Sistema locale Windows vs. sistema

23

/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accou racconta:

Sistema locale: account completamente attendibile, più dell'account amministratore. Non esiste nulla in una singola casella che questo account non può fare e ha il diritto di accedere alla rete come macchina (ciò richiede Active Directory e concedere le autorizzazioni dell'account macchina a qualcosa) "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Preparazione all'installazione di SQL Server 2000 (64 bit) - Creazione di account di servizio di Windows) dice:

"L' account di sistema locale non richiede una password, non dispone dei diritti di accesso alla rete e impedisce all'installazione di SQL Server di interagire con altri server. "

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (Account di sistema locale, Data di costruzione: 8/5/2010) dice:

"L' account LocalSystem è un account locale predefinito utilizzato dal gestore del controllo del servizio. Questo account non è riconosciuto dal sottosistema di sicurezza , quindi non è possibile specificare il suo nome in una chiamata alla funzione LookupAccountName. Ha ampi privilegi sul computer locale e funge da computer sulla rete. Il token include i SID NT AUTHORITY \ SYSTEM e BUILTIN \ Administrators ; questi account hanno accesso alla maggior parte degli oggetti di sistema. Il nome dell'account in tutte le versioni locali è. \ LocalSystem . Il nome, LocalSystem o ComputerName \ LocalSystem può anche essere usato.Questo account non ha una password.Se si specifica LocalSystem account in una chiamata alla funzione CreateService, le informazioni sulla password fornite vengono ignorate "

http://technet.microsoft.com/en-us/library/ms143504.aspx (Impostazione degli account di servizio di Windows) dice:

Il sistema locale è un account incorporato con privilegi molto elevati. Ha ampi privilegi sul sistema locale e funge da computer sulla rete. > Il nome effettivo dell'account è "NT AUTHORITY \ SYSTEM".

I noti identificatori di sicurezza nei sistemi operativi Windows ( http://support.microsoft.com/kb/243330 ) non hanno alcun SISTEMA (ma solo " SISTEMA LOCALE ")

Il mio Windows XP Pro SP3 (con installazione di MS SQL Server , sviluppando la macchina in un gruppo di lavoro ) ha SYSTEM ma non LocalSystem o " Local System ".

DOMANDE:

Qualcuno può eliminare questo casino?

È possibile bruciare ore e ore, giorno dopo giorno, leggendo i documenti MS solo per raccogliere sempre più contraddizioni e incomprensioni ...

1) Ha i diritti LocalSystem di accedere alla rete o no? Qual è il meccanismo?

2) I sinonimi SYSTEM e LocalSystem (e "Sistema locale") sono sinonimi?

Perché sono stati introdotti?

Quali sono le differenze tra SISTEMA e Sistema locale

----------

Update1:

Ciao, sysamin1138!

Le tue risposte aggiungono ancora più confusione se confrontarle con la realtà osservata, ad esempio, con il fatto che Fresh installato o il gruppo di lavoro Windows XP Pro SP3 abbia solo SISTEMA (ma non LocalSystem).

Sysadmin138 ha scritto:

  • "Diversi principi di sicurezza per problemi simili, che consentono un po 'di granularità nella progettazione della sicurezza. Uno è solo locale, l'altro ha visibilità del dominio."

Questa frase significa che LocalSystem viene aggiunto quando si unisce il computer al dominio?

Dovrebbe essere chiaro che SYSTEM è per l'accesso "locale" / interno e del gruppo di lavoro (identificazione del computer) e LocalSystem per l'identificazione del computer nel dominio?

----------

Aggiornamento2: stesso gruppo di lavoro Windows XP Pro SP3 se non diversamente specificato

Ciao, Sysadmin1138 , nella tua modifica

"È solo che in quel caso SYSTEM e NT Authority / SYSTEM hanno capacità equivalenti",

come sono (Autorità / SISTEMA e SISTEMA NT) collegati al LocalSystem? Non hai sbagliato uno di loro con LocalSystem?

Greg Askew,

"Si noti che se si configura un servizio per l'accesso come. \ LocalSystem, verrà comunque visualizzato come connesso come NT AUTHORITY \ SYSTEM in Process Explorer o System in Task Manager"

Questo è un po 'più vicino. Non riesco a scegliere LocalSystem in NTFS / condividere le premesse, elenco RunAs. Ma in services.msc il servizio "SQL Server (MS SQL SERVER)" -> doppio clic o rc -> Proprietà ---> scheda "Logo su come:" ha il radiobuttom "Account di sistema locale". Questo servizio viene quindi visualizzato in Task Manager di Windows come SISTEMA

Greg Askew e sysadmin1138 ,

"NT AUTHORITY" o qualsiasi "xxx \" non appare da nessuna parte. Tutti i nomi degli account sono a etichetta singola. Si noti che è un computer del gruppo di lavoro di Windows XP. Sebbene esegua un'istanza di ADAM (modalità applicazione Active Directory).

