Windows LocalSystem vs. Sistemi

23

/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accou :

Yerel Sistem: Tamamen güvenilir hesap, yönetici hesabından çok daha fazla. Tek bir kutuda bu hesabın yapamadığı hiçbir şey yoktur ve ağa makine olarak erişme hakkı vardır (bu, Active Directory gerektirir ve makine hesabına bir şey için izin verir) "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (SQL Server 2000'i kurmaya hazırlanıyor (64 bit) - Windows Hizmet Hesapları Oluşturma) şunları söylüyor:

" Yerel sistem hesabı bir şifre gerektirmiyor, ağ erişim haklarına sahip değil ve SQL Server kurulumunuzun diğer sunucularla etkileşime girmesini engelliyor. "

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (LocalSystem Hesabı, Oluşturma tarihi: 8/5/2010):

" LocalSystem hesabı, hizmet kontrol yöneticisi tarafından kullanılan önceden tanımlanmış bir yerel hesaptır. Bu hesap , güvenlik alt sistemi tarafından tanınmaz , bu nedenle adını LookupAccountName işlevine yapılan çağrıda belirtemezsiniz. Yerel bilgisayarda kapsamlı ayrıcalıklara sahiptir ve ağ üzerindeki bilgisayar görevi görür, belirteci NT AUTHORITY \ SYSTEM ve BUILTIN \ Administrators SID içerir , bu hesaplar çoğu sistem nesnesine erişebilir.Tüm yerel ayarlarda hesabın adı . \ LocalSystem . Adı, LocalSystem veya ComputerName. \ LocalSystem da kullanılabilir. Bu hesap şifre yok. Eğer belirtirseniz LocalSystem CreateService işlevine yapılan bir çağrıda, hesabınız sağladığınız parola bilgileri dikkate alınmaz "

http://technet.microsoft.com/en-us/library/ms143504.aspx (Windows Hizmet Hesaplarını Ayarlama) şunları söyler:

Yerel Sistem çok ayrıcalıklı bir yerleşik hesaptır. Yerel sistem üzerinde geniş bir ayrıcalıklara sahiptir ve ağdaki bilgisayar görevi görür. > Hesabın gerçek adı "NT AUTHORITY \ SYSTEM" dir.

Windows işletim sistemlerinde iyi bilinen güvenlik tanımlayıcıları ( http://support.microsoft.com/kb/243330 ) hiçbir SİSTEM'e sahip değil (yalnızca " YEREL SİSTEM ")

Benim Windows XP Pro SP3 (ile MS SQL Server kurulumu, makineyi geliştirerek çalışma grubu ) var SİSTEMİ ancak LocalSystem veya " Yerel Sistem ".

SORULAR:

Birileri bu pisliği temizleyebilir mi?

Daha fazla çelişki ve yanlış anlaşılmaları toplamak için, MS doktorları okuduktan sonra saatlerce, günden güne saat yazmak mümkündür ...

1) LocalSystem'in ağa erişme hakkı var mı, yok mu? Mekanizma nedir?

2) SYSTEM ve LocalSystem (ve "Local System") eş anlamlı mı?

Neden tanıtıldılar?

SYSTEM ve Yerel Sistem arasındaki farklar nelerdir?

----------

Update1:

Merhaba, sysamin1138!

Örneğin, Windows XP Pro SP3'ün Taze yüklü veya çalışma grubu yalnızca SİSTEM'e sahip (ancak LocalSystem değil) olduğu gerçeğiyle karşılaştırılırsa, cevaplarınız daha fazla karışıklık katar .

Sysadmin138 şunu yazdı:

  • "Güvenlik tasarımınızda biraz ayrıntı alanı sağlayan benzer sorunlar için farklı güvenlik ilkeleri. Biri yalnızca yerel, diğeri etki alanı görünürlüğüne sahip."

Bu cümle, LocalSystem'ın bilgisayarı etki alanına katıldığında eklediği anlamına mı geliyor?

