Windows LocalSystem 与系统

Windows LocalSystem 与系统

https://stackoverflow.com/questions/510170/the-difference-between-the-local-system-account-and-the-network-service-accou告诉:

本地系统:完全信任的帐户,比管理员帐户更信任。单个机器上没有这个帐户不能做的事情, 它有访问网络的权利 作为机器(这需要 Active Directory 并授予机器帐户某些权限)”

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx(准备安装 SQL Server 2000(64 位) - 创建 Windows 服务帐户) 告诉:

“这本地系统账户不需要密码,没有网络访问权限,并限制您的 SQL Server 安装与其他服务器交互。

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx(本地系统帐户,建立日期:2010 年 8 月 5 日) 告知:

“这本地系统帐户是服务控制管理器使用的预定义本地帐户。此帐户 未被安全子系统识别,因此您无法在调用 LookupAccountName 函数时指定其名称。它在本地计算机上拥有广泛的权限,并充当网络上的计算机。其令牌包括 NT AUTHORITY\SYSTEM 和 BUILTIN\Administrators SID;这些帐户可以访问大多数系统对象。帐户名称在所有语言环境中都是 .\LocalSystem。 名字,LocalSystem 或 ComputerName\LocalSystem也可以使用。此帐户没有密码。如果您指定 本地系统在调用 CreateService 函数时,您提供的任何密码信息都会被忽略”

http://technet.microsoft.com/en-us/library/ms143504.aspx (设置 Windows 服务帐户) 讲述:

本地系统是一个具有极高权限的内置帐户。它在本地系统上拥有广泛的权限,并充当网络上的计算机。 > 该帐户的实际名称是“NT AUTHORITY\SYSTEM”。

Windows 操作系统中众所周知的安全标识符(http://support.microsoft.com/kb/243330)没有任何系统完全没有(但只有“本地系统“)


我的Windows XP 专业版 SP3(和微软 SQL 服务器设置,开发机器工作组)确实有系统但不是本地系统或者 ”本地系统“。

问题:

有人能清理一下这个烂摊子吗?

有可能你每天要花上几个小时阅读 MS 文档,结果却发现越来越多的矛盾和误解......

1)LocalSystem 是否有权限访问网络?机制是怎样的?

2)SYSTEM 和 LocalSystem(以及“本地系统”)是同义词吗?

为什么要引入它们?

SYSTEM 和本地系统之间有什么区别

----------

更新1:

你好,sysamin1138!

如果你把你的答案与观察到的现实进行比较,你会发现更加令人困惑,例如全新安装或工作组 Windows XP Pro SP3 仅具有 SYSTEM(但没有 LocalSystem)。

Sysadmin138写道:

  • “针对类似问题采用不同的安全原则,这可以使您的安全设计更加细化。一个是本地的,另一个具有域可见性。”

这句话是否意味着在计算机加入域时添加了 LocalSystem?

是否应该理解为 SYSTEM 用于“本地”/内部和工作组访问(计算机识别)而 LocalSystem 用于域中的计算机识别?

----------

Update2:若无特别说明,则使用同一工作组 Windows XP Pro SP3

你好,系统管理员1138,在你的编辑

“只是在这种情况下,SYSTEM 和 NT Authority/SYSTEM 的能力是相当的”,

它们 (NT Authority/SYSTEM 和 SYSTEM) 与 LocalSystem 有何关系?您没有将其中一个与 LocalSystem 混淆吗?

格雷格·阿斯库

“请注意,如果您将服务配置为以 .\LocalSystem 身份登录,它在进程资源管理器中或任务管理器中的系统中仍将显示为以 NT AUTHORITY\SYSTEM 身份登录”

这更接近一点。我无法在 NTFS/共享权限、RunAs 列表中选择 LocalSystem。但在 services.msc 中,服务“SQL Server (MS SQL SERVER)”--> 双击或 rc --> 属性 ---> 选项卡“登录为:”有单选按钮“本地系统帐户”。然后,此服务在 Windows 任务管理器中显示为 SYSTEM

Greg Askew 和 sysadmin1138

“NT AUTHORITY”或任何“xxx\” 没有出现在任何地方。所有帐户名称都是单标签的。请注意,它是 Windows XP 工作组计算机。虽然我运行的是 ADAM(Active Directory 应用程序模式)的一个实例。

我猜“NT AUTHORITY”来自那个著名的“安全子系统”,它在工作组中不存在(?)如果我将计算机加入域,会出现“NT Authority”吗?

NTFS/共享权限列表有2列:

  • “名称(RDN)”列具有单标签帐户名称
  • “文件夹内”列包含 MyCompName(例如,对于 Administrator、Administrators、ASPNET、SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER 等)或空白(例如,对于 ANONYMOUS LOGON、Authenticated Users、CREaTOR GROUP、CREAtOR OWNER、 网络服务系统, ETC。)。

前者也编码的同义词作为“MyCompName\xxxx”或“.\xxx”(即

  • SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER =
  • = MyCompName\SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER
  • = .\SQLServerReportServer用户$MyCompName$MSRS10_50.MSSQLSERVER)

你能在以下情况下同步你的答案吗http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx(机器 SID 和域 SID)?

