Windows LocalSystem против системы

/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accou сообщает:

Локальная система: полностью доверенная учетная запись, в отличие от учетной записи администратора. В одном окне нет ничего, что эта учетная запись не может сделать, и она имеет право доступа к сети как машина (для этого требуется Active Directory и предоставление разрешения учетной записи машины на что-то) "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Подготовка к установке SQL Server 2000 (64-разрядная версия) - создание учетных записей служб Windows) сообщает:

« Локальная системная учетная запись не требует пароля, не имеет прав доступа к сети и ограничивает взаимодействие вашей установки SQL Server с другими серверами ».

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (учетная запись LocalSystem, дата сборки: 5 августа 2010 г.) сообщает:

« Учетная запись LocalSystem является предопределенной локальной учетной записью, используемой диспетчером управления службами. Эта учетная запись не распознается подсистемой безопасности , поэтому вы не можете указать ее имя при вызове функции LookupAccountName. Она имеет широкие привилегии на локальном компьютере, и действует как компьютер в сети. Его токен включает идентификаторы NT AUTHORITY \ SYSTEM и BUILTIN \ Administrators ; эти учетные записи имеют доступ к большинству системных объектов. Имя учетной записи во всех локалях:. LocalSystem . Имя, LocalSystem или ComputerName \ LocalSystem также может быть использован. У этой учетной записи нет пароля. Если вы укажете LocalSystem учетная запись при вызове функции CreateService, любая информация о пароле, которую вы предоставляете, игнорируется "

http://technet.microsoft.com/en-us/library/ms143504.aspx (Настройка учетных записей служб Windows) сообщает:

Локальная система - встроенная учетная запись с очень высокими привилегиями. Он обладает обширными привилегиями в локальной системе и действует как компьютер в сети. > Фактическое имя учетной записи - «NT AUTHORITY \ SYSTEM».

Известные идентификаторы безопасности в операционных системах Windows ( http://support.microsoft.com/kb/243330 ) вообще не имеют никакой СИСТЕМЫ (но только " ЛОКАЛЬНАЯ СИСТЕМА ")

Мой Windows XP Pro SP3 (с установкой MS SQL Server , разрабатывающим компьютер в рабочей группе ) действительно имеет SYSTEM, но не LocalSystem или « Local System ».

ВОПРОСОВ:

Может кто-нибудь разобраться в этом беспорядке?

Можно записывать часы за часами, день за днем, читая документы MS, чтобы собрать все больше и больше противоречий и недоразумений ...

1) Имеет ли LocalSystem права на доступ к сети или нет? Какой механизм?

2) Являются ли СИСТЕМА и Локальная система (и «Локальная система») синонимами?

Почему они были введены?

Каковы различия между системой и локальной системой

----------

Update1:

Привет, sysamin1138!

Ваши ответы добавляют еще больше путаницы, если сравнивать их с наблюдаемой реальностью, например, с тем фактом, что в установленной Fresh или рабочей группе Windows XP Pro SP3 есть только SYSTEM (но не LocalSystem).

Sysadmin138 написал (а):

• «Различные принципы безопасности для схожих проблем, которые допускают некоторую детализацию в вашем проекте безопасности. Один - только локальный, другой - видимость домена».

Означает ли эта фраза, что LocalSystem добавляется при присоединении компьютера к домену?

Следует ли понимать, что SYSTEM предназначен для «локального» / внутреннего доступа и доступа рабочей группы (идентификация компьютера), а LocalSystem для идентификации компьютера в домене?

----------

Обновление 2: та же рабочая группа Windows XP Pro SP3, если не указано иное

Привет, Sysadmin1138 , в вашем редактировании

«Просто в этом случае SYSTEM и NT Authority / SYSTEM эквивалентны по способности»,

как они (NT Authority / SYSTEM и SYSTEM) связаны с LocalSystem? Вы не ошиблись одним из них с LocalSystem?

Грег Аскью,

«Обратите внимание, что если вы настроите службу для входа в систему как. \ LocalSystem, она все равно будет отображаться как зарегистрированная как NT AUTHORITY \ SYSTEM в Process Explorer или System в диспетчере задач»

Это немного ближе. Я не могу выбрать LocalSystem ни в NTFS / общих ресурсах, ни в списке RunAs. Но в services.msc служба «SQL Server (MS SQL SERVER)» -> двойной щелчок или rc -> Свойства ---> вкладка «Логотип как:» имеет радиобуттом «Локальная системная учетная запись». Этот сервис появляется в диспетчере задач Windows как SYSTEM.

Грег Аскью и sysadmin1138 ,

«NT AUTHORITY» или любой «xxx \» нигде не появляется. Все имена учетных записей имеют одну метку. Обратите внимание, что это компьютер рабочей группы Windows XP. Хотя я запускаю экземпляр ADAM (режим приложения Active Directory).

Я предполагаю, что «NT AUTHORITY» принадлежит той известной «подсистеме безопасности», которая отсутствует в рабочей группе (?). «NT Authority» появится, если я присоединю компьютер к домену?

Список разрешений NTFS / share имеет 2 столбца:

• Колонка «Имя (RDN)» с именами учетных записей с одной меткой
• Столбец «В папке», имеющий либо MyCompName (например, для администратора, администраторов, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER и т. Д.), Либо пустой (например, для ANONYMOUS LOGON, аутентифицированных пользователей, CREaTOR GROUP, CREATOR OWNER, NET , СИСТЕМА и т. Д.).