SYSTEM'in "yerel" / dahili ve çalışma grubu erişimi (bilgisayar kimliği) ve etki alanındaki bilgisayarın kimliği için LocalSystem için olduğu anlaşılmalıdır?

----------

Güncelleme2: aynı çalışma grubu Windows XP Pro SP3, aksi belirtilmezse

Merhaba, Sysadmin1138 , Düzenlemenizde

“Sadece bu durumda SİSTEM ve NT Yetkilisi / SİSTEM kabiliyetine eşdeğerdir”,

LocalSystem ile nasıl ilişkilidirler (NT Authority / SYSTEM ve SYSTEM)? Bunlardan birini LocalSystem ile değiştirmediniz mi?

Greg Askew,

"Bir hizmeti. \ LocalSystem olarak oturum açacak şekilde yapılandırırsanız, İşlem Gezgini'nde veya Görev Yöneticisi'nde Sistem NT AUTHORITY \ SYSTEM olarak oturum açmış gibi görüneceğini unutmayın"

Bu biraz daha yakın. LocalSystem'ı NTFS / paylaşım önerileri, RunAs listesinde seçemiyorum. Ancak services.msc hizmetinde "SQL Server (MS SQL SUNUCUSU)" -> çift tıklayın veya rc -> Özellikler ---> sekmesi "Logo as as:" radyobuttom "Yerel Sistem hesabı" na sahip. Bu hizmet daha sonra Windows Görev Yöneticisi'nde SİSTEM olarak görünür.

Greg Askew ve sysadmin1138 ,

"NT AUTHORITY" veya "Xxx \" herhangi bir yerde görünmüyor. Tüm hesap adları tek etiketlidir. Windows XP çalışma grubu bilgisayarı olduğuna dikkat edin. Yine de bir ADAM örneği çalıştırdım (Active Directory Uygulama Modu).

Sanırım "NT AUTHORITY" çalışma grubunda bulunmayan ünlü "güvenlik alt sisteminden" (?) Bilgisayarı bir etki alanına dahil edersem "NT Authority" görünür mü?

NTFS / paylaşım izni listesinde 2 sütun vardır:

  • Tek etiketli hesap adlarına sahip "Ad (RDN)" colum
  • MyCompName (örneğin, Yönetici, Yöneticiler, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER, vb.) Veya "Boş Klasör" sütununda (örneğin, ANONYMOUS LOGON, Kimliği doğrulanmış kullanıcılar, CREATOR GROUP, CREATOR, SERVİS, AĞOR, SERVİS SİSTEM , vb.)

Eskileri de "MyCompName \ xxxx" veya ". \ Xxx" olarak kodlamakla eşanlamlıdır .

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

Cevaplarınızı http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (Makine SID’leri ve Etki Alanı SID’leri) bağlamında senkronize edebilir misiniz ?

----------

Güncelleme3: aynı çalışma grubu Windows XP Pro SP3, aksi belirtilmezse

Merhaba, Sysadmin1138 ,

Ve düzenleme tarihini nasıl görebilirim? ve dereference SID?

Etkileme! cacls "NT Authority \ SYSTEM" gösteriyor ...

Her ne kadar hizmetler için her şey tersi olsa da: tüm hizmetler "Oturum Aç" sekmesi altında gösteriliyor

  • WIndowsTaskManager’da SYSTEM ile sonuçlanan “Local System account”
  • SİSTEM hesabını listede göstermeyen "Bu hesap" radyo düğmesi -> btn "Göz at ..."

Zamanınız için üzgünüm ama Windows XP'deki henüz hiçbir LocalSystem'a ulaşamadım! LocalSystem XP'de hiçbir yerde görünmüyor! Ancak tüm MS dokümanlar sadece LocalSystem üzerinde yaşadığı sorun ...

