Как предоставить сетевой доступ к учетной записи LocalSystem?

65

Как вы предоставляете доступ к сетевым ресурсам LocalSystemучетной записи (NT AUTHORITY \ SYSTEM)?

Фон

При доступе к сети учетная запись LocalSystem действует как компьютер в сети :

Учетная запись LocalSystem

Учетная запись LocalSystem является предопределенной локальной учетной записью, используемой диспетчером управления службами.

... и действует как компьютер в сети.

Или еще раз сказать то же самое: учетная запись LocalSystem действует как компьютер в сети :

Когда служба запускается под учетной записью LocalSystem на компьютере, который является членом домена, служба имеет любой доступ к сети, который предоставляется учетной записи компьютера или любым группам, в которые входит учетная запись компьютера.

Как предоставить « компьютерному » доступ к общей папке и файлам?

Примечание :

Учетные записи компьютеров обычно имеют несколько привилегий и не принадлежат к группам.

Итак, как бы я предоставил компьютеру доступ к одной из моих акций; учитывая, что " Все " уже имеет доступ?

Примечание : рабочая группа

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |
windows security authentication local-system Ян Бойд
источник
Этот вопрос немного связан с более ранним вопросом, касающимся предоставления анонимного доступа к общему ресурсу - по крайней мере, кажется, что его можно решить с помощью анонимно доступного общего ресурса.
CodeFox

Ответы:

59

В доменной среде вы можете предоставить права доступа учетным записям компьютеров; это относится к процессам, запущенным на тех компьютерах как LocalSystemили NetworkService(но не LocalServiceпредставляющих анонимные учетные данные в сети), когда они подключаются к удаленным системам.

Таким образом, если у вас есть компьютер с именем MANGO, вы получите учетную запись компьютера Active Directory MANGO$, для которой вы можете предоставить разрешения.

введите описание изображения здесь

Примечание . Вы не можете делать это в среде рабочей группы; это относится только к доменам.

Massimo
источник
6
+1 и принято. Но: LocalService может получить доступ к сети, он просто «представляет анонимные учетные данные в сети» ( msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx )
Ян Бойд,
Просто упомянуть, потратив немало времени, пытаясь заставить это работать для нескольких доменов, я не думаю, что это возможно. т.е. \\ DOMAIN2 \ MANGO $ не предоставляет доступ.
BennyB
Это работает, только если домены находятся в доверительных отношениях; в противном случае вы правы, это не работает.
Массимо
Я думал, что повседневные группы включают в себя аутентифицированных пользователей, а также учетную запись local_service и local_system?
Какация
Обратите внимание, что LocalSystemтакже может получить доступ ко всему, что может любой другой процесс. Таким образом, он может украсть учетные данные вошедших в систему пользователей.
Деми
4

Вы не Если вам нужна служба для подключения к удаленным файлам или другим сетевым службам, вы хотите, чтобы служба работала как именованная учетная запись, а на удаленном компьютере назначьте права для этой именованной учетной записи.

Было бы лучше, если бы вы полностью объяснили, что вы пытаетесь сделать, - таким образом вы получите лучшие ответы.

mfinni
источник
6
Совершенно неверно. Вы можете предоставлять разрешения учетным записям компьютеров (и, следовательно, службам, работающим с ними) точно так же, как вы можете предоставлять их учетным записям пользователей. Конечно, есть сценарии, где это может быть не лучшим решением, но это вполне выполнимо.
Массимо
1
Ответ выглядел именно так, вот причина моего отрицательного голоса; Кроме того, оригинальный постер, похоже, хорошо знает разницу между учетной записью пользователя и учетной записи компьютера, поэтому отвечать на его вопрос «не делай этого» мне просто не показалось правильным.
Массимо
1
Кроме того, существуют очень легитимные сценарии, в которых требуется предоставление разрешений учетным записям компьютеров. Подумайте только о сценариях запуска компьютера, развертывании программного обеспечения GPO или услугах, которые просто хотят работать как LocalSystem, и вы ничего не можете с этим поделать. Я не говорю, что это лучшая практика или «правильное» решение, конечно; но если кто-то спросит "как это сделать?" Я думаю, что «не делай этого» определенно не правильный ответ.
Массимо
1
В среде рабочей группы, вы не можете назначить права на MachineB к учетной записи пользователя , определенной на machineâ ... кроме того, он специально просил , как назначать права на MASCHINE счет, так это то, что я ответил; и я также сказал, что это невозможно без домена.
Массимо
2
Ян - если это то, что вам нужно, обычно лучше использовать агент SQL Server и его учетную запись или использовать службы интеграции. Вы можете получить более подробную информацию, задавая подробный вопрос, и он все еще может быть очень применим к ситуациям других читателей.
mfinni
-1

Это просто:

Поместите учетную запись AD компьютера в локальную группу администраторов, и тогда этот компьютер (или его локальная учетная запись администратора) сможет получить полный доступ к пункту назначения через сеть. Проверено сегодня, отлично работает.

Фрэнк Вольф
источник
2
Хотя это функционально, это НЕ рекомендуется и не рекомендуется. Local SystemСчет называется локальным по причине. Если вы хотите, чтобы что-то имело доступ к сети, необходимо изменить службу или иным образом, чтобы она работала под другим пользователем Это все равно, что предоставить guestучетную запись администратора компьютера. Это бы сработало, но это противоречит цели того, для чего оно было построено.
Кори Кнутсон