Windows LocalSystem กับระบบ


23

/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accouบอก:

ระบบในระบบ:บัญชีที่เชื่อถือได้อย่างสมบูรณ์ moreso กว่าบัญชีผู้ดูแลระบบ ไม่มีอะไรในกล่องเดียวที่บัญชีนี้ไม่สามารถทำได้และ มีสิทธิ์ในการเข้าถึงเครือข่าย ในขณะที่เครื่อง (ต้องใช้ Active Directory และให้สิทธิ์บัญชีเครื่องจักรกับบางสิ่ง) "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (กำลังเตรียมติดตั้ง SQL Server 2000 (64 บิต) - การสร้างบัญชีบริการ Windows) บอก:

" บัญชีระบบโลคัลไม่ต้องการรหัสผ่านไม่มีสิทธิ์การเข้าถึงเครือข่ายและ จำกัด การติดตั้ง SQL Server ของคุณจากการโต้ตอบกับเซิร์ฟเวอร์อื่น "

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (บัญชี LocalSystem วันที่สร้าง: 8/5/2553) บอก:

" บัญชี LocalSystemเป็นบัญชีโลคัลที่กำหนดไว้ล่วงหน้าที่ใช้โดยตัวจัดการควบคุมบริการบัญชี นี้ไม่ได้รับการยอมรับจากระบบย่อยความปลอดภัยดังนั้นคุณไม่สามารถระบุชื่อในการเรียกไปยังฟังก์ชัน LookupAccountName ซึ่งมีสิทธิพิเศษมากมายในคอมพิวเตอร์ท้องถิ่นและ ทำหน้าที่เป็นคอมพิวเตอร์บนเครือข่ายโทเค็นของมันรวม SID NT AUTHORITY \ SYSTEM และ BUILTIN \ Administratorsบัญชีเหล่านี้มีการเข้าถึงวัตถุระบบส่วนใหญ่ชื่อของบัญชีในตำแหน่งที่ตั้งทั้งหมดคือ \ LocalSystemชื่อLocalSystem หรือ ComputerName \ LocalSystemยังสามารถใช้ได้บัญชีนี้ไม่มีรหัสผ่านหากคุณระบุ LocalSystem บัญชีในการโทรไปยังฟังก์ชั่น CreateService ข้อมูลรหัสผ่านใด ๆ ที่คุณระบุจะถูกละเว้น "

http://technet.microsoft.com/en-us/library/ms143504.aspx (การตั้งค่าบัญชีบริการ Windows) บอก:

Local Systemเป็นบัญชีในตัวที่มีสิทธิพิเศษสูงมาก มีสิทธิพิเศษมากมายในระบบท้องถิ่นและทำหน้าที่เป็นคอมพิวเตอร์ในเครือข่าย > ชื่อจริงของบัญชีคือ "NT AUTHORITY \ SYSTEM"

ตัวระบุความปลอดภัยที่รู้จักกันดีในระบบปฏิบัติการ Windows ( http://support.microsoft.com/kb/243330 ) ไม่มีระบบใด ๆเลย (แต่เฉพาะ " LOCAL SYSTEM ")


Windows XP Pro SP3ของฉัน(ด้วยการติดตั้งMS SQL Serverการพัฒนาเครื่องในเวิร์กกรุ๊ป ) ไม่มีระบบแต่ไม่ใช่LocalSystemหรือ " Local System "

คำถาม:

ใครบางคนสามารถกำจัดความยุ่งเหยิงนี้

มันเป็นไปได้ที่จะเผาชั่วโมงหลังจากชั่วโมง, วันแล้ววันเล่าที่อ่านเอกสาร MS เพียงเพื่อรวบรวมความขัดแย้งและความเข้าใจผิดมากขึ้น ...

1) มีสิทธิ์ LocalSystem ในการเข้าถึงเครือข่ายหรือไม่ กลไกคืออะไร?

