Frage Windows LocalSystem und System


https://stackoverflow.com/questions/510170/the-difference-between-the-local-system-account-and-the-network-service-accou erzählt:

Lokales System: Völlig vertraut   Konto, mehr als der Administrator   Konto. Es gibt nichts an einem einzigen   Box, die dieses Konto nicht kann und    Es hat das Recht, auf das Netzwerk zuzugreifen   als die Maschine (dies erfordert Active   Verzeichnis und Gewähren der Maschine   Konto Berechtigungen zu etwas) "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Vorbereiten der Installation von SQL Server 2000 (64 Bit) - Erstellen von Windows-Dienstkonten) sagt:

"Das lokales System Konto nicht   benötige ein Passwort, hat nicht   Netzwerkzugriffsrechte und beschränkt   Ihre SQL Server-Installation von   Interaktion mit anderen Servern."

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (LocalSystem Account, Build date: 8/5/2010) sagt:

"Das Lokales System Konto ist ein   vordefiniertes lokales Konto, das von der   Dienststeuerungsmanager. Dieses Konto    wird von der Sicherheit nicht erkannt   Teilsystem, so dass Sie nicht angeben können   Name in einem Anruf an die   LookupAccountName-Funktion. Es hat   umfangreiche Privilegien auf dem lokalen   Computer und fungiert als der Computer auf   das Netzwerk. Sein Token enthält den NT   AUTORITÄT \ SYSTEM und   BUILTIN \ Administratoren SIDs; diese   Konten haben Zugriff auf die meisten Systeme   Objekte. Der Name des Kontos im   Alle Ländereinstellungen sind. \ LocalSystem. Das   Name, LocalSystem oder   ComputerName \ LocalSystem kann auch sein   gebraucht. Dieser Account hat keine   Passwort. Wenn Sie die Option angeben    Lokales System Konto in einem Anruf an die   CreateService-Funktion, beliebiges Passwort   Informationen, die Sie angeben, werden ignoriert "

http://technet.microsoft.com/en-us/library/ms143504.aspx (Einrichten von Windows-Dienstkonten) sagt:

Lokales System ist sehr privilegiert   eingebautes Konto Es hat viel zu bieten   Privilegien auf dem lokalen System und   fungiert als der Computer im Netzwerk.    > Der tatsächliche Name des Kontos lautet "NT   AUTORITÄT \ SYSTEM ".

Bekannte Sicherheitskennungen in Windows-Betriebssystemen ( http://support.microsoft.com/kb/243330 ) hat keine SYSTEM überhaupt (aber nur "LOKALES SYSTEM")


Meine Windows XP Pro SP3 (mit MS SQL Server Setup, Entwicklungsmaschine in Arbeitsgruppe) hat SYSTEM aber nicht Lokales System oder "Lokales System".

FRAGEN:

Kann jemand dieses Durcheinander beseitigen?

Es ist möglich, Stunden nach Stunden zu verbrennen, Tag für Tag MS-Dokumente zu lesen, nur um mehr und mehr Widersprüche und Missverständnisse zu sammeln ...

1) Hat das lokale System Zugriff auf das Netzwerk oder nicht? Was ist der Mechanismus?

2) Sind das SYSTEM und das LocalSystem (und das "Local System") Synonyme?

Warum wurden sie eingeführt?

Was sind die Unterschiede zwischen SYSTEM und lokalem System?

----------

Update1:

Hallo, sysamin1138!

Ihre Antworten fügen noch mehr Verwirrung hinzu, wenn Sie sie mit der beobachteten Realität vergleichen, zum Beispiel, zu der Tatsache, dass Neu installierte oder Arbeitsgruppe Windows XP Pro SP3 hat nur SYSTEM (aber nicht LocalSystem).

Sysadmin138 hat geschrieben:

  • "Verschiedene Sicherheitsprinzipien für ähnliche Probleme, die ein gewisses Maß an Granularität in Ihrem Sicherheitsdesign ermöglichen. Eines ist lokal, das andere hat Domänensichtbarkeit."

Bedeutet dieser Satz, dass LocalSystem beim Verbinden des Computers mit der Domäne hinzugefügt wird?

Sollte es verstanden werden, dass SYSTEM für "lokalen" / internen und Arbeitsgruppenzugriff (Computeridentifikation) und LocalSystem für die Identifikation von Computern in der Domäne ist?

----------

Update2: gleiche Arbeitsgruppe Windows XP Pro SP3, wenn nicht anders angegeben

Hallo, Sysadmin1138, In deinem Bearbeiten

"Es ist nur, dass in diesem Fall SYSTEM   und NT Authority / SYSTEM sind gleichwertig   Unfähigkeit",

Wie sind sie (NT Authority / SYSTEM und SYSTEM) auf LocalSystem bezogen? Hast du nicht einen Fehler mit LocalSystem gemacht?