Первые имеют также синонимы для кодирования как «MyCompName \ xxxx» или «. \ Xxx» (т.е.

• SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
• = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
• =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

Можете ли вы синхронизировать свои ответы в контексте http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (SID компьютеров и SID доменов)?

----------

Обновление 3: та же рабочая группа Windows XP Pro SP3, если не указано иное

Привет, Sysadmin1138 ,

А как посмотреть историю редактирования? а разыменование SID?

Прорвать! cacls показывает "NT Authority \ SYSTEM" ...

Хотя для сервисов все наоборот: все сервисы отображаются на вкладке «Вход»

• кнопка «Локальная системная учетная запись», которая приводит к появлению SYSTEM в WIndowsTaskManager и
• кнопка "This account" -> btn "Browse ...", которая не показывает учетную запись SYSTEM в списке

Извините за ваше время, но я пока не смог добраться ни до одной локальной системы в Windows XP! LocalSystem не появляется нигде в XP! но проблема в том, что все документы MS живут только на LocalSystem ...

Кстати, http://support.microsoft.com/kb/120929 («Как используется системная учетная запись в Windows») говорит о том, что SYSTEM предназначена для внутренней регистрации служб на компьютере, и неожиданно «удивляет» все Windows из NT Workstation 3.1 для Windows Server 2003, кроме Windows XP (?!).

Является ли Windows XP какой-то аномалией в линейке Windows?

----------

Update4: та же рабочая группа Windows XP Pro SP3, если не указано иное

Я не смог обнаружить какую-либо LocalSystem (только «локальная система», упомянутая в тексте для радиокнопки служб LogOn) в Windows XP, хотя все документы MS обычно основаны только на LocalSystem, но не на SYSTEM. Я пометил этот вопрос как ответив, поняв для меня, что Windows XP - это аномалия / исключение в ОС Windows, имеющая некоторую ошибку удобства использования графического интерфейса, и я должен догадаться, как сценарий мог бы появиться в других Windows (с помощью ответов здесь) )

Если это не правильно, пожалуйста, будьте свободны, чтобы доказать / поделиться другой точкой зрения

Update5: та же рабочая группа Windows XP Pro SP3, если не указано иное

Venceremos!

Я нашел "Локальная система" в Windows XP! Это отображается в столбце «Вход в систему» ​​в services.msc!

[вытер большой ответ, резюмируя для ясности. См. Историю редактирования для грязной истории.]

Для локальной системы существует один известный SID. Это S-1-5-18, как вы узнали из этой статьи в КБ. Этот SID возвращает несколько имен при запросе разыменования. Команда командной строки 'cacls' (XP) показывает это как " NT Authority\SYSTEM". Команда командной строки 'icacls' (Vista / Win7) также показывает это как " NT Authority\SYSTEM". Инструменты GUI в проводнике Windows показывают это как " SYSTEM". Когда вы настраиваете службу для запуска, это отображается как " Local System".

Три имени, один SID.

В рабочих группах SID имеет значение только на локальной рабочей станции. При доступе к другой рабочей станции SID передается не только по имени. «Локальная система» не может получить доступ ни к каким другим системам.

В доменах относительный идентификатор - это то, что позволяет учетной записи компьютера получать доступ к ресурсам, не локальным для этого компьютера. Этот идентификатор хранится в Active Directory и используется в качестве принципа безопасности на всех компьютерах, подключенных к домену. Этот идентификатор не S-1-5-18. Он имеет вид S-1-5-21 [domainSID] - [random].

Настройка службы в качестве «Локальной службы» сообщает службе для локального входа на рабочую станцию как S-1-5-18. Он не будет иметь никаких учетных данных домена.

Настройка службы как «Сетевая служба» или «NT Authority \ NetworkService» указывает службе входить в домен как учетная запись домена этого компьютера и будет иметь доступ к ресурсам домена. Конфигуратор служб Windows XP не имеет возможности выбрать «Сетевую службу» в качестве типа входа. Программа установки SQL может.

«Сетевая служба» может делать все, что может «Локальная система», а также получать доступ к ресурсам домена.

«Сетевая служба» не имеет значения в контексте рабочей группы.

Короче:

NT Authority\System= Local System= SYSTEM=S-1-5-18

Если вам нужен сервис для доступа к ресурсам, не расположенным на этом компьютере, вам необходимо:

• Настройте его как Сервис, используя выделенного пользователя для входа
• Настройте его как Сервис с использованием «Сетевой сервис» и принадлежите домену

«Большинство служб работают в контексте безопасности локальной системной учетной записи (иногда отображается как SYSTEM, а иногда как LocalSystem)».

«... Локальная системная учетная запись - это та же учетная запись, в которой работают основные компоненты операционной системы Windows, работающие в пользовательском режиме, в том числе Session Manager (smss.exe), процесс подсистемы Windows (csrss.exe), процесс Local Security Authority ( lsass.exe) и процесс входа в систему (winlogon.exe). "

«... С точки зрения безопасности локальная системная учетная запись является чрезвычайно мощной - более мощной, чем любая учетная запись домена или локальной учетной записи».

- Windows Internals, 5-е издание (стр. 288 - 289).

Обратите внимание, что если вы настроите службу для входа в систему как. \ LocalSystem, она все равно будет отображаться как зарегистрированная как NT AUTHORITY \ SYSTEM в Process Explorer или System в диспетчере задач.

В Windows 7 служба, настроенная на вход в систему как: «Локальная система», имеет имя пользователя «SYSTEM» на вкладке «Процессы диспетчера задач».