2) คำพ้องความหมายของ SYSTEM และ LocalSystem (และ "Local System") ใช่หรือไม่

ทำไมพวกเขาได้รับการแนะนำ?

อะไรคือความแตกต่างระหว่าง SYSTEM และ Local System

----------

Update1:

สวัสดี sysamin1138!

คำตอบของคุณเพิ่มความสับสนมากยิ่งขึ้นหากเปรียบเทียบกับความเป็นจริงที่สังเกตได้เช่นความจริงที่ว่าFresh ติดตั้งหรือ workgroup Windows XP Pro SP3 มีเฉพาะ SYSTEM (แต่ไม่ใช่ LocalSystem)

Sysadmin138 wrote:

  • "หลักการความปลอดภัยที่แตกต่างกันสำหรับปัญหาที่คล้ายกันซึ่งอนุญาตให้มีการแบ่งย่อยในการออกแบบความปลอดภัยของคุณหนึ่งคือภายในเท่านั้นอื่น ๆ มีการมองเห็นโดเมน"

วลีนี้หมายความว่าจะเพิ่ม LocalSystem เมื่อเข้าร่วมคอมพิวเตอร์กับโดเมนหรือไม่

เป็นที่เข้าใจกันหรือไม่ว่า SYSTEM นั้นมีไว้สำหรับการเข้าถึง "ภายในเครื่อง" / ภายในและเวิร์กกรุ๊ป (การระบุคอมพิวเตอร์) และ LocalSystem สำหรับการระบุคอมพิวเตอร์ในโดเมน

----------

Update2: เวิร์กกรุ๊ปเดียวกัน Windows XP Pro SP3 หากไม่ได้ระบุเป็นอย่างอื่น

สวัสดีSysadmin1138ในการแก้ไขของคุณ

"เป็นเช่นนั้นในกรณีนี้ SYSTEM และ NT Authority / SYSTEM มีความสามารถเทียบเท่า"

พวกเขา (NT Authority / SYSTEM และ SYSTEM) เกี่ยวข้องกับ LocalSystem อย่างไร คุณไม่ทำข้อผิดพลาดอย่างใดอย่างหนึ่งกับ LocalSystem หรือไม่

Greg Askew

"โปรดสังเกตว่าถ้าคุณกำหนดค่าบริการให้เข้าสู่ระบบเป็น. \ LocalSystem จะยังคงปรากฏเป็นเข้าสู่ระบบเป็น NT AUTHORITY \ SYSTEM ในกระบวนการ Explorer หรือระบบในตัวจัดการงาน"

นี่เป็นเรื่องใกล้ตัวเล็กน้อย ฉันไม่สามารถเลือก LocalSystem ในรายการ NTFS / share premAs, RunAs แต่ใน services.msc บริการ "SQL Server (MS SQL SERVER)" -> ดับเบิลคลิกหรือ rc -> Properties ---> แท็บ "โลโก้": "มี radiobuttom" บัญชี Local System " บริการนี้จะปรากฏขึ้นใน Windows Task Manager เป็นระบบ

Greg Askew และ sysadmin1138 ,

"NT AUTHORITY" หรือ "xxx \" ใด ๆ ไม่ปรากฏขึ้นที่ใดก็ได้ ชื่อบัญชีทั้งหมดมีป้ายกำกับเดียว โปรดทราบว่าเป็นคอมพิวเตอร์ในเวิร์กกรุ๊ปของ ​​Windows XP แม้ว่าฉันจะเรียกใช้อินสแตนซ์ของ ADAM (โหมดแอปพลิเคชันไดเรกทอรีที่ใช้งานอยู่)

ฉันเดาว่า "NT AUTHORITY" มาจาก "ระบบย่อยความปลอดภัย" ที่มีชื่อเสียงซึ่งอยู่ในเวิร์กกรุ๊ป (?) "NT Authority" จะปรากฏขึ้นหรือไม่หากฉันเข้าร่วมคอมพิวเตอร์กับโดเมน

