Windows ローカルシステムとシステム

tag-icon tag-icon windows sql-server network-share workgroup
Windows ローカルシステムとシステム

https://stackoverflow.com/questions/510170/the-difference-between-the-local-system-account-and-the-network-service-accou伝える:

ローカルシステム:管理者アカウントよりも完全に信頼できるアカウント。このアカウントでできないことは何もありません。 ネットワークにアクセスする権利がある マシンとして(これにはActive Directoryとマシンアカウントに何かへの権限を与えることが必要です)"

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx(SQL Server 2000(64 ビット) のインストール準備 - Windows サービス アカウントの作成) では、次のことが説明されています。

ローカルシステムアカウントにはパスワードは必要ありません。ネットワーク アクセス権がないため、SQL Server インストールが他のサーバーと対話することが制限されます。

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx(LocalSystem アカウント、ビルド日: 2010 年 8 月 5 日) は次の情報を表示します:

ローカルシステムアカウントはサービスコントロールマネージャによって使用される定義済みのローカルアカウントです。このアカウント セキュリティサブシステムによって認識されないなので、LookupAccountName 関数の呼び出しでその名前を指定することはできません。ローカル コンピューター上で広範な権限を持ち、ネットワーク上のコンピューターとして機能します。そのトークンにはNT AUTHORITY\SYSTEMとBUILTIN\Administrators SIDが含まれます。; これらのアカウントはほとんどのシステムオブジェクトにアクセスできます。アカウントの名前すべてのロケールでは.\LocalSystemです。 名前、LocalSystem または ComputerName\LocalSystemも使用できます。このアカウントにはパスワードがありません。 ローカルシステムCreateService 関数の呼び出しでアカウントを指定すると、指定したパスワード情報は無視されます。

http://technet.microsoft.com/en-us/library/ms143504.aspx (Windows サービス アカウントの設定) では、次のことが説明されています。

ローカルシステム非常に高い権限を持つ組み込みアカウントです。ローカル システムに対して広範な権限を持ち、ネットワーク上のコンピュータとして機能します。 > アカウントの実際の名前は「NT AUTHORITY\SYSTEM」です。

Windowsオペレーティングシステムのよく知られたセキュリティ識別子(http://support.microsoft.com/kb/243330)にはシステムまったく(ただし「ローカルシステム

私のWindows XP Pro SP3(とMS SQL サーバーセットアップ、現像機ワークグループ) を持っているシステムだがしかしローカルシステムまたは "ローカルシステム「」。

質問:

誰かこの混乱を片付けてくれませんか?

MS ドキュメントを毎日何時間もかけて読んでも、矛盾や誤解がどんどん増えていく可能性があります...

1) LocalSystem にはネットワークにアクセスする権限がありますか? そのメカニズムは何ですか?

2) SYSTEM と LocalSystem (および「Local System」) は同義語ですか?

なぜ導入されたのでしょうか?

SYSTEMとローカルシステムの違いは何ですか?

----------

アップデート1:

こんにちは、sysamin1138さん!

あなたの回答を観察された現実と比較すると、例えば、新規インストールまたはワークグループの Windows XP Pro SP3 には SYSTEM のみが含まれます (LocalSystem は含まれません)。

Sysadmin138 は次のように書いています:

  • 「同様の問題に対して異なるセキュリティ原則があり、セキュリティ設計の細分化が可能になります。1 つはローカルのみで、もう 1 つはドメインの可視性があります。」

このフレーズは、コンピューターをドメインに参加させると LocalSystem が追加されることを意味しますか?

SYSTEM は「ローカル」/内部およびワークグループ アクセス (コンピュータ識別) 用であり、LocalSystem はドメイン内のコンピュータの識別用であると理解すべきでしょうか?

----------

Update2: 特に指定がない限り、同じワークグループ Windows XP Pro SP3

こんにちは、システム管理者1138編集中

「その場合、SYSTEM と NT Authority/SYSTEM は機能的に同等であるだけです」

それら (NT Authority/SYSTEM および SYSTEM) は LocalSystem とどのように関連していますか? どちらかを LocalSystem と間違えていませんか?

グレッグ・アスキュー

「サービスを .\LocalSystem としてログオンするように構成した場合でも、プロセス エクスプローラーでは NT AUTHORITY\SYSTEM としてログオンしているように、タスク マネージャーではシステムとして表示されることに注意してください。」

これはもう少し近いです。NTFS/共有のアクセス許可、RunAs リストのどちらでも LocalSystem を選択できません。ただし、services.msc では、サービス「SQL Server (MS SQL SERVER)」をダブルクリックするか、rc --> プロパティ ---> タブ「ログオン:」にラジオボタン「Local System アカウント」があります。このサービスは、Windows タスク マネージャーに SYSTEM として表示されます。

グレッグ・アスキューとsysadmin1138

「NT AUTHORITY」または「xxx\」 どこにも表示されません。すべてのアカウント名には単一のラベルが付けられています。これは Windows XP ワークグループ コンピュータであることに注意してください。ただし、ADAM (Active Directory Application Mode) のインスタンスを実行しています。

「NT AUTHORITY」は、ワークグループには存在しない有名な「セキュリティ サブシステム」からのものでしょうか? コンピューターをドメインに参加させると、「NT Authority」は表示されますか?

