSTEM - ні. (Власне кажучи, SYSTEM є "принципом безпеки".)

Одна практична відмінність полягає в тому, що якщо комп'ютер приєднаний до домену, процеси, що працюють як SYSTEM, можуть отримати доступ до серверів домену в контексті облікового запису домену комп'ютера. Процеси, що виконуються як адміністратор, не мають доступу до комп'ютерів домену, якщо пароль не збігається або альтернативні дані не є явно наданими.

Файл, каталог, ключ реєстру чи інший захищений об'єкт може надавати доступ лише до SYSTEM, а не для адміністратора. Однак я не знаю жодних прикладів встановлення Windows за замовчуванням. Редагувати: я забув про ключ SAM, що містить інформацію про локальний рахунок. Це повний контроль, наданий лише SYSTEM, при цьому група адміністраторів не має доступу ні для читання, ні для запису. Kreemoweet також зазначив, що Vista має ряд інших прикладів.

Звичайно, адміністратор в будь-якому випадку може змінити будь-які дозволи.

Є один-два особливих випадкових випадків. Наприклад, функція WTSQueryUserToken дозволяє програмі отримати маркер доступу, який можна використовувати для запуску нового процесу в контексті вказаного користувача, який увійшов. Цю функцію можуть використовувати лише процеси, які виконуються як SYSTEM, а не процеси, що виконуються як адміністратор.

Гаррі Джонстон
джерело
1
У Vista, ACL за замовчуванням за незліченними ключами реєстру та файлами залишають повний контроль для System або TrustedInstaller. Папки \ winxs \ та system32 \ drivers \ є такими двома. Властивості безпеки багатьох ключів реєстру навіть адміністратори не можуть переглядати.
kreemoweet
@kreemoweet: Цікаво. Я не мав багато спільного з Vista. У Windows 7 дозволи як для winxs, так і для папок драйверів такі ж для адміністраторів, як і для SYSTEM. (Дійсно дивна річ, звичайно, це те, що дозволи для SYSTEM явно надаються; це зайве, оскільки маркер SYSTEM завжди включає групу Адміністратори.)
Гаррі Джонстон,
4

Корінь у Linux еквівалентний адміністратору та системі Windows.

Розумієте, ви можете законно увійти в Linux як корінь для багатьох дистрибутивів. Ви не можете по-справжньому зробити це з Windows за допомогою облікового запису системи. Root також запускає всі сервіси на комп’ютері за замовчуванням, як це робить для Windows. Ви входите в Windows як адміністратор, але служби не працюють під ним, якщо спеціально не сказано.

Кевін Шоаф
джерело
+1. Два рахунки у вікнах схожі на дві сторони однієї монети.
Xyon
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.