Windows LocalSystem กับระบบ

/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accouบอก:

ระบบในระบบ:บัญชีที่เชื่อถือได้อย่างสมบูรณ์ moreso กว่าบัญชีผู้ดูแลระบบ ไม่มีอะไรในกล่องเดียวที่บัญชีนี้ไม่สามารถทำได้และ มีสิทธิ์ในการเข้าถึงเครือข่าย ในขณะที่เครื่อง (ต้องใช้ Active Directory และให้สิทธิ์บัญชีเครื่องจักรกับบางสิ่ง) "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (กำลังเตรียมติดตั้ง SQL Server 2000 (64 บิต) - การสร้างบัญชีบริการ Windows) บอก:

" บัญชีระบบโลคัลไม่ต้องการรหัสผ่านไม่มีสิทธิ์การเข้าถึงเครือข่ายและ จำกัด การติดตั้ง SQL Server ของคุณจากการโต้ตอบกับเซิร์ฟเวอร์อื่น "

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (บัญชี LocalSystem วันที่สร้าง: 8/5/2553) บอก:

" บัญชี LocalSystemเป็นบัญชีโลคัลที่กำหนดไว้ล่วงหน้าที่ใช้โดยตัวจัดการควบคุมบริการบัญชี นี้ไม่ได้รับการยอมรับจากระบบย่อยความปลอดภัยดังนั้นคุณไม่สามารถระบุชื่อในการเรียกไปยังฟังก์ชัน LookupAccountName ซึ่งมีสิทธิพิเศษมากมายในคอมพิวเตอร์ท้องถิ่นและ ทำหน้าที่เป็นคอมพิวเตอร์บนเครือข่ายโทเค็นของมันรวม SID NT AUTHORITY \ SYSTEM และ BUILTIN \ Administratorsบัญชีเหล่านี้มีการเข้าถึงวัตถุระบบส่วนใหญ่ชื่อของบัญชีในตำแหน่งที่ตั้งทั้งหมดคือ \ LocalSystemชื่อLocalSystem หรือ ComputerName \ LocalSystemยังสามารถใช้ได้บัญชีนี้ไม่มีรหัสผ่านหากคุณระบุ LocalSystem บัญชีในการโทรไปยังฟังก์ชั่น CreateService ข้อมูลรหัสผ่านใด ๆ ที่คุณระบุจะถูกละเว้น "

http://technet.microsoft.com/en-us/library/ms143504.aspx (การตั้งค่าบัญชีบริการ Windows) บอก:

Local Systemเป็นบัญชีในตัวที่มีสิทธิพิเศษสูงมาก มีสิทธิพิเศษมากมายในระบบท้องถิ่นและทำหน้าที่เป็นคอมพิวเตอร์ในเครือข่าย > ชื่อจริงของบัญชีคือ "NT AUTHORITY \ SYSTEM"

ตัวระบุความปลอดภัยที่รู้จักกันดีในระบบปฏิบัติการ Windows ( http://support.microsoft.com/kb/243330 ) ไม่มีระบบใด ๆเลย (แต่เฉพาะ " LOCAL SYSTEM ")

Windows XP Pro SP3ของฉัน(ด้วยการติดตั้งMS SQL Serverการพัฒนาเครื่องในเวิร์กกรุ๊ป ) ไม่มีระบบแต่ไม่ใช่LocalSystemหรือ " Local System "

คำถาม:

ใครบางคนสามารถกำจัดความยุ่งเหยิงนี้

มันเป็นไปได้ที่จะเผาชั่วโมงหลังจากชั่วโมง, วันแล้ววันเล่าที่อ่านเอกสาร MS เพียงเพื่อรวบรวมความขัดแย้งและความเข้าใจผิดมากขึ้น ...

1) มีสิทธิ์ LocalSystem ในการเข้าถึงเครือข่ายหรือไม่ กลไกคืออะไร?

2) คำพ้องความหมายของ SYSTEM และ LocalSystem (และ "Local System") ใช่หรือไม่

ทำไมพวกเขาได้รับการแนะนำ?

อะไรคือความแตกต่างระหว่าง SYSTEM และ Local System

----------

Update1:

สวัสดี sysamin1138!

