Локальная система: Полностью доверенная учетная запись, более того, чем учетная запись администратора. В одном ящике нет ничего, что не может сделать эта учетная запись и он имеет право доступа к сети в качестве машины (для этого требуется Active Directory и предоставление разрешений учетной записи компьютера для чего-либо) "
http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Подготовка к установке SQL Server 2000 (64-разрядная версия) - Создание учетных записей служб Windows) сообщает:
"The локальная система аккаунт не требует пароля, не имеет прав доступа к сети и ограничивает вашу установку SQL Server от взаимодействия с другими серверами."
http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (Учетная запись LocalSystem, дата сборки: 05.08.2010) сообщает:
"The LocalSystem account - это предопределенная локальная учетная запись, используемая диспетчером управления службами. Этот аккаунт не распознается подсистемой безопасности, поэтому вы не можете указать его имя при вызове функции LookupAccountName. Он имеет обширные привилегии на локальном компьютере и действует как компьютер в сети. Его токен включает идентификаторы безопасности NT AUTHORITY \ SYSTEM и BUILTIN \ Administrators.; эти учетные записи имеют доступ к большинству системных объектов. Имя учетной записи во всех регионах это. \ LocalSystem. Имя, LocalSystem или имя_компьютера \ LocalSystem также можно использовать. У этой учетной записи нет пароля. Если вы укажете LocalSystem учетной записи при вызове функции CreateService, любая предоставленная вами информация о пароле игнорируется "
http://technet.microsoft.com/en-us/library/ms143504.aspx (Настройка учетных записей служб Windows) сообщает:
Локальная система - это встроенная учетная запись с очень высокими привилегиями. Он имеет обширные привилегии в локальной системе и действует как компьютер в сети. > Фактическое имя учетной записи - «NT AUTHORITY \ SYSTEM».
Хорошо известные идентификаторы безопасности в операционных системах Windows ( http://support.microsoft.com/kb/243330 ) не имеет СИСТЕМА вообще (но только "МЕСТНАЯ СИСТЕМА")
Мой Windows XP Pro с пакетом обновления 3 (SP3) (с участием MS SQL Server установка, проявочная машина в рабочая группа) имеет СИСТЕМА но нет LocalSystem или "Локальная система".
ВОПРОСЫ:
Может кто-нибудь разобраться в этом беспорядке?
Можно час за часом, день за днем читать документы MS, чтобы собрать все больше и больше противоречий и недоразумений ...
1) Имеет ли LocalSystem права на доступ к сети или нет? Каков механизм?
2) Являются ли СИСТЕМА и Локальная система (и «Локальная система») синонимами?
Почему они были введены?
В чем разница между SYSTEM и Local System
Обновление1:
Привет, sysamin1138!
Ваши ответы добавляют еще большей путаницы, если сравнивать их с наблюдаемой реальностью, например, с тем фактом, что Свежая установленная или рабочая группа Windows XP Pro SP3 имеет только СИСТЕМУ (но не LocalSystem).
Sysadmin138 написал:
Означает ли эта фраза, что LocalSystem добавляется при присоединении компьютера к домену?
Следует ли понимать, что СИСТЕМА предназначена для "локального" / внутреннего доступа и доступа рабочей группы (идентификация компьютера), а Локальная система - для идентификации компьютера в домене?
Обновление 2: та же рабочая группа Windows XP Pro SP3, если не указано иное
Здравствуй, Сисадмин1138, В вашем Edit
«Просто в этом случае СИСТЕМА и NT Authority / СИСТЕМА эквивалентны по возможностям»,
как они (NT Authority / SYSTEM и SYSTEM) связаны с LocalSystem? Вы не ошиблись с одной из них с помощью LocalSystem?
Грег Аскью,
«Обратите внимание, что если вы настроите службу для входа в систему как. \ LocalSystem, она по-прежнему будет отображаться как авторизованная как NT AUTHORITY \ SYSTEM в Process Explorer или System в диспетчере задач»
Это немного ближе. Я не могу выбрать LocalSystem ни в разрешениях NTFS / share, ни в списке RunAs. Но в services.msc служба «SQL Server (MS SQL SERVER)» -> дважды щелкните или rc -> Свойства -> вкладка «Логотип на as:» имеет радиобутт «Локальная системная учетная запись». Затем эта служба отображается в диспетчере задач Windows как СИСТЕМА.
Грег Аскью и сисадмин1138,
"NT AUTHORITY" или любое другое "xxx \" нигде не появляется. Все имена учетных записей имеют одну метку. Обратите внимание, что это компьютер рабочей группы Windows XP. Хотя я запускаю экземпляр ADAM (режим приложения Active Directory).
Я предполагаю, что «NT AUTHORITY» происходит от той известной «подсистемы безопасности», которая отсутствует в рабочей группе (?). Появится ли «NT Authority», если я присоединю компьютер к домену?
Список разрешений NTFS / share имеет 2 столбца:
У первых также синонимы к слову кодирование как "MyCompName \ xxxx" или ". \ xxx" (т.е.