Immagino che "NT AUTHORITY" provenga da quel famoso "sottosistema di sicurezza" che è assente nel gruppo di lavoro (?) Apparirà "NT Authority" se unisco un computer a un dominio?

L'elenco delle autorizzazioni NTFS / condivisione ha 2 colonne:

  • Colonna "Nome (RDN)" con nomi account a etichetta singola
  • Colonna "Nella cartella" con MyCompName (ad es. Per amministratore, amministratori, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER, ecc.) O vuota (ad es. Per ANONYMOUS LOGON, utenti autenticati, CREaTOR GROUP, CREAtOR OWNER, NETWORKING SERVICES, SISTEMA , ecc.).

I primi hanno anche sinonimi per la codifica come "MyCompName \ xxxx" o ". \ Xxx" (es

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

Puoi sincronizzare le tue risposte nel contesto di http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (Machine SID e Domain SIDs)?

----------

Update3: stesso gruppo di lavoro Windows XP Pro SP3 se non diversamente specificato

Ciao, Sysadmin1138 ,

E come vedere la cronologia delle modifiche? e dereference SID?

Sfondamento! cacls mostra "NT Authority \ SYSTEM" ...

Anche se per i servizi è tutto viceversa: tutti i servizi vengono visualizzati nella scheda "Accesso"

  • il pulsante di opzione "Account di sistema locale" che si traduce in SYSTEM in WIndowsTaskManager e
  • il pulsante di opzione "Questo account" -> btn "Sfoglia ..." che non mostra l'account SYSTEM nell'elenco

Mi dispiace per il tuo tempo, ma non sono ancora riuscito a trovare nessun LocalSystem in Windows XP! LocalSystem non compare da nessuna parte in XP! ma il problema che tutti i documenti MS risiedono solo su LocalSystem ...

A proposito, http://support.microsoft.com/kb/120929 ("Come viene utilizzato l'account di sistema in Windows") dice che il SISTEMA è per la registrazione interna dei servizi dei servizi e che sorprende "SI APPLICA A" tutte le finestre da Da NT Workstation 3.1 a Windows Server 2003 tranne Windows XP (?!).

Windows XP è un'anomalia nella linea di Windows?

----------

Update4: stesso gruppo di lavoro Windows XP Pro SP3 se non diversamente specificato

Non sono riuscito a rilevare alcun LocalSystem (solo "sistema locale" menzionato nel testo al pulsante di opzione dei servizi LogOn) in Windows XP sebbene tutti i documenti MS di solito si soffermino solo su LocalSystem ma non su SYSTEM. Ho contrassegnato questa domanda come risposta avendo capito per me che Windows XP è un'anomalia / eccezione nei sistemi operativi Windows con qualche bug di usabilità della GUI e dovrei indovinare come sarebbe apparso uno scenario in altre Windows (con l'aiuto delle risposte qui )

Se non è corretto, si prega di essere liberi di dimostrare / condividere un altro punto di vista

Aggiornamento 5: stesso gruppo di lavoro Windows XP Pro SP3 se non diversamente specificato

Venceremos!

Ho trovato "Sistema locale" in Windows XP! Viene visualizzato nella colonna "Accedi come" in services.msc!

windows  sql-server  network-share  workgroup 
Gennady Vanin Геннадий Ванин
fonte
1
L'ho già detto più volte. "LocalSystem" è esattamente la stessa cosa di "NT Authority \ System". Sono sinonimi. "Sistema" è un'entità separata che condivide alcune caratteristiche (che generano confusione).
sysadmin1138
Non ho "NT Authority \ System" sul gruppo di lavoro Windows XP Pro SP3. Ho solo "MyCompName \ SYSTEM"
Gennady Vanin Геннадий Ванин
Spiacenti, il mio SYSTEM non è un account computer (non "MyCompName \ SYSTEM"), che credo diventerà "NT Authority \ SYSTEM" al momento dell'adesione a Windows al dominio. È sinonimo di LocalSystem prima di aderire? E questo SISTEMA sarà "NT Authority \ SYSTEM" dopo l'adesione?
Gennady Vanin Геннадий Ванин
3
Questa domanda è ora illeggibile: potresti accorciarla e chiarirla?
Aiuterebbe i

Risposte:

26

[cancellò una grande risposta, riassumendo per chiarezza. Vedi edit-history per sordid tale.]