คำตอบของคุณเพิ่มความสับสนมากยิ่งขึ้นหากเปรียบเทียบกับความเป็นจริงที่สังเกตได้เช่นความจริงที่ว่าFresh ติดตั้งหรือ workgroup Windows XP Pro SP3 มีเฉพาะ SYSTEM (แต่ไม่ใช่ LocalSystem)

Sysadmin138 wrote:

• "หลักการความปลอดภัยที่แตกต่างกันสำหรับปัญหาที่คล้ายกันซึ่งอนุญาตให้มีการแบ่งย่อยในการออกแบบความปลอดภัยของคุณหนึ่งคือภายในเท่านั้นอื่น ๆ มีการมองเห็นโดเมน"

วลีนี้หมายความว่าจะเพิ่ม LocalSystem เมื่อเข้าร่วมคอมพิวเตอร์กับโดเมนหรือไม่

เป็นที่เข้าใจกันหรือไม่ว่า SYSTEM นั้นมีไว้สำหรับการเข้าถึง "ภายในเครื่อง" / ภายในและเวิร์กกรุ๊ป (การระบุคอมพิวเตอร์) และ LocalSystem สำหรับการระบุคอมพิวเตอร์ในโดเมน

----------

Update2: เวิร์กกรุ๊ปเดียวกัน Windows XP Pro SP3 หากไม่ได้ระบุเป็นอย่างอื่น

สวัสดีSysadmin1138ในการแก้ไขของคุณ

"เป็นเช่นนั้นในกรณีนี้ SYSTEM และ NT Authority / SYSTEM มีความสามารถเทียบเท่า"

พวกเขา (NT Authority / SYSTEM และ SYSTEM) เกี่ยวข้องกับ LocalSystem อย่างไร คุณไม่ทำข้อผิดพลาดอย่างใดอย่างหนึ่งกับ LocalSystem หรือไม่

Greg Askew

"โปรดสังเกตว่าถ้าคุณกำหนดค่าบริการให้เข้าสู่ระบบเป็น. \ LocalSystem จะยังคงปรากฏเป็นเข้าสู่ระบบเป็น NT AUTHORITY \ SYSTEM ในกระบวนการ Explorer หรือระบบในตัวจัดการงาน"

นี่เป็นเรื่องใกล้ตัวเล็กน้อย ฉันไม่สามารถเลือก LocalSystem ในรายการ NTFS / share premAs, RunAs แต่ใน services.msc บริการ "SQL Server (MS SQL SERVER)" -> ดับเบิลคลิกหรือ rc -> Properties ---> แท็บ "โลโก้": "มี radiobuttom" บัญชี Local System " บริการนี้จะปรากฏขึ้นใน Windows Task Manager เป็นระบบ

Greg Askew และ sysadmin1138 ,

"NT AUTHORITY" หรือ "xxx \" ใด ๆ ไม่ปรากฏขึ้นที่ใดก็ได้ ชื่อบัญชีทั้งหมดมีป้ายกำกับเดียว โปรดทราบว่าเป็นคอมพิวเตอร์ในเวิร์กกรุ๊ปของ ​​Windows XP แม้ว่าฉันจะเรียกใช้อินสแตนซ์ของ ADAM (โหมดแอปพลิเคชันไดเรกทอรีที่ใช้งานอยู่)

ฉันเดาว่า "NT AUTHORITY" มาจาก "ระบบย่อยความปลอดภัย" ที่มีชื่อเสียงซึ่งอยู่ในเวิร์กกรุ๊ป (?) "NT Authority" จะปรากฏขึ้นหรือไม่หากฉันเข้าร่วมคอมพิวเตอร์กับโดเมน

รายการสิทธิ์ NTFS / share มี 2 คอลัมน์:

• "Name (RDN)" colum มีชื่อบัญชีเดียว
• คอลัมน์ "ในโฟลเดอร์" ที่มี MyCompName (เช่นสำหรับผู้ดูแลระบบผู้ดูแลระบบ ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER, ฯลฯ ) หรือว่างเปล่า (เช่นสำหรับการเข้าสู่ระบบแบบไม่ระบุชื่อ, CREATOR OWNER, บริการเครือข่าย) ระบบฯลฯ )

