root против администратора против SYSTEM

14

Сравнивая различные дистрибутивы Linux с программным обеспечением Windows, какова принципиальная разница с точки зрения уровней доступа к административным учетным записям ?

Я всегда думал, что учетная запись администратора Windows эквивалентна корневой учетной записи Unix . Но как насчет СИСТЕМЫ ? Это не обычная учетная запись пользователя, но, выполняя различные приемы, вы можете получить оболочку, но у нее действительно есть какие-то большие разрешения, чем у учетной записи администратора?

Брайан
источник

Ответы:

13

Основное различие между Администратором и СИСТЕМОЙ заключается в том, что Администратор является реальной учетной записью (например, у него есть пароль), а СИСТЕМА - нет. (Собственно говоря, SYSTEM является «принципалом безопасности».)

Одно практическое отличие состоит в том, что, если компьютер присоединен к домену, процессы, выполняющиеся как SYSTEM, могут обращаться к серверам домена в контексте учетной записи домена компьютера. Процессы, работающие от имени администратора, не имеют доступа к компьютерам домена, если пароль не совпадает или не предоставлены альтернативные учетные данные.

Для файла, каталога, раздела реестра или другого защищаемого объекта возможно предоставить доступ только к SYSTEM, а не к Администратору. Однако я не знаю ни одного примера установки Windows по умолчанию. Изменить: я забыл о ключе SAM, содержащем информацию о локальной учетной записи. Это имеет полный контроль, предоставленный только СИСТЕМЕ, с группой «Администраторы», не имеющей ни прав чтения, ни записи. Kreemoweet также отметил, что Vista имеет ряд других примеров.

Конечно, администратор может переопределить любые разрешения в любом случае.

Есть один или два особых случая. Например, функция WTSQueryUserToken позволяет программе получить токен доступа, который можно использовать для запуска нового процесса в контексте указанного вошедшего в систему пользователя. Эта функция может использоваться только процессами, которые выполняются как СИСТЕМА, а не процессами, выполняющимися как Администратор.

Гарри Джонстон
источник
1
В Vista списки ACL по умолчанию для неисчислимых разделов реестра и файлов сохраняют полный контроль над System или TrustedInstaller. Папки \ winsxs \ и system32 \ drivers \ являются двумя такими. Свойства безопасности многих разделов реестра даже не могут быть просмотрены администраторами.
kreemoweet
@kreemoweet: Интересно. Я не имел ничего общего с Vista. В Windows 7 разрешения для папок winsxs и драйверов одинаковы для администраторов и для SYSTEM. (Действительно странная вещь, конечно, в том, что разрешения для системы SYSTEM явно предоставлены; это избыточно, поскольку токен SYSTEM всегда включает группу «Администраторы».)
Harry Johnston
4

Root в Linux эквивалентен Администратору и Системе Windows.

Видите ли, вы можете законно войти в Linux как root на многих дистрибутивах. Вы не можете действительно сделать это с Windows, используя системную учетную запись. Root также запускает все службы на компьютере по умолчанию, как это делает система для Windows. Вы входите в Windows как администратор, но службы не работают под ним, если это не указано специально.

Кевин Шофф
источник
+1. Два счета в окнах похожи на две стороны одной монеты.
Xyon