รายการสิทธิ์ NTFS / share มี 2 คอลัมน์:

  • "Name (RDN)" colum มีชื่อบัญชีเดียว
  • คอลัมน์ "ในโฟลเดอร์" ที่มี MyCompName (เช่นสำหรับผู้ดูแลระบบผู้ดูแลระบบ ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER, ฯลฯ ) หรือว่างเปล่า (เช่นสำหรับการเข้าสู่ระบบแบบไม่ระบุชื่อ, CREATOR OWNER, บริการเครือข่าย) ระบบฯลฯ )

คนก่อนหน้านี้มีความหมายเหมือนกันสำหรับการเข้ารหัสเป็น "MyCompName \ xxxx" หรือ ". \ xxx" (เช่น

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

คุณสามารถซิงโครไนซ์คำตอบของคุณในบริบทของhttp://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (SID ของเครื่องและ SID โดเมน) ได้หรือไม่

----------

Update3: เวิร์กกรุ๊ปเดียวกัน Windows XP Pro SP3 หากไม่ได้ระบุเป็นอย่างอื่น

สวัสดีsysadmin1138 ,

และวิธีการดูประวัติการแก้ไข? และ Sere dereference?

Breakthrough! cacls แสดง "NT Authority \ SYSTEM" ...

ถึงแม้ว่าสำหรับบริการมันเป็นทางกลับกันทั้งหมด: บริการทั้งหมดแสดงภายใต้แท็บ "เข้าสู่ระบบ"

  • radiobutton "บัญชี Local System" ซึ่งส่งผลให้ระบบใน WIndowsTaskManager และ
  • "บัญชีนี้" radiobutton -> btn "เรียกดู ... " ที่ไม่แสดงบัญชีระบบในรายการ

ขออภัยสำหรับเวลาของคุณ แต่ฉันยังไม่ได้รับ LocalSystem ใด ๆ ใน Windows XP! LocalSystem ไม่ปรากฏที่ใดก็ได้ใน XP! แต่ปัญหาที่ MS เอกสารทั้งหมดอาศัยเฉพาะใน LocalSystem ...

BTW, http://support.microsoft.com/kb/120929 ("วิธีการใช้บัญชีระบบใน Windows") บอกว่าระบบมีไว้สำหรับการบันทึกการใช้บริการคอมพิวเตอร์ภายในและประหลาดใจ "ใช้กับ" Windows ทั้งหมดจาก NT Workstation 3.1 เป็น Windows Server 2003 ยกเว้น Windows XP (?!)

Windows XP เป็นความผิดปกติใน Windows หรือไม่

----------

Update4: เวิร์กกรุ๊ปเดียวกัน Windows XP Pro SP3 หากไม่ได้ระบุเป็นอย่างอื่น

ฉันไม่สามารถตรวจพบ LocalSystem ใด ๆ (เฉพาะ "ระบบในระบบ" ที่กล่าวถึงในข้อความเพื่อ radiobutton ของบริการ LogOn) ใน Windows XP แม้ว่าเอกสาร MS ทั้งหมดมักจะอาศัยอยู่บน LocalSystem เท่านั้น แต่ไม่ใช่ระบบ ฉันทำเครื่องหมายคำถามนี้เป็นคำตอบที่เข้าใจแล้วว่า Windows XP เป็นความผิดปกติ / ข้อยกเว้นใน Windows OS-es ที่มีข้อผิดพลาดในการใช้งาน GUI และฉันควรเดาว่าสถานการณ์จะปรากฏใน Windows อื่น ๆ อย่างไร (ด้วยความช่วยเหลือของคำตอบ) )

หากไม่ถูกต้องโปรดเป็นอิสระในการพิสูจน์ / แบ่งปันมุมมองอื่น


Update5: เวิร์กกรุ๊ปเดียวกัน Windows XP Pro SP3 หากไม่ได้ระบุเป็นอย่างอื่น

Venceremos!

