Come concedere l'accesso alla rete all'account LocalSystem?

Come si concede l'accesso alle risorse di rete LocalSystemall'account (NT AUTHORITY \ SYSTEM)?

sfondo

Quando si accede alla rete, l'account LocalSystem funge da computer sulla rete :

Account del sistema locale

L'account LocalSystem è un account locale predefinito utilizzato dal gestore controllo servizi.

... e funge da computer sulla rete.

O per ripetere ancora la stessa cosa: l'account LocalSystem funge da computer sulla rete :

Quando un servizio viene eseguito con l'account LocalSystem su un computer che è un membro di dominio, il servizio ha qualunque accesso di rete concesso all'account del computer o a qualsiasi gruppo di cui l'account del computer è membro.

Come si garantisce a un " computer " l'accesso a una cartella e file condivisi?

Nota :

Gli account computer in genere hanno pochi privilegi e non appartengono a gruppi.

Quindi, come posso garantire a un computer l'accesso a una delle mie condivisioni; considerando che " Tutti " hanno già accesso?

Nota : gruppo di lavoro

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |

— Ian Boyd
fonte

Questa domanda è leggermente correlata alla domanda precedente relativa all'abilitazione dell'accesso anonimo a una condivisione - almeno sembra che possa essere risolta con una condivisione accessibile in modo anonimo.

— CodeFox,

Risposte:

In un ambiente di dominio, è possibile concedere diritti di accesso agli account dei computer; questo vale per i processi in esecuzione su quei computer come LocalSystemo NetworkService(ma non LocalService, che presenta credenziali anonime sulla rete) quando si collegano a sistemi remoti.

Quindi, se hai un computer chiamato MANGO, avrai un account computer Active Directory chiamato MANGO$, a cui puoi concedere le autorizzazioni.

inserisci qui la descrizione dell'immagine

Nota : non è possibile eseguire alcuna operazione in un ambiente di gruppo di lavoro; questo vale solo per i domini.

— Massimo
fonte

+1 e accettato. Ma: LocalService può accedere alla rete, semplicemente "presenta credenziali anonime sulla rete" ( msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx )

— Ian Boyd

Solo per citare, dopo aver trascorso una quantità non trascurabile di tempo a cercare di farlo funzionare per più domini, non credo sia possibile. cioè \\ DOMAIN2 \ MANGO $ non sembra concedere l'accesso.

— BennyB,

Funziona solo se i domini sono in una relazione di trust; altrimenti, hai ragione, non funziona.

— Massimo

Pensavo che i gruppi di tutti i giorni includessero utenti autenticati nonché account local_service e local_system?

— kakacii,

Nota che LocalSystempuò anche accedere a tutto ciò che può fare qualsiasi altro processo. Può quindi rubare le credenziali degli utenti che hanno effettuato l'accesso.

— Demi,

Non Se è necessario un servizio per connettersi a file remoti o altri servizi di rete, si desidera che il servizio venga eseguito come account con nome e, sul computer remoto, assegnare i diritti a tale account.

Sarebbe davvero meglio se spiegassi completamente cosa stai cercando di fare, in questo modo otterrai le risposte migliori.

— mfinni
fonte

Totalmente errato. Puoi concedere le autorizzazioni agli account macchina (e quindi ai servizi in esecuzione come tali) esattamente come puoi concederli agli account utente. Naturalmente ci sono scenari in cui questa potrebbe non essere la soluzione migliore, ma è perfettamente fattibile.

— Massimo,

La risposta sembrava esattamente così, questa è la ragione del mio voto negativo; inoltre, il poster originale sembra conoscere abbastanza bene la differenza tra un account utente e uno computer, quindi rispondere alla sua domanda con "non farlo" non mi è sembrato giusto.

— Massimo,

Inoltre, ci sono scenari molto legittimi in cui sarebbe necessario concedere le autorizzazioni agli account macchina. Pensa solo agli script di avvio del computer, alla distribuzione del software GPO o ai servizi che vogliono solo essere eseguiti come LocalSystem e non puoi farci nulla. Non sto dicendo che questa è una buona pratica o "la" soluzione giusta, ovviamente; ma se qualcuno chiede "come si fa?" Penso che "non farlo" non è sicuramente una risposta corretta.

— Massimo,

In un ambiente di gruppo di lavoro, non è possibile assegnare diritti su MachineB a un account utente definito su MachineA ... inoltre, gli è stato chiesto in modo specifico come assegnare diritti a un account maschine , quindi è quello a cui ho risposto; e ho anche detto che questo non era possibile senza un dominio.

— Massimo,

Ian: se questo è ciò che cerchi, di solito è un'idea migliore utilizzare SQL Server Agent e il suo account o utilizzare Integration Services. Puoi ottenere maggiori dettagli quando fai una domanda dettagliata, e può ancora essere molto applicabile alle situazioni di altri lettori.

— mfinni,

-1

È semplice:

Inserire l'account AD della macchina nel gruppo amministratori locale e quindi questa macchina (o il suo account amministratore locale) può accedere completamente alla destinazione SULLA rete. Testato oggi, funziona benissimo.

— Frank Wolf
fonte

Mentre questo è funzionale, NON è raccomandato o best practice. L' Local Systemaccount è chiamato locale per un motivo. Se si desidera che qualcosa abbia accesso alla rete, il servizio o altro deve essere modificato per essere eseguito come un altro utente. Sarebbe come concedere guestall'account l'accesso dell'amministratore di una macchina. Funzionerebbe, ma questo sconfigge lo scopo per cui è stato costruito.

— Cory Knutson,