Greg Askew,

"Beachten Sie, dass Sie einen Dienst konfigurieren   um sich als. \ LocalSystem anzumelden, wird es   wird immer noch als NT angemeldet angezeigt   AUTHORITY \ SYSTEM im Prozess-Explorer   oder System im Task-Manager "

Das ist ein bisschen näher. Ich kann LocalSystem nicht in NTFS / Freigabe-Voreinstellungen, RunAs-Liste auswählen. Aber in services.msc der Dienst "SQL Server (MS SQL SERVER)" -> Doppelklick oder rc -> Eigenschaften ---> Registerkarte "Logo auf als:" hat radioButtom "Local System account". Dieser Dienst erscheint dann im Windows Task-Manager als SYSTEM

Greg Askew und sysadmin1138,

"NT AUTHORITY" oder irgendein "xxx"  erscheint nirgendwo. Alle Kontonamen sind einzeln gekennzeichnet. Beachten Sie, dass es sich um einen Windows XP-Arbeitsgruppencomputer handelt. Obwohl ich eine Instanz von ADAM (Active Directory Application Mode) ausführen.

Ich denke, "NT AUTHORITY" stammt von dem berühmten "Sicherheits-Subsystem", das in der Arbeitsgruppe fehlt (?) Würde "NT Authority" erscheinen, wenn ich den Computer einer Domäne beitrete?

NTFS / Freigabeberechtigungsliste hat 2 Spalten:

  • "Name (RDN)" Spalte mit Single-Label-Account-Namen
  • Spalte "In Folder" mit entweder MyCompName (z. B. für Administrator, Administratoren, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER usw.) oder leer (z. B. für ANONYMOUS LOGON, Authentifizierte Benutzer, CREATOR GROUP, CREATOR OWNER, NETWORKING SERVICES, SYSTEM, usw.).

Die früheren haben auch Synonyme für die Codierung als "MyCompName \ xxxx" oder ". \ xxx" (d.h.

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MeinCompName $ MSRS10_50.MSSQLSERVER
  • =. \ SQLServerReportServerUser $ MeinCompName $ MSRS10_50.MSSQLSERVER)

Können Sie Ihre Antworten im Kontext von synchronisieren? http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx(Maschinen-SIDs und Domänen-SIDs)?

----------

Update3: gleiche Arbeitsgruppe Windows XP Pro SP3, wenn nicht anders angegeben

Hallo, Sysadmin1138,

Und wie sieht man die Bearbeitungshistorie? und Dereferenzierung SID?

Durchbruch! cacls zeigt "NT Authority \ SYSTEM" ...

Bei Diensten ist alles umgekehrt: Alle Dienste werden unter "Anmelden" angezeigt

  • der Radiobutton "Lokales Systemkonto", der im WindowsTaskManager zu SYSTEM führt und
  • der Radiobutton "Dieses Konto" -> btn "Durchsuchen ...", der das SYSTEM-Konto in der Liste nicht anzeigt

Sorry für deine Zeit, aber ich konnte noch nicht zu einem lokalen System in Windows XP kommen! LocalSystem wird nirgendwo in XP angezeigt! aber das Problem, dass alle MS-Dokumente nur auf LocalSystem wohnen ...

BTW, http://support.microsoft.com/kb/120929 ("Wie das Systemkonto in Windows verwendet wird") sagt, dass SYSTEM für die interne Computer-Protokollierung von Diensten und Überraschung-Überraschung "APPLIES TO" alle Windows von NT Workstation 3.1 zu Windows Server 2003 ist außer Windows XP(?!).

Ist Windows XP eine Anomalie in der Windows-Zeile?

----------

Update4: gleiche Arbeitsgruppe Windows XP Pro SP3, wenn nicht anders angegeben

Ich konnte in Windows XP kein lokales System (nur "lokales System" in Text zu RadioButton von Diensten LogOn) erkennen, obwohl alle MS-Dokumente normalerweise nur auf LocalSystem verweilen, aber nicht auf SYSTEM. Ich habe diese Frage als beantwortet markiert, nachdem ich für mich verstanden habe, dass Windows XP eine Anomalie / Ausnahme in Windows-Betriebssystemen mit einem GUI-Usability-Bug ist und ich raten sollte, wie ein Szenario in anderen Windows (mit Hilfe der Antwort (en) hier erschienen wäre) )

Wenn es nicht korrekt ist, können Sie einen anderen Standpunkt beweisen / teilen


Update5: gleiche Arbeitsgruppe Windows XP Pro SP3, wenn nicht anders angegeben

Venceremos!

Ich habe "Lokales System" in Windows XP gefunden! Es wird in der Spalte "Anmelden als" in services.msc angezeigt!


22
2017-08-10 05:45


Ursprung


Ich habe das schon mehrmals gesagt. "LocalSystem" ist genau dasselbe wie "NT Authority \ System". Sie sind Synonyme. "System" ist eine separate Entität, die zufällig einige (Verwirrung erzeugende) Eigenschaften teilt. - sysadmin1138♦
Ich habe keine "NT Authority \ System" auf der Arbeitsgruppe Windows XP Pro SP3. Ich habe nur "MyCompName \ SYSTEM" - Gennady Vanin Геннадий Ванин
Entschuldigung, mein SYSTEM ist kein Computeraccount (nicht "MyCompName \ SYSTEM"), von dem ich glaube, dass er "NT Authority \ SYSTEM" werden wird, wenn er der Windows Domäne beitritt. Ist es vor dem Beitritt ein Synonym für LocalSystem? Und wird dieses SYSTEM nach dem Beitritt "NT Authority \ SYSTEM" sein? - Gennady Vanin Геннадий Ванин
Diese Frage ist jetzt unlesbar - könnten Sie sie verkürzen und aufräumen? Es würde zukünftigen Lesern helfen, wenn die Frage kurz und einfach ist ^^ +1 - Oskar Duveborn


Antworten:


[wischte große Antwort ab, um Klarheit zu schaffen. Siehe Bearbeiten-Geschichte für schmutzige Geschichte.]