ฉันพบ "Local System" ใน Windows XP! มันจะแสดงในคอลัมน์ "เข้าสู่ระบบใน" ใน services.msc!


1
ฉันเคยพูดมาหลายครั้งแล้ว "LocalSystem" เป็นสิ่งเดียวกับ "NT Authority \ System" พวกเขามีความหมายเหมือนกัน "ระบบ" เป็นเอนทิตี้แยกต่างหากที่เกิดขึ้นเพื่อแบ่งปันบางคุณสมบัติ (สร้างความสับสน)
sysadmin1138

ฉันไม่มี "NT Authority \ System" ในเวิร์กกรุ๊ป Windows XP Pro SP3 ฉันมีเพียง "MyCompName \ SYSTEM"
Gennady Vanin ГеннадийВанин

ขออภัยระบบของฉันไม่ใช่บัญชีคอมพิวเตอร์ (ไม่ใช่ "MyCompName \ SYSTEM") ซึ่งฉันเชื่อว่าจะกลายเป็น "NT Authority \ SYSTEM" เมื่อเข้าร่วมโดเมน Windows กับโดเมน มันเป็นคำพ้องกับ LocalSystem ก่อนเข้าร่วม? ระบบนี้จะเป็น "NT Authority \ SYSTEM" หลังจากเข้าร่วมหรือไม่
Gennady Vanin ГеннадийВанин

3
คำถามนี้ไม่สามารถอ่านได้คุณสามารถย่อให้สั้นลงและชัดเจนขึ้นได้หรือไม่? มันจะช่วยผู้อ่านในอนาคตหากคำถามสั้นและง่าย ^^ +1
Oskar Duveborn

คำตอบ:


26

[เช็ดคำตอบขนาดใหญ่สรุปเพื่อความชัดเจน ดูประวัติการแก้ไขสำหรับเรื่องเลวทรามต่ำช้า]

มี SID ที่รู้จักกันดีสำหรับระบบโลคัล มันคือ S-1-5-18 ตามที่คุณพบจากบทความ KB นั้น SID นี้ส่งกลับหลายชื่อเมื่อถูกขอให้ยกเลิกการลงทะเบียน คำสั่งบรรทัดคำสั่ง 'cacls' (XP) แสดงสิ่งนี้ว่า " NT Authority\SYSTEM" คำสั่งบรรทัดคำสั่ง 'icacls' (Vista / Win7) จะแสดงสิ่งนี้เป็น " NT Authority\SYSTEM" เครื่องมือ GUI ใน Windows Explorer แสดงสิ่งนี้เป็น " SYSTEM" เมื่อคุณกำหนดค่าบริการเพื่อให้ทำงานสิ่งนี้จะปรากฏเป็น " Local System"

สามชื่อหนึ่ง SID

ใน Workgroups SID มีความหมายเฉพาะบนเวิร์กสเตชันท้องถิ่น เมื่อเข้าถึงเวิร์กสเตชันเครื่องอื่น SID จะไม่ถูกถ่ายโอนเฉพาะชื่อ 'Local System' ไม่สามารถเข้าถึงระบบอื่น ๆ ได้

ในโดเมนรหัสญาติคือสิ่งที่ช่วยให้บัญชีเครื่องจักรเข้าถึงทรัพยากรที่ไม่ได้อยู่ในเครื่องเดียว นี่คือ ID ที่เก็บไว้ใน Active Directory และใช้เป็นหลักการรักษาความปลอดภัยโดยเครื่องที่เชื่อมต่อกับโดเมนทั้งหมด ID นี้ไม่ใช่ S-1-5-18 มันอยู่ในรูปแบบของ S-1-5-21 [domainSID] - [สุ่ม]