คนก่อนหน้านี้มีความหมายเหมือนกันสำหรับการเข้ารหัสเป็น "MyCompName \ xxxx" หรือ ". \ xxx" (เช่น

• SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
• = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
• =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

คุณสามารถซิงโครไนซ์คำตอบของคุณในบริบทของhttp://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (SID ของเครื่องและ SID โดเมน) ได้หรือไม่

----------

Update3: เวิร์กกรุ๊ปเดียวกัน Windows XP Pro SP3 หากไม่ได้ระบุเป็นอย่างอื่น

สวัสดีsysadmin1138 ,

และวิธีการดูประวัติการแก้ไข? และ Sere dereference?

Breakthrough! cacls แสดง "NT Authority \ SYSTEM" ...

ถึงแม้ว่าสำหรับบริการมันเป็นทางกลับกันทั้งหมด: บริการทั้งหมดแสดงภายใต้แท็บ "เข้าสู่ระบบ"

• radiobutton "บัญชี Local System" ซึ่งส่งผลให้ระบบใน WIndowsTaskManager และ
• "บัญชีนี้" radiobutton -> btn "เรียกดู ... " ที่ไม่แสดงบัญชีระบบในรายการ

ขออภัยสำหรับเวลาของคุณ แต่ฉันยังไม่ได้รับ LocalSystem ใด ๆ ใน Windows XP! LocalSystem ไม่ปรากฏที่ใดก็ได้ใน XP! แต่ปัญหาที่ MS เอกสารทั้งหมดอาศัยเฉพาะใน LocalSystem ...

BTW, http://support.microsoft.com/kb/120929 ("วิธีการใช้บัญชีระบบใน Windows") บอกว่าระบบมีไว้สำหรับการบันทึกการใช้บริการคอมพิวเตอร์ภายในและประหลาดใจ "ใช้กับ" Windows ทั้งหมดจาก NT Workstation 3.1 เป็น Windows Server 2003 ยกเว้น Windows XP (?!)

Windows XP เป็นความผิดปกติใน Windows หรือไม่

----------

Update4: เวิร์กกรุ๊ปเดียวกัน Windows XP Pro SP3 หากไม่ได้ระบุเป็นอย่างอื่น

ฉันไม่สามารถตรวจพบ LocalSystem ใด ๆ (เฉพาะ "ระบบในระบบ" ที่กล่าวถึงในข้อความเพื่อ radiobutton ของบริการ LogOn) ใน Windows XP แม้ว่าเอกสาร MS ทั้งหมดมักจะอาศัยอยู่บน LocalSystem เท่านั้น แต่ไม่ใช่ระบบ ฉันทำเครื่องหมายคำถามนี้เป็นคำตอบที่เข้าใจแล้วว่า Windows XP เป็นความผิดปกติ / ข้อยกเว้นใน Windows OS-es ที่มีข้อผิดพลาดในการใช้งาน GUI และฉันควรเดาว่าสถานการณ์จะปรากฏใน Windows อื่น ๆ อย่างไร (ด้วยความช่วยเหลือของคำตอบ) )

หากไม่ถูกต้องโปรดเป็นอิสระในการพิสูจน์ / แบ่งปันมุมมองอื่น

Update5: เวิร์กกรุ๊ปเดียวกัน Windows XP Pro SP3 หากไม่ได้ระบุเป็นอย่างอื่น

Venceremos!

ฉันพบ "Local System" ใน Windows XP! มันจะแสดงในคอลัมน์ "เข้าสู่ระบบใน" ใน services.msc!