Es gibt eine einzige bekannte SID für das lokale System. Es ist S-1-5-18, wie Sie in diesem KB-Artikel gefunden haben. Diese SID gibt mehrere Namen zurück, wenn sie zur Dereferenzierung aufgefordert werden. Der Befehlsbefehl "cacls" (XP) zeigt dies als "NT Authority\SYSTEMDer Befehlszeilenbefehl 'icacls' (Vista / Win7) zeigt dies auch als "NT Authority\SYSTEM". Die GUI-Tools im Windows Explorer zeigen dies als"SYSTEM". Wenn Sie einen Dienst für die Ausführung konfigurieren, wird dies wie folgt angezeigt:"Local System".

Drei Namen, eine SID.

In Arbeitsgruppen hat die SID nur eine Bedeutung auf der lokalen Arbeitsstation. Beim Zugriff auf eine andere Arbeitsstation wird der SID nicht nur der Name übertragen. Das "lokale System" kann nicht Zugriff auf andere Systeme.

In Domains ermöglicht die relative ID dem Computerkonto den Zugriff auf Ressourcen, die für diesen einen Computer nicht lokal sind. Dies ist die ID, die in Active Directory gespeichert ist und von allen Domänencomputern als Sicherheitsprinzip verwendet wird. Diese ID ist nicht S-1-5-18. Es ist in Form von S-1-5-21 [domainSID] - [zufällig].

Wenn Sie einen Dienst als "Lokaler Dienst" konfigurieren, wird der Dienst angewiesen, sich lokal anzumelden zur Arbeitsstation als S-1-5-18. Es wird nicht haben irgendwelche Domain-Anmeldeinformationen jeglicher Art.

Wenn Sie einen Dienst als "Netzwerkdienst" oder "NT-Autorität \ Netzwerkdienst" konfigurieren, wird der Dienst angewiesen, sich anzumelden zu der Domäne als das Domänenkonto dieses Computers und werden Zugriff auf Domain-Ressourcen haben. Der Windows XP-Dienstkonfigurator verfügt nicht über die Möglichkeit, "Netzwerkdienst" als Anmeldetyp auszuwählen. Das SQL Setup-Programm könnte.

"Network Service" kann alles tun, was "Local System" kann, und auch auf Domain-Ressourcen zugreifen.

"Netzwerkdienst" hat in einem Arbeitsgruppenkontext keine Bedeutung.

Zusamenfassend:

NT Authority\System = Local System = SYSTEM = S-1-5-18

Wenn Sie Ihren Dienst für den Zugriff auf Ressourcen benötigen, die sich nicht auf diesem Computer befinden, müssen Sie entweder:

  • Konfigurieren Sie es als Dienst mit einem dedizierten Anmeldebenutzer
  • Konfigurieren Sie es als Dienst über "Netzwerkdienst" und gehören Sie einer Domäne an

25
2017-08-10 13:13



Tatsächlich ist der Netzwerkdienst ein Konto mit geringen Rechten. Es hat nicht die gleichen Berechtigungen wie das lokale System. Außerdem hat das lokale System in einer Domäne den gleichen Zugriff auf Domänenressourcen wie der Netzwerkdienst, d. H. Es kann sich unter Verwendung des Computerkontos anmelden. - Harry Johnston


"Die meisten Dienste laufen im Sicherheitskontext der lokales System Konto (wird manchmal als SYSTEM und andere Male als LocalSystem angezeigt). "

"... Das lokale Systemkonto ist das gleiche Konto, in dem die zentralen Windows-Benutzermodus-Betriebssystemkomponenten ausgeführt werden, einschließlich des Sitzungsmanagers (smss.exe), des Windows-Subsystemprozesses (csrss.exe), des lokalen Sicherheitsautoritätsprozesses ( lsass.exe) und der Anmeldeprozess (winlogon.exe). "

"... Aus Sicherheitsgründen ist das lokale Systemkonto extrem leistungsfähig - leistungsstärker als jede Domäne oder jedes lokale Konto."

- Windows Internals, 5. Ausgabe (Seite 288 - 289).

Beachten Sie, dass, wenn Sie einen Dienst für die Anmeldung als. \ LocalSystem konfigurieren, er weiterhin als NT AUTHORITY \ SYSTEM in Process Explorer oder System in Task Manager als angemeldet angezeigt wird.

In Windows 7 hat ein Dienst, der auf Anmelden als Konto "Lokales System" eingestellt ist, den Benutzernamen "SYSTEM" auf der Registerkarte Prozesse des Task-Managers.


3