BTW, http://support.microsoft.com/kb/120929 ("Sistem hesabı Windows’da nasıl kullanılır") SYSTEM’in hizmetlerin bilgisayar günlüğünde dahili olarak bulunduğunu ve tüm Windows’tan "Sürdürülen ŞEKLİ" NT Workstation 3.1'den Windows Server 2003'e, Windows XP (?!) Hariç .

Windows XP'de Windows hattında bir anomali var mı?

----------

Güncelleme4: aynı çalışma grubu Windows XP Pro SP3, aksi belirtilmezse

Tüm MS dokümanlar genellikle yalnızca LocalSystem üzerinde çalışsa da SYSTEM değil, Windows XP'de herhangi bir LocalSystem (yalnızca "LogOn hizmetinin radyo düğmesini kullanan metinde" yerel sistem ") tespit edemedim. Bu soruyu, benim için, Windows XP'nin bazı GUI kullanılabilirlik hatası olan Windows işletim sistemlerinde anomali / istisna olduğunu anladığım için işaretledim ve diğer senaryolarda nasıl bir senaryo ortaya çıkacağını tahmin etmeliyim (cevapların yardımı ile) )

Doğru değilse, lütfen başka bir bakış açısını kanıtlamak / paylaşmaktan çekinmeyin

Update5: aynı çalışma grubu Windows XP Pro SP3, aksi belirtilmezse

Venceremos!

Windows XP'de "Yerel Sistem" i buldum! Services.msc'de "Farklı Oturum Aç" sütununda gösterilir!

windows  sql-server  network-share  workgroup 
Gennady Vanin Геннадий Ванин
kaynak
1
Bunu zaten birkaç kez söyledim. "LocalSystem", "NT Authority \ System" ile aynı şeydir. Onlar eş anlamlıdır. "Sistem", bazı (karışıklık yaratan) özellikleri paylaşan bir başka varlıktır.
sysadmin1138
Windows XP Pro SP3 çalışma grubunda "NT Authority \ System" yok. Ben sadece "Bilgisayarım \ SİSTEMİ" var
Gennady Vanin Геннадий Ванин 10:10
Üzgünüz, SİSTEMİM, Windows etki alanına katıldığında "NT Authority \ SYSTEM" olacağına inandığım bilgisayar hesabı değil ("Bilgisayarım Adı \ SİSTEMİ" değil). Katılmadan önce LocalSystem ile eş anlamlı mı? Ve bu SİSTEM, katılımdan sonra "NT Authority \ SYSTEM" olacak mı?
Gennady Vanin Геннадий Ванин 10:10
3
Bu soru şimdi okunamıyor - kısaltabilir ve giderebilir misiniz? Eğer soru kısa ve basit olursa gelecek okuyuculara yardımcı olur ^^ +1
Oskar Duveborn

Yanıtlar:

26

[netlik için özetleyen, büyük cevap sildi. Kederli hikaye için düzenleme geçmişine bakınız.

Yerel sistem için iyi bilinen tek bir SID var. Bu KB makalesinde gördüğünüz gibi S-1-5-18. Bu SID, başvurunun reddedilmesi istendiğinde birden çok ad döndürür. 'Cacls' komut satırı komutu (XP) bunu " NT Authority\SYSTEM" olarak gösterir . 'İcacls' komut satırı komutu (Vista / Win7) bunu " NT Authority\SYSTEM" olarak da gösterir . Windows Gezgini'ndeki GUI araçları bunu " SYSTEM" olarak gösterir . Bir Hizmeti çalışacak şekilde yapılandırırken, bu " Local System" olarak gösterilir .

Üç isim, bir SID.

Çalışma Gruplarında, SID'nin yalnızca yerel iş istasyonunda bir anlamı vardır. Başka bir iş istasyonuna erişirken, SID sadece isim aktarılmaz. 'Yerel Sistem' olamaz başka sistemlere erişim.

