我读过这里那:
在本地计算机上,管理员可以将应用程序配置为作为本地服务、网络服务或本地系统运行。这些服务帐户配置和使用起来很简单,但通常在多个应用程序和服务之间共享,无法在域级别进行管理。
我只是不明白为什么这些帐户不能在域级别进行管理,因为它们都有众所周知的 SID?
谢谢你的时间。
答案1
这些是“通用知名 SID”;它们对于每台机器都是相同的,并且没有“域标识符”组件,因此它们不能与任何特定域相关联。(如果有,将机器加入域将中断很多的东西,特别是 ACL。)
例如,普通用户 SID 如下所示S-1-5-21-2814603912-1974576649-1524133500-1001。
这里,21是 SECURITY_NT_NON_UNIQUE,2814603912-1974576649-1524133500是域标识符,1013是相对ID。
相比之下,LOCAL SYSTEM有 SID S-1-5-18。
FWIW,这三个帐户甚至不是 SAM 中的真实账户. 它们是在 Windows 本身中预定义的。