NTFS/共有アクセス許可リストには 2 つの列があります。

  • 単一ラベルのアカウント名を持つ「名前(RDN)」列
  • 「フォルダー内」列に、MyCompName(例:Administrator、Administrators、ASPNET、SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER など)または空白(例:ANONYMOUS LOGON、Authenticated Users、CREaTOR GROUP、CREAtOR OWNER など)のいずれかが含まれている。 ネットワークサービス、システムなど)。

前者もコーディングの同義語「MyCompName\xxxx」または「.\xxx」(つまり

  • SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER =
  • = MyCompName\SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER
  • = .\SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER)

あなたの回答を文脈に沿って同期させることができますか?http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx(マシン SID とドメイン SID)?

----------

Update3: 特に指定がない限り、同じワークグループ Windows XP Pro SP3

こんにちは、システム管理者1138

編集履歴を確認するにはどうすればいいですか? また、SID を参照解除するにはどうすればいいですか?

突破口!cacls は「NT Authority\SYSTEM」を表示します...

サービスの場合は逆になります。すべてのサービスは「ログオン」タブの下に表示されます。

  • ラジオボタン「ローカルシステムアカウント」は、WindowsTaskManagerではSYSTEMとなり、
  • 「このアカウント」ラジオボタン --> 「参照...」ボタンで、リストに SYSTEM アカウントが表示されない

お時間をいただき申し訳ありませんが、Windows XP の LocalSystem にはまだアクセスできません。LocalSystem は XP のどこにも表示されません。しかし、すべての MS ドキュメントが LocalSystem についてのみ説明しているという問題があります...

ちなみに、http://support.microsoft.com/kb/120929(「Windows でのシステム アカウントの使用方法」) では、SYSTEM はコンピュータ内部のサービス ログ用であり、驚いたことに NT Workstation 3.1 から Windows Server 2003 までのすべての Windows に「適用」されていると説明されています。Windows XPを除く(?!)。

Windows XP は Windows 製品ラインにおける異常な存在なのでしょうか?

----------

Update4: 特に指定がない限り、同じワークグループ Windows XP Pro SP3

MS ドキュメントでは通常、LocalSystem のみについて説明され、SYSTEM については説明されていないのですが、Windows XP では LocalSystem を検出できませんでした (サービス LogOn のラジオボタンのテキストには「ローカル システム」のみが記載されています)。Windows XP は Windows OS の例外であり、GUI の使いやすさにバグがあることを理解した上で、この質問を回答済みとしてマークしました。他の Windows ではシナリオがどのように表示されるかを推測する必要があります (ここの回答を参考にしてください)。

もし正しくない場合は、ぜひ別の視点を証明したり共有したりしてください。

Update5: 特に指定がない限り、同じワークグループ Windows XP Pro SP3

さようなら!

Windows XP で「ローカル システム」を見つけました。services.msc の「ログオン」列に表示されます。

答え1

[長い回答を消去し、わかりやすく要約しました。卑劣な話については編集履歴を参照してください。]

ローカル システムには、既知の SID が 1 つあります。その KB 記事で確認したとおり、これは S-1-5-18 です。この SID は、逆参照を要求されると複数の名前を返します。'cacls' コマンド ライン コマンド (XP) では、これが " NT Authority\SYSTEM" として表示されます。'icacls' コマンド ライン コマンド (Vista/Win7) でも、これが " NT Authority\SYSTEM" として表示されます。Windows エクスプローラーの GUI ツールでは、これが " SYSTEM" として表示されます。サービスを実行するように構成している場合、これが " " として表示されますLocal System

3 つの名前、1 つの SID。

ワークグループでは、SIDはローカルワークステーション上でのみ意味を持ちます。別のワークステーションにアクセスする場合、SIDは名前のみ転送されます。「ローカルシステム」できない他のシステムにアクセスします。

ドメインでは、相対 ID によって、マシン アカウントは、そのマシンにローカルではないリソースにアクセスできます。これは Active Directory に保存される ID で、ドメインに接続されたすべてのマシンでセキュリティの原則として使用されます。この ID は S-1-5-18 ではありません。S-1-5-21[domainSID]-[random] の形式です。

サービスを「ローカルサービス」として構成すると、サービスはローカルにログオンするように指示されます。ワークステーションへS-1-5-18として。しないいかなる種類のドメイン資格情報も持っていません。

サービスを「ネットワークサービス」または「NT Authority\NetworkService」として構成すると、サービスにログオンするように指示します。ドメインにそのマシンのドメインアカウントとして、意思ドメイン リソースにアクセスできます。Windows XP サービス コンフィギュレータでは、ログインの種類として「ネットワーク サービス」を選択できません。SQL セットアップ プログラムでは選択できる場合があります。