[เช็ดคำตอบขนาดใหญ่สรุปเพื่อความชัดเจน ดูประวัติการแก้ไขสำหรับเรื่องเลวทรามต่ำช้า]

มี SID ที่รู้จักกันดีสำหรับระบบโลคัล มันคือ S-1-5-18 ตามที่คุณพบจากบทความ KB นั้น SID นี้ส่งกลับหลายชื่อเมื่อถูกขอให้ยกเลิกการลงทะเบียน คำสั่งบรรทัดคำสั่ง 'cacls' (XP) แสดงสิ่งนี้ว่า " NT Authority\SYSTEM" คำสั่งบรรทัดคำสั่ง 'icacls' (Vista / Win7) จะแสดงสิ่งนี้เป็น " NT Authority\SYSTEM" เครื่องมือ GUI ใน Windows Explorer แสดงสิ่งนี้เป็น " SYSTEM" เมื่อคุณกำหนดค่าบริการเพื่อให้ทำงานสิ่งนี้จะปรากฏเป็น " Local System"

สามชื่อหนึ่ง SID

ใน Workgroups SID มีความหมายเฉพาะบนเวิร์กสเตชันท้องถิ่น เมื่อเข้าถึงเวิร์กสเตชันเครื่องอื่น SID จะไม่ถูกถ่ายโอนเฉพาะชื่อ 'Local System' ไม่สามารถเข้าถึงระบบอื่น ๆ ได้

ในโดเมนรหัสญาติคือสิ่งที่ช่วยให้บัญชีเครื่องจักรเข้าถึงทรัพยากรที่ไม่ได้อยู่ในเครื่องเดียว นี่คือ ID ที่เก็บไว้ใน Active Directory และใช้เป็นหลักการรักษาความปลอดภัยโดยเครื่องที่เชื่อมต่อกับโดเมนทั้งหมด ID นี้ไม่ใช่ S-1-5-18 มันอยู่ในรูปแบบของ S-1-5-21 [domainSID] - [สุ่ม]

การกำหนดค่าบริการเป็น "บริการท้องถิ่น" บอกบริการเพื่อเข้าสู่ระบบภายในเครื่องไปยังเวิร์กสเตชันเป็น S-1-5-18 มันจะไม่มีข้อมูลประจำตัวของโดเมนใด ๆ

การกำหนดค่าบริการเป็น "บริการเครือข่าย" หรือ "NT Authority \ NetworkService" แจ้งให้บริการเข้าสู่ระบบโดเมนเป็นบัญชีโดเมนของเครื่องนั้นและจะสามารถเข้าถึงทรัพยากรโดเมนได้ Windows XP Service Configurator ไม่มีความสามารถในการเลือก "Network Service" เป็นประเภทการเข้าสู่ระบบ โปรแกรมติดตั้ง SQL อาจ

"บริการเครือข่าย" สามารถทำทุกอย่าง "Local System" สามารถเข้าถึงทรัพยากรของโดเมนได้

"บริการเครือข่าย" ไม่มีความหมายในบริบทของเวิร์กกรุ๊ป

ในระยะสั้น:

NT Authority\System= Local System= SYSTEM=S-1-5-18

หากคุณต้องการบริการของคุณเพื่อเข้าถึงทรัพยากรที่ไม่ได้อยู่ในเครื่องนั้นคุณต้อง:

• กำหนดค่าเป็นบริการโดยใช้ผู้ใช้ที่เข้าสู่ระบบโดยเฉพาะ
• กำหนดค่าเป็นบริการโดยใช้ "บริการเครือข่าย" และเป็นของโดเมน

"บริการส่วนใหญ่ทำงานในบริบทความปลอดภัยของบัญชีระบบภายใน (บางครั้งแสดงเป็น SYSTEM และเวลาอื่น ๆ เป็น LocalSystem)"

... lsass.exe) และกระบวนการเข้าสู่ระบบ (winlogon.exe) "

"... จากมุมมองด้านความปลอดภัยบัญชีระบบโลคัลนั้นมีประสิทธิภาพมาก - มีประสิทธิภาพมากกว่าโดเมนหรือบัญชีโลคอล"

- Windows Internals รุ่นที่ 5 (หน้า 288 - 289)

โปรดทราบว่าถ้าคุณกำหนดค่าบริการให้เข้าสู่ระบบเป็น. \ LocalSystem จะยังคงปรากฏเป็นเข้าสู่ระบบเป็น NT AUTHORITY \ SYSTEM ในกระบวนการ Explorer หรือระบบในตัวจัดการงาน

ใน Windows 7 บริการตั้งค่าให้เข้าสู่ระบบในฐานะ: บัญชี "Local System" มีชื่อผู้ใช้ "ระบบ" ในแท็บกระบวนการตัวจัดการงาน