----------

Update3: 若无特别说明,则使用同一工作组 Windows XP Pro SP3

你好,系统管理员1138

如何查看编辑历史?如何取消引用 SID?

突破!cacls 显示“NT Authority\SYSTEM”...

但对于服务来说,情况恰恰相反:所有服务都显示在“登录”选项卡下

  • 单选按钮“本地系统帐户”,导致 WIndowsTaskManager 中的 SYSTEM 和
  • “此帐户”单选按钮 --> 按钮“浏览...”未在列表中显示系统帐户

很抱歉耽误您的时间,但我还无法在 Windows XP 中找到任何 LocalSystem!LocalSystem 在 XP 中没有显示!但问题是所有 MS 文档都只涉及 LocalSystem...

顺便提一句,http://support.microsoft.com/kb/120929(“系统帐户在 Windows 中的使用方式”)告诉我们,SYSTEM 用于计算机内部服务日志记录,令人惊讶的是,“适用于”从 NT Workstation 3.1 到 Windows Server 2003 的所有 Windows除了 Windows XP(?!)。

Windows XP 是否是 Windows 系列中的异常现象?

----------

Update4: 若无特别说明,则使用同一工作组 Windows XP Pro SP3

我在 Windows XP 中检测不到任何本地系统(文本中只提到“本地系统”以用于服务登录单选按钮),尽管所有 MS 文档通常只涉及本地系统,而不涉及系统。我将这个问题标记为已回答,因为我明白 Windows XP 是 Windows 操作系统中的异常/例外,存在一些 GUI 可用性错误,我应该猜测其他 Windows 中会出现什么情况(借助此处的答案)

如果不正确,请随意证明/分享另一种观点


Update5: 若无特别说明,则使用同一工作组 Windows XP Pro SP3

我们走吧!

我在 Windows XP 中找到了“本地系统”!它显示在 services.msc 中的“以...身份登录”列中!

答案1

[删除大段答案,进行总结以求清晰。请参阅编辑历史以了解肮脏的故事。]

本地系统有一个众所周知的 SID。它是 S-1-5-18,正如您从该 KB 文章中找到的一样。当要求取消引用时,此 SID 会返回多个名称。'cacls' 命令行命令 (XP) 将其显示为“ NT Authority\SYSTEM”。'icacls' 命令行命令 (Vista/Win7) 也将其显示为“ NT Authority\SYSTEM”。Windows 资源管理器中的 GUI 工具将其显示为“ SYSTEM”。当您配置要运行的服务时,它显示为“ Local System”。

三个名称,一个 SID。

在工作组中,SID 仅在本地工作站上有意义。访问另一个工作站时,SID 不会传输,只是名称。“本地系统”不能访问任何其他系统。

在域中,相对 ID 允许计算机帐户访问该计算机以外的资源。这是存储在 Active Directory 中的 ID,所有与域连接的计算机都将其用作安全原则。此 ID 不是 S-1-5-18。它的格式为 S-1-5-21[domainSID]-[random]。

将服务配置为“本地服务”告知服务在本地登录到工作站为 S-1-5-18。它将不会拥有任何类型的域凭证。

将服务配置为“网络服务”或“NT Authority \ NetworkService”会告知服务登录到域作为该机器的域帐户,并且将要有权访问域资源。Windows XP 服务配置器无法选择“网络服务”作为登录类型。SQL 安装程序可以。

“网络服务”可以执行“本地系统”可以执行的所有操作,还可以访问域资源。

“网络服务”在工作组环境中没有意义。

简而言之:

NT Authority\System= Local System= SYSTEM=S-1-5-18

如果您需要您的服务访问不在该机器上的资源,您需要:

  • 使用专用登录用户将其配置为服务
  • 使用“网络服务”将其配置为服务并属于域

答案2

“大多数服务都在本地系统帐户(有时显示为SYSTEM,有时显示为LocalSystem)。”

“...本地系统帐户与核心 Windows 用户模式操作系统组件运行的帐户相同,包括会话管理器 (smss.exe)、Windows 子系统进程 (csrss.exe)、本地安全机构进程 (lsass.exe) 和登录进程 (winlogon.exe)。”

“...从安全角度来看,本地系统帐户非常强大 - 比任何域或本地帐户都强大。”

-- Windows Internals,第 5 版(第 288 至 289 页)。

请注意,如果您将服务配置为以 .\LocalSystem 身份登录,它在 Process Explorer 中或任务管理器中的系统中仍将显示为以 NT AUTHORITY\SYSTEM 身份登录。

在 Windows 7 中,设置为以“本地系统”帐户身份登录的服务在任务管理器进程选项卡中的用户名为“SYSTEM”。

相关内容