Etki Alanlarında, Göreli Kimlik, Makine Hesabı'nın o makinede yerel olmayan kaynaklara erişmesine izin veren şeydir. Bu, Active Directory'de depolanan kimliktir ve etki alanına bağlı tüm makineler tarafından güvenlik ilkesi olarak kullanılır. Bu kimlik S-1-5-18 değildir. S-1-5-21 [domainSID] - [random] şeklindedir.

Bir servisi "Yerel Servis" olarak yapılandırmak, servise yerel olarak iş istasyonunda S-1-5-18 olarak oturum açmasını söyler . Bu alışkanlık herhangi bir tür Alan kimlik bilgilerine sahip.

"Ağ Hizmeti" veya "NT Authority \ NetworkService" gibi bir hizmeti yapılandırma oturum hizmeti söyler etki alanına bu makinenin etki alanı hesabı olarak ve edecektir Alan kaynaklara erişebilir. Windows XP Hizmet Yapılandırıcısı, bir oturum açma türü olarak "Ağ Hizmeti" ni seçme yeteneğine sahip değildir. SQL Kur programı olabilir.

"Şebeke Servisi", "Yerel Sistem" in yapabileceği her şeyi yapabilir ve Etki Alanı kaynaklarına erişebilir.

Çalışma Grubu bağlamında "Ağ Hizmeti" nin hiçbir anlamı yoktur.

Kısacası:

NT Authority\System= Local System= SYSTEM=S-1-5-18

Bu makinede bulunmayan kaynaklara erişmek için servisinize ihtiyacınız varsa, şunlardan birini yapmanız gerekir:

  • Özel bir giriş kullanıcısı kullanarak bunu Hizmet olarak yapılandırın
  • "Ağ Hizmeti" kullanarak bir Hizmet olarak yapılandırın ve bir etki alanına ait
sysadmin1138
kaynak
1
Aslında, Şebeke Servisi düşük ayrıcalıklı bir hesaptır. Yerel Sistem ile aynı ayrıcalıklara sahip değil. Ayrıca, bir etki alanında, Yerel Sistem, etki alanı kaynaklarına Ağ Hizmeti ile aynı erişime sahiptir, yani bilgisayar hesabını kullanarak giriş yapabilir.
Harry Johnston,
Bu kullanıcı için% USERNAME% çevre değişkeni neden bilgisayarın adını ve ardından "$" dolar işaretini kullanıyor?
rory.ap
@ rory.ap Daha önce olmasa da, Windows NT’ye dayanan eski kurallara göre, gizli hesapların (ve dosya paylaşımlarının) dolar işareti eki vardır. Ve gizli olarak demek istediğim bazı ekran araçlarında görünmüyor.
sysadmin1138
3

"Hizmetlerin çoğu, yerel sistem hesabının güvenlik bağlamında çalışır (bazen SYSTEM ve diğer zamanlarda LocalSystem olarak görüntülenir)."

"... Yerel sistem hesabı, Oturum Yöneticisi (smss.exe), Windows alt sistemi işlemi (csrss.exe), Yerel Güvenlik Yetkilisi işlemi (dahil olmak üzere, çekirdek Windows kullanıcı modu işletim sistemi bileşenlerinin çalıştığı hesaptır) lsass.exe) ve Oturum Açma işlemi (winlogon.exe). "

“... Güvenlik açısından, yerel sistem hesabı son derece güçlü - herhangi bir etki alanı veya yerel hesaptan daha güçlü.”

- Windows Internals, 5. Baskı (sayfa 288 - 289).

Bir hizmeti. \ LocalSystem olarak oturum açacak şekilde yapılandırırsanız, İşlem Gezgini'nde veya Görev Yöneticisi'nde Sistem olarak NT AUTHORITY \ SYSTEM olarak oturum açmış gibi görüneceğini unutmayın.

Windows 7'de, Oturum Aç olarak ayarlanan bir hizmet: "Yerel Sistem" hesabı, Görev Yöneticisi İşlemleri sekmesinde "SİSTEM" Kullanıcı Adına sahiptir.

Greg Askew
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.