Можете ли вы синхронизировать свои ответы в контексте http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (SID машины и SID домена)?
Обновление 3: та же рабочая группа Windows XP Pro SP3, если не указано иное
Здравствуй, Сисадмин1138,
А как посмотреть историю редактирования? а разыменование SID?
Прорыв, достижение, открытие! cacls показывает "NT Authority \ SYSTEM" ...
Хотя для сервисов все наоборот: все сервисы отображаются во вкладке «Вход в систему».
Извините за ваше время, но я еще не смог получить доступ к локальной системе в Windows XP! LocalSystem нигде не отображается в XP! но проблема в том, что все документы MS сосредоточены только на LocalSystem ...
Кстати, http://support.microsoft.com/kb/120929 («Как системная учетная запись используется в Windows») сообщает, что СИСТЕМА предназначена для внутреннего журналирования служб компьютера, и неожиданно-неожиданно «ПРИМЕНЯЕТСЯ К» всем Windows от NT Workstation 3.1 до Windows Server 2003 кроме Windows XP(?!).
Windows XP - это аномалия в линейке Windows?
Обновление 4: та же рабочая группа Windows XP Pro SP3, если не указано иное
Я не мог обнаружить ни одной LocalSystem (только «локальную систему», упомянутую в тексте для радиообмена служб LogOn) в Windows XP, хотя все документы MS обычно касаются только LocalSystem, но не SYSTEM. Я отметил этот вопрос как ответ, поняв для меня, что Windows XP является аномалией / исключением в ОС Windows, имеющих некоторую ошибку удобства использования графического интерфейса, и я должен предположить, как сценарий мог бы появиться в другой Windows (с помощью ответа (ов) здесь )
Обновление 5: та же рабочая группа Windows XP Pro SP3, если не указано иное
Венсеремос!
Я нашел "Локальную систему" в Windows XP! Он отображается в столбце «Войти как» в services.msc!
[стер большой ответ, резюмируя для ясности. См. Грязную историю в истории редактирования.]
Для локальной системы существует один хорошо известный SID. Это S-1-5-18, как вы узнали из статьи в базе знаний. Этот SID возвращает несколько имен при запросе на разыменование. Команда командной строки cacls (XP) показывает это как "NT Authority\SYSTEM". Команда командной строки icacls (Vista / Win7) также показывает это как"NT Authority\SYSTEM". Инструменты графического интерфейса в проводнике Windows показывают это как"SYSTEM". Когда вы настраиваете службу для запуска, это отображается как"Local System".
Три имени, один SID.
В рабочих группах SID имеет значение только на локальной рабочей станции. При доступе к другой рабочей станции SID не передается, просто имя. "Локальная система" не может доступ к любым другим системам.
В доменах относительный идентификатор - это то, что позволяет учетной записи компьютера получать доступ к ресурсам, не локальным для этого компьютера. Это идентификатор, хранящийся в Active Directory, и используется в качестве принципа безопасности всеми компьютерами, подключенными к домену. Этот идентификатор не S-1-5-18. Он имеет вид S-1-5-21 [domainSID] - [random].
Настройка службы как «Локальная служба» указывает службе, что необходимо войти в систему локально. на рабочую станцию как S-1-5-18. Это не буду иметь любые учетные данные домена.
Настройка службы как «Сетевая служба» или «NT Authority \ NetworkService» сообщает службе, что необходимо войти в систему. в домен в качестве учетной записи домена этой машины и воля иметь доступ к ресурсам домена. Конфигуратор служб Windows XP не имеет возможности выбрать «Сетевая служба» в качестве типа входа. Программа установки SQL может.
«Сетевая служба» может делать все, что может «Локальная система», а также получать доступ к ресурсам домена.
«Сетевая служба» не имеет значения в контексте рабочей группы.
Коротко:
NT Authority\System знак равно Local System знак равно SYSTEM знак равно S-1-5-18
Если вам нужен сервис для доступа к ресурсам, не расположенным на этом компьютере, вам необходимо:
"Большинство служб работают в контексте безопасности локальная система аккаунт (иногда отображается как SYSTEM, а иногда как LocalSystem) ".
"... Локальная системная учетная запись - это та же учетная запись, в которой работают основные компоненты операционной системы Windows в пользовательском режиме, в том числе диспетчер сеансов (smss.exe), процесс подсистемы Windows (csrss.exe), процесс Local Security Authority ( lsass.exe) и процесс входа в систему (winlogon.exe) ».
«... С точки зрения безопасности учетная запись локальной системы чрезвычайно мощна - более мощна, чем любая учетная запись домена или локального компьютера».
- Внутренние компоненты Windows, 5-е издание (страницы 288 - 289).
Обратите внимание, что если вы настроите службу для входа в систему как. \ LocalSystem, она по-прежнему будет отображаться как авторизованная как NT AUTHORITY \ SYSTEM в Process Explorer или System в диспетчере задач.
В Windows 7 служба, настроенная для входа в систему как: учетная запись «Локальная система» имеет имя пользователя «СИСТЕМА» на вкладке «Процессы диспетчера задач».