การกำหนดค่าบริการเป็น "บริการท้องถิ่น" บอกบริการเพื่อเข้าสู่ระบบภายในเครื่องไปยังเวิร์กสเตชันเป็น S-1-5-18 มันจะไม่มีข้อมูลประจำตัวของโดเมนใด ๆ

การกำหนดค่าบริการเป็น "บริการเครือข่าย" หรือ "NT Authority \ NetworkService" แจ้งให้บริการเข้าสู่ระบบโดเมนเป็นบัญชีโดเมนของเครื่องนั้นและจะสามารถเข้าถึงทรัพยากรโดเมนได้ Windows XP Service Configurator ไม่มีความสามารถในการเลือก "Network Service" เป็นประเภทการเข้าสู่ระบบ โปรแกรมติดตั้ง SQL อาจ

"บริการเครือข่าย" สามารถทำทุกอย่าง "Local System" สามารถเข้าถึงทรัพยากรของโดเมนได้

"บริการเครือข่าย" ไม่มีความหมายในบริบทของเวิร์กกรุ๊ป

ในระยะสั้น:

NT Authority\System= Local System= SYSTEM=S-1-5-18

หากคุณต้องการบริการของคุณเพื่อเข้าถึงทรัพยากรที่ไม่ได้อยู่ในเครื่องนั้นคุณต้อง:

  • กำหนดค่าเป็นบริการโดยใช้ผู้ใช้ที่เข้าสู่ระบบโดยเฉพาะ
  • กำหนดค่าเป็นบริการโดยใช้ "บริการเครือข่าย" และเป็นของโดเมน

1
ที่จริงแล้วบริการเครือข่ายเป็นบัญชีที่มีสิทธิ์ต่ำ มันไม่มีสิทธิพิเศษเหมือนกับ Local System นอกจากนี้ในโดเมน Local System มีการเข้าถึงทรัพยากรโดเมนเช่นเดียวกับบริการเครือข่ายเช่นสามารถเข้าสู่ระบบโดยใช้บัญชีคอมพิวเตอร์
แฮร์รี่จอห์นสตัน

เหตุใดตัวแปรด้านสิ่งแวดล้อม% USERNAME% สำหรับผู้ใช้รายนี้จึงเป็นชื่อของคอมพิวเตอร์ตามด้วยเครื่องหมายดอลลาร์ "$"
rory.ap

@ rory.ap ตามแบบแผนโบราณที่ย้อนกลับไปเป็น Windows NT หากไม่ใช่ก่อนหน้านี้บัญชีที่ซ่อนอยู่ (และการแชร์ไฟล์) จะมีคำต่อท้ายที่เป็นเครื่องหมายดอลลาร์ และโดยการซ่อนฉันหมายถึงไม่แสดงในเครื่องมือแสดงผลบางอย่าง
sysadmin1138

3

"บริการส่วนใหญ่ทำงานในบริบทความปลอดภัยของบัญชีระบบภายใน (บางครั้งแสดงเป็น SYSTEM และเวลาอื่น ๆ เป็น LocalSystem)"

... lsass.exe) และกระบวนการเข้าสู่ระบบ (winlogon.exe) "

"... จากมุมมองด้านความปลอดภัยบัญชีระบบโลคัลนั้นมีประสิทธิภาพมาก - มีประสิทธิภาพมากกว่าโดเมนหรือบัญชีโลคอล"

- Windows Internals รุ่นที่ 5 (หน้า 288 - 289)

โปรดทราบว่าถ้าคุณกำหนดค่าบริการให้เข้าสู่ระบบเป็น. \ LocalSystem จะยังคงปรากฏเป็นเข้าสู่ระบบเป็น NT AUTHORITY \ SYSTEM ในกระบวนการ Explorer หรือระบบในตัวจัดการงาน

ใน Windows 7 บริการตั้งค่าให้เข้าสู่ระบบในฐานะ: บัญชี "Local System" มีชื่อผู้ใช้ "ระบบ" ในแท็บกระบวนการตัวจัดการงาน

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.