LocalSystem hesabına ağ erişimi nasıl verilir?

65

Ağ kaynaklarına LocalSystem(NT AUTHORITY \ SYSTEM) hesabına nasıl erişersiniz?

Arka fon

Ağa erişirken, LocalSystem hesabı ağdaki bilgisayar gibi davranır :

LocalSystem Hesabı

LocalSystem hesabı, servis kontrol yöneticisi tarafından kullanılan önceden tanımlanmış bir yerel hesaptır.

... ve ağdaki bilgisayar gibi davranır.

Veya yine aynı şeyi söylemek için: LocalSystem hesabı , ağdaki bilgisayar gibi davranır :

Bir hizmet, etki alanı üyesi olan bir bilgisayarda LocalSystem hesabı altında çalıştığında, hizmet, bilgisayar hesabına veya bilgisayar hesabının üyesi olduğu herhangi bir gruba hangi ağ erişimine izin verilirse verilir.

Kişi, paylaşılan bir klasöre ve dosyalara " bilgisayar " erişimi nasıl sağlar?

Not :

Bilgisayar hesaplarının genellikle birkaç ayrıcalığı vardır ve gruplara ait değildir.

Öyleyse, paylaşımlarımdan birine bilgisayar erişimi nasıl verirdim; " Herkes " in zaten erişime sahip olduğunu düşünüyor musunuz?

Not : çalışma grubu

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |
windows  security  authentication  local-system 
Ian Boyd
kaynak
Bu soru, bir paylaşıma anonim erişimin sağlanması ile ilgili daha önceki soru ile biraz ilişkilidir - en azından isimsiz olarak erişilebilir bir payla çözülebilir.
CodeFox

Yanıtlar:

59

Bir etki alanı ortamında, bilgisayar hesaplarına erişim hakları verebilirsiniz; bu , uzaktaki sistemlere bağlandıklarında , bu bilgisayarlarda çalışan LocalSystemveya ağ üzerinde adsız kimlikler sunan NetworkService(ancak değil LocalService, ancak çalışan) işlemler için geçerlidir .

Bu nedenle, adı verilen bir bilgisayarınız varsa, izin verebileceğiniz MANGObir Active Directory bilgisayar hesabınız MANGO$olur.

görüntü tanımını buraya girin

Not : Bunların hiçbirini çalışma grubu ortamında yapamazsınız; bu sadece etki alanları için geçerlidir.

Massimo
kaynak
6
+1 ve kabul edildi. Ama: LocalService olabilir ağına erişmek, sadece ( "ağ üzerinde anonim kimlik sunar" msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx )
Ian Boyd
Sadece bahsetmek gerekirse, bunun birden fazla alan için çalışmasını sağlamak için çok fazla zaman harcamamış olmak mümkün olduğunu sanmıyorum. yani \\ DOMAIN2 \ MANGO $ erişim izni vermedi.
BennyB
Bu, yalnızca etki alanları güven ilişkisi içindeyse işe yarar; Aksi takdirde haklısın, işe yaramıyor.
Massimo
Günlük grupların kimliği doğrulanmış kullanıcıları, local_service ve local_system hesabını içerdiğini düşündüm?
kakacii
LocalSystemBaşka bir işlemin yapabileceği her şeye de erişebileceğini unutmayın . Böylece oturum açan kullanıcıların kimlik bilgilerini çalabilir.
Demi
4

Sen değil. Uzak dosyalara veya diğer ağ servislerine bağlanmak için bir servise ihtiyacınız varsa, o zaman servisin adlandırılmış bir hesap olarak çalışmasını ve uzak makinede, adlandırılmış hesaba haklarını atayın.

Ne yapmaya çalıştığınızı tam olarak açıklarsanız, en iyi yanıtları bu şekilde elde edersiniz.

mfinni
kaynak
6
Tamamen yanlış. Makine hesaplarına (ve bu şekilde onlar gibi çalışan hizmetlere) izinleri, kullanıcı hesaplarına verdiğiniz şekilde verebilirsiniz. Elbette, bunun en iyi çözüm olmayabileceği senaryolar var, ama mükemmel şekilde yapılabilir.
Massimo
1
Cevap tam olarak öyle görünüyordu; Ayrıca, orijinal poster bir kullanıcı hesabı ile bir bilgisayar arasındaki farkı oldukça iyi biliyor gibi görünüyor, bu yüzden "bunu yapma" sorusunu yanıtlamak bana doğru gelmedi.
Massimo
1
Ayrıca, makine hesaplarına izin vermenin gerekli olacağı çok meşru senaryolar vardır. Sadece bilgisayar başlatma komut dosyaları, GPO yazılımı dağıtımı veya yalnızca LocalSystem olarak çalışmak isteyen hizmetler hakkında düşünün ve bu konuda hiçbir şey yapamazsınız. Bunun elbette en iyi uygulama veya "doğru" bir çözüm olduğunu söylemiyorum; ama eğer biri "bunun nasıl yapılacağını" sorarsa Bence "yapma" kesinlikle doğru bir cevap değil.
Massimo
1
Bir çalışma grubu ortamında, MachineB'de MachineA'da tanımlanmış bir kullanıcı hesabına haklar atayamazsınız ... ayrıca, özellikle bir maschine hesabına nasıl haklar atayacağı soruldu . ve bunun bir etki alanı olmadan mümkün olmadığını da söyledim.
Massimo
2
Ian - Peşinde olduğunuz buysa, SQL Server Agent ve hesabını kullanmak veya Integration Services kullanmak genellikle daha iyi bir fikirdir. Ayrıntılı bir soru sorduğunuzda daha fazla ayrıntı alabilirsiniz ve bu, diğer okuyucuların durumları için hala geçerli olabilir.
mfinni
-1

Basit:

Makinenin AD Hesabını yerel Yöneticiler Grubuna yerleştirin ve ardından bu Makine (veya Yerel Yönetici Hesabı) Ağ AŞINDAKİ hedefe tam olarak erişebilir. Bugün test edildi, iyi çalışıyor.

Frank Wolf
kaynak
2
Bu işlevsel olsa da, tavsiye edilmez veya en iyi yöntemdir. Local SystemHesap bir sebeple yerel olarak adlandırılır. Ağ erişimine sahip bir şey istiyorsanız, servis veya başka bir kullanıcı olarak çalışacak şekilde değiştirilmelidir. Bu, guesthesaba makine yöneticisi erişiminde izin vermek gibi olur . İşe yarayacaktı ancak bu, ne için yapıldığının amacını yendi.
Cory Knutson
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.