Esiste un unico SID noto per il sistema locale. È S-1-5-18, come hai trovato da quell'articolo KB. Questo SID restituisce più nomi quando viene richiesto di essere dereferenziato. Il comando da riga di comando 'cacls' (XP) lo mostra come " NT Authority\SYSTEM". Il comando da riga di comando "icacls" (Vista / Win7) lo mostra anche come " NT Authority\SYSTEM". Gli strumenti della GUI in Esplora risorse lo mostrano come " SYSTEM". Quando si configura un servizio per l'esecuzione, questo viene visualizzato come " Local System".

Tre nomi, un SID.

Nei gruppi di lavoro, il SID ha un significato solo sulla workstation locale. Quando si accede a un'altra workstation, al SID non viene trasferito solo il nome. Il "Sistema locale" non può accedere ad altri sistemi.

Nei domini, l'ID relativo è ciò che consente all'account macchina di accedere a risorse non locali a quella macchina. Questo è l'ID memorizzato in Active Directory e viene utilizzato come principio di sicurezza da tutte le macchine connesse al dominio. Questo ID non è S-1-5-18. È nella forma di S-1-5-21 [domainSID] - [random].

La configurazione di un servizio come "Servizio locale" indica al servizio di accedere localmente alla workstation come S-1-5-18. Non avrà credenziali di dominio di alcun tipo.

La configurazione di un servizio come "Servizio di rete" o "NT Authority \ NetworkService" indica al servizio di accedere al dominio come account di dominio di quella macchina e avrà accesso alle risorse del dominio. Windows XP Service Configurator non ha la possibilità di selezionare "Servizio di rete" come tipo di accesso. Il programma di installazione SQL potrebbe.

Il "Servizio di rete" può fare tutto ciò che può fare il "Sistema locale", nonché accedere alle risorse del dominio.

"Servizio di rete" non ha alcun significato in un contesto di gruppo di lavoro.

In breve:

NT Authority\System= Local System= SYSTEM=S-1-5-18

Se hai bisogno del tuo servizio per accedere a risorse che non si trovano su quella macchina, devi:

  • Configuralo come servizio utilizzando un utente di accesso dedicato
  • Configurarlo come servizio utilizzando "Servizio di rete" e appartenere a un dominio
sysadmin1138
fonte
1
In realtà, il servizio di rete è un account con privilegi limitati. Non ha gli stessi privilegi del sistema locale. Inoltre, in un dominio, il sistema locale ha lo stesso accesso alle risorse del dominio del servizio di rete, ovvero può accedere utilizzando l'account del computer.
Harry Johnston,
Come mai la variabile ambientale% USERNAME% per questo utente è il nome del computer seguito da un simbolo di dollaro "$"?
rory.ap,
@ rory.ap Per antica convenzione risalente a Windows NT, se non in precedenza, gli account nascosti (e le condivisioni di file) hanno un suffisso con il simbolo del dollaro. E per nascosto intendo che non compare in alcuni strumenti di visualizzazione.
sysadmin1138
3

"La maggior parte dei servizi viene eseguita nel contesto di sicurezza dell'account di sistema locale (visualizzato a volte come SYSTEM e altre volte come LocalSystem)."

"... L'account di sistema locale è lo stesso account in cui vengono eseguiti i componenti principali del sistema operativo Windows in modalità utente, inclusi Session Manager (smss.exe), il processo del sottosistema Windows (csrss.exe), il processo dell'autorità di sicurezza locale ( lsass.exe) e il processo di accesso (winlogon.exe). "

"... Dal punto di vista della sicurezza, l'account di sistema locale è estremamente potente, più potente di qualsiasi dominio o account locale."

- Windows Internals, 5th Edition (pagina 288 - 289).

Si noti che se si configura un servizio per l'accesso come. \ LocalSystem, apparirà comunque come connesso come AUTHORITY \ SYSTEM NT in Process Explorer o System in Task Manager.

In Windows 7 un servizio impostato su Accedi come: l'account "Sistema locale" ha il nome utente "SISTEMA" nella scheda Processi di Task Manager.

Greg Askew
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.