Frage Wie gewährt man Netzwerkzugriff auf das LocalSystem-Konto?


Wie gewährst du Zugriff auf Netzwerkressourcen für die LocalSystem (NT AUTHORITY \ SYSTEM) Konto?


Hintergrund

Beim Zugriff auf das Netzwerk das Konto LocalSystem fungiert als der Computer im Netzwerk:

Lokales Systemkonto

Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird.

... und fungiert als der Computer auf der   Netzwerk.

Oder um das Gleiche noch einmal zu sagen: Das LocalSystem-Konto fungiert als der Computer im Netzwerk:

Wenn ein Dienst unter dem Dienst ausgeführt wird   LocalSystem-Konto auf einem Computer, der   ist ein Domänenmitglied, das der Dienst hat   welcher Netzwerkzugriff auch immer gewährt wird   das Computerkonto oder zu irgendwelchen Gruppen   von denen das Computerkonto ein ist   Mitglied.

Wie gewährt man ein "Computer"Zugriff auf einen freigegebenen Ordner und Dateien?


Hinweis:

Computerkonten haben typischerweise wenige   Privilegien und gehören nicht dazu   Gruppen.

Wie würde ich einem Computer Zugriff auf eine meiner Aktien gewähren? bedenkt, dass "Jeder"hat schon Zugang?

Hinweis: Arbeitsgruppe

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |

56
2018-04-26 14:19


Ursprung


Diese Frage ist etwas mit dem früheren verwandt Frage zum Aktivieren des anonymen Zugriffs auf eine Freigabe - zumindest scheint es mit einem anonym zugänglichen Share zu lösen. - CodeFox


Antworten:


In einer Domänenumgebung können Sie Zugriffsrechten für Computerkonten gewähren. Dies gilt für Prozesse, die auf diesen Computern ausgeführt werden LocalSystem oder NetworkService (aber nicht LocalService, welche kann überhaupt nicht auf das Netzwerk zugreifen stellt anonyme Anmeldeinformationen im Netzwerk bereit), wenn sie eine Verbindung zu Remote-Systemen herstellen.

Also, wenn du einen Computer angerufen hast MANGOSie erhalten ein Active Directory-Computerkonto namens MANGO$, denen Sie Berechtigungen gewähren können.

enter image description here

Hinweis: Sie können nichts davon in einer Arbeitsgruppenumgebung tun; Dies gilt nur für Domains.


54
2018-04-26 14:34



+1 und akzeptiert. Aber: Lokaler Service können Zugriff auf das Netzwerk, es "präsentiert nur anonyme Anmeldeinformationen im Netzwerk" (msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx) - Ian Boyd
Ich wusste das nicht, danke. - Massimo
Nur zu erwähnen, nachdem ich eine nicht unbeträchtliche Menge an Zeit damit verbracht habe, dies für mehrere Domains zum Laufen zu bringen, glaube ich nicht, dass es möglich ist. Das heißt, \\ DOMAIN2 \ MANGO $ scheint keinen Zugriff zu gewähren. - BennyB
Dies funktioniert nur, wenn sich die Domänen in einer Vertrauensstellung befinden. Sonst hast du Recht, es funktioniert nicht. - Massimo
Ich dachte, tägliche Gruppen enthalten authentifizierte Benutzer sowie local_service und local_system account? - kakacii


Du nicht. Wenn Sie einen Dienst zum Herstellen einer Verbindung mit Remote-Dateien oder anderen Netzwerkdiensten benötigen, möchten Sie, dass der Dienst als benanntes Konto ausgeführt wird und dass Sie auf dem Remote-Computer diesem benannten Konto Rechte zuweisen.

Es wäre wirklich das Beste, wenn Sie erklären, was Sie zu tun versuchen - auf diese Weise erhalten Sie die besten Antworten.


4
2018-04-26 14:40



Völlig inkorrekt. Sie können Berechtigungen für Computerkonten (und damit für Dienste, die als solche ausgeführt werden) genauso gewähren, wie Sie sie Benutzerkonten gewähren können. Es gibt natürlich Szenarien, in denen dies nicht die beste Lösung ist, aber es ist perfekt machbar. - Massimo
@Massimo: Mfinni sagt nicht, dass Sie es technisch nicht tun können, aber dass Sie es nicht tun möchten - Es ist die beste Vorgehensweise, den Dienst als ein namentlich genanntes Konto auszuführen. - Josh Brower
Die Antwort sah genau so aus, das ist der Grund für meinen Downvote; Auch das Originalposter scheint den Unterschied zwischen einem Benutzerkonto und einem Computer ziemlich gut zu kennen, also schien mir die Beantwortung seiner Frage mit "mach das nicht" einfach nicht richtig zu sein. - Massimo
In einer Arbeitsgruppenumgebung können Sie einem Benutzerkonto, das auf MachineA ... definiert ist, keine Rechte für MachineB zuweisen. Außerdem wurde er speziell gefragt, wie Rechte einem Benutzerkonto zugewiesen werden sollen Maschine Konto, also habe ich darauf geantwortet; und ich sagte auch, dass dies ohne Domain nicht möglich sei. - Massimo
Ian - wenn Sie danach suchen, ist es normalerweise eine bessere Idee, den SQL Server-Agenten und sein Konto zu verwenden oder Integration Services zu verwenden. Sie können detailliertere Informationen erhalten, wenn Sie eine detaillierte Frage stellen, und sie kann immer noch sehr gut auf Situationen anderer Leser angewendet werden. - mfinni


Es ist einfach:

Lege das AD-Konto der Maschine in die lokale Admins-Gruppe und dann diese Maschine (oder ihr lokales Admin-Konto) Kann vollständig über das Netzwerk auf das Ziel zugreifen. Getestet heute, funktioniert gut.


0
2017-08-28 09:39



Obwohl dies funktional ist, wird es NICHT empfohlen oder empfohlen. Das Local System Das Konto wird aus einem bestimmten Grund als lokal bezeichnet. Wenn Sie möchten, dass etwas Netzwerkzugriff hat, sollte der Dienst oder sonstwie so geändert werden, dass er als ein anderer Benutzer ausgeführt wird. Dies wäre wie das Gewähren der guest Konto auf einem Computeradministratorzugriff. Es würde funktionieren, aber das vereitelt den Zweck dessen, wofür es gebaut wurde. - Cory Knutson