Во-первых, я хочу уточнить, что я просматривал множество вопросов, касающихся учетной записи «Локальная система», и хотя я чувствую себя осведомленным о свойствах учетной записи, ни один из них, похоже, не объясняет мой сценарий.
Я развертываю службу на Windows Server 2008 клиента. Аппарат уже много лет используется для учета кредитов на принтер и имеет существующую систему учета. Моя услуга - просто взаимодействовать с этой бухгалтерской системой.
Проблема в том, что если я устанавливаю свою службу так же, как и во многих других системах с помощью «Вход в систему как: учетная запись локальной системы» в services.msc, у меня возникают проблемы, связанные с разрешениями.
Сначала я запустил его из cmd, используя различные учетные записи «Администратор», «NT Authority \ Network Service» и «NT Authority \ System». Ни один из них не вызывает никаких проблем. Что особенно странно для последнего.
Это становится еще более странным, когда я захожу в services.msc и переключаюсь на «Эта учетная запись», набираю «nt Authority \ system», и вдруг все работает отлично. Когда я снова меняю его на «Учетную запись локальной системы», проблема возникает снова.
Следует отметить, что машина является частью какой-то рабочей группы, и несколько служб учета печати работают как пользователи домена, созданного моим клиентом. Я мало что знаю об их настройке аутентификации, и я действительно думал, что мне не нужно.
Как может быть разница между «Войти как: учетная запись локальной системы» и «NT Authority \ System»?
Эта статья хорошо это объясняет
Это разные вещи. Учетная запись локальной системы должна содержать токен для NT Authority\System, так что это не объясняет Зачем у вас есть проблемы, но между учетными записями, безусловно, есть различия. Они не синонимичны друг другу.
Это предостережение мог объясните, что вы видите:
Служба, работающая в контексте учетной записи LocalSystem, наследует контекст безопасности SCM. SID пользователя создается из значения SECURITY_LOCAL_SYSTEM_RID. Учетная запись не связана с какой-либо учетной записью вошедшего в систему пользователя. Это имеет несколько последствий:
• Раздел реестра HKEY_CURRENT_USER связан с пользователем по умолчанию, а не с текущим пользователем. Чтобы получить доступ к профилю другого пользователя, выдайте себя за пользователя, а затем зайдите в HKEY_CURRENT_USER.
• Сервис может открыть ключ реестра HKEY_LOCAL_MACHINE \ SECURITY.
• Служба представляет учетные данные компьютера удаленным серверам.
• Если служба открывает командное окно и запускает пакетный файл, пользователь может нажать CTRL + C, чтобы завершить пакетный файл и получить доступ к командному окну с разрешениями LocalSystem.