จะให้สิทธิ์การเข้าถึงเครือข่ายไปยังบัญชี LocalSystem ได้อย่างไร


65

คุณให้สิทธิ์การเข้าถึงทรัพยากรเครือข่ายไปยังบัญชีLocalSystem(NT AUTHORITY \ SYSTEM) อย่างไร


พื้นหลัง

เมื่อเข้าถึงเครือข่ายบัญชี LocalSystem ทำหน้าที่เป็นคอมพิวเตอร์ในเครือข่าย :

บัญชี LocalSystem

บัญชี LocalSystem เป็นบัญชีท้องถิ่นที่กำหนดไว้ล่วงหน้าที่ใช้โดยผู้จัดการควบคุมบริการ

... และทำหน้าที่เป็นคอมพิวเตอร์ในเครือข่าย

หรือพูดในสิ่งเดียวกันอีกครั้ง: บัญชี LocalSystem ทำหน้าที่เป็นคอมพิวเตอร์ในเครือข่าย :

เมื่อบริการทำงานภายใต้บัญชี LocalSystem บนคอมพิวเตอร์ที่เป็นสมาชิกของโดเมนบริการมีการเข้าถึงเครือข่ายใดก็ตามที่ได้รับอนุญาตให้ใช้กับบัญชีคอมพิวเตอร์หรือกลุ่มใด ๆ ที่บัญชีคอมพิวเตอร์เป็นสมาชิก

เราจะให้สิทธิ์การเข้าถึงคอมพิวเตอร์กับโฟลเดอร์และไฟล์ที่แชร์ได้อย่างไร


หมายเหตุ :

บัญชีคอมพิวเตอร์มักจะมีสิทธิ์น้อยและไม่ได้อยู่ในกลุ่ม

ดังนั้นฉันจะอนุญาตให้คอมพิวเตอร์เข้าถึงหนึ่งในหุ้นของฉันได้อย่างไร พิจารณาว่า " ทุกคน " มีการเข้าถึงอยู่แล้ว?

หมายเหตุ : เวิร์กกรุ๊ป

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |

คำถามนี้เกี่ยวข้องกับคำถามก่อนหน้าเล็กน้อยที่เกี่ยวข้องกับการเปิดใช้งานการเข้าถึงแบบไม่ระบุชื่อเพื่อแบ่งปัน - อย่างน้อยก็ดูเหมือนว่าจะสามารถแก้ไขได้ด้วยการแบ่งปันที่เข้าถึงได้โดยไม่ระบุชื่อ
CodeFox

คำตอบ:


59

ในสภาพแวดล้อมของโดเมนคุณสามารถให้สิทธิ์การเข้าถึงบัญชีคอมพิวเตอร์ สิ่งนี้ใช้กับกระบวนการที่ทำงานบนคอมพิวเตอร์เหล่านั้นในฐานะLocalSystemหรือNetworkService(แต่ไม่ใช่LocalServiceซึ่งแสดงข้อมูลรับรองที่ไม่ระบุตัวตนบนเครือข่าย) เมื่อเชื่อมต่อกับระบบระยะไกล

ดังนั้นหากคุณมีคอมพิวเตอร์ที่เรียกว่าMANGOคุณจะมีบัญชีคอมพิวเตอร์ของ Active Directory MANGO$ซึ่งคุณสามารถให้สิทธิ์ได้

ป้อนคำอธิบายรูปภาพที่นี่

หมายเหตุ : คุณไม่สามารถทำสิ่งนี้ได้ในสภาพแวดล้อมเวิร์กกรุ๊ป สิ่งนี้ใช้กับโดเมนเท่านั้น


6
+1 และยอมรับ แต่ LocalService สามารถเข้าถึงเครือข่ายได้เพียงแค่ "แสดงข้อมูลประจำตัวนิรนามบนเครือข่าย" ( msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx )
Ian Boyd

เพิ่งพูดถึงการใช้เวลาไม่นานเกินกว่าจะพยายามทำให้เรื่องนี้เป็นจริงสำหรับหลายโดเมนฉันไม่คิดว่าจะเป็นไปได้ ie \\ DOMAIN2 \ MANGO $ ดูเหมือนจะไม่อนุญาตให้เข้าถึง
BennyB

ใช้งานได้ก็ต่อเมื่อโดเมนอยู่ในความสัมพันธ์ที่เชื่อถือได้ มิฉะนั้นคุณถูกต้องมันไม่ทำงาน
Massimo

ฉันคิดว่ากลุ่มรายวันมีผู้ใช้ที่ผ่านการรับรองความถูกต้องเช่นเดียวกับบัญชี local_service และ local_system หรือไม่
kakacii

โปรดทราบว่าLocalSystemสามารถเข้าถึงทุกอย่างที่กระบวนการอื่นสามารถทำได้ มันสามารถขโมยข้อมูลประจำตัวของผู้ใช้ที่เข้าสู่ระบบ
Demi

4

คุณทำไม่ได้ หากคุณต้องการบริการเพื่อเชื่อมต่อกับไฟล์ระยะไกลหรือบริการเครือข่ายอื่น ๆ จากนั้นคุณต้องการให้บริการทำงานเป็นบัญชีที่มีชื่อและบนเครื่องระยะไกลกำหนดสิทธิ์ให้กับบัญชีที่มีชื่อ

มันจะดีที่สุดถ้าคุณอธิบายว่าคุณพยายามทำอะไร - วิธีนี้คุณจะได้รับคำตอบที่ดีที่สุด


6
ไม่ถูกต้องทั้งหมด คุณสามารถให้สิทธิ์กับบัญชีเครื่อง (และใช้กับบริการที่เรียกใช้) เช่นเดียวกับที่คุณสามารถให้สิทธิ์แก่บัญชีผู้ใช้ มีสถานการณ์ที่แน่นอนว่านี่อาจไม่ใช่ทางออกที่ดีที่สุด แต่สามารถทำได้อย่างสมบูรณ์แบบ
Massimo

1
คำตอบดูเหมือนอย่างนั้นนี่คือเหตุผลสำหรับ downvote ของฉัน; โปสเตอร์ต้นฉบับดูเหมือนจะรู้ดีถึงความแตกต่างระหว่างบัญชีผู้ใช้กับคอมพิวเตอร์ดังนั้นการตอบคำถามของเขาด้วย "อย่าทำอย่างนั้น" ดูเหมือนจะไม่ถูกต้องสำหรับฉัน
Massimo

1
นอกจากนี้ยังมีสถานการณ์ที่ถูกต้องตามกฎหมายซึ่งจะต้องมีการอนุญาตให้ใช้งานบัญชีเครื่องจักร แค่คิดเกี่ยวกับสคริปต์เริ่มต้นคอมพิวเตอร์หรือการปรับใช้ซอฟต์แวร์ GPO หรือบริการที่ต้องการใช้เป็น LocalSystem และคุณไม่สามารถทำอะไรเกี่ยวกับเรื่องนี้ได้ ฉันไม่ได้บอกว่านี่เป็นวิธีปฏิบัติที่ดีที่สุดหรือ "ทางออก" ที่ถูกต้องแน่นอน แต่ถ้ามีคนถามว่า "ทำอย่างไร?" ฉันคิดว่า "อย่าทำ" ไม่ใช่คำตอบที่ถูกต้องแน่นอน
Massimo

1
ในสภาพแวดล้อมเวิร์กกรุ๊ปคุณไม่สามารถกำหนดสิทธิ์ใน MachineB ให้กับบัญชีผู้ใช้ที่กำหนดไว้ใน MachineA ... นอกจากนี้เขาถูกถามโดยเฉพาะเกี่ยวกับวิธีการโอนสิทธิ์ให้กับบัญชีmaschineนั่นคือสิ่งที่ฉันตอบ และฉันก็บอกว่ามันเป็นไปไม่ได้หากไม่มีโดเมน
Massimo

2
เอียน - หากเป็นสิ่งที่คุณต้องการก็เป็นความคิดที่ดีกว่าที่จะใช้ตัวแทนของเซิร์ฟเวอร์ SQL และบัญชีหรือใช้บริการการรวม คุณสามารถรับรายละเอียดเพิ่มเติมเมื่อคุณถามคำถามโดยละเอียดและยังสามารถนำไปใช้กับสถานการณ์ของผู้อ่านอื่น ๆ ได้
mfinni

-1

มันง่าย:

ใส่บัญชี AD ของเครื่องลงในกลุ่มผู้ดูแลระบบในพื้นที่จากนั้นเครื่องนี้ (หรือบัญชีผู้ดูแลระบบท้องถิ่น) สามารถเข้าถึงปลายทางได้อย่างเต็มที่ผ่านเครือข่าย ผ่านการทดสอบในวันนี้ทำงานได้ดี


2
ในขณะที่ฟังก์ชั่นนี้จะไม่แนะนำหรือปฏิบัติที่ดีที่สุด Local Systemบัญชีเรียกว่าท้องถิ่นสำหรับเหตุผล หากคุณต้องการให้บางสิ่งบางอย่างมีการเข้าถึงเครือข่ายบริการหรืออื่น ๆ ควรเปลี่ยนให้ทำงานในฐานะผู้ใช้รายอื่น นี่จะเป็นเหมือนการให้guestบัญชีในการเข้าถึงผู้ดูแลระบบเครื่อง มันใช้งานได้ แต่นั่นเอาชนะเป้าหมายของสิ่งที่สร้างขึ้นมา
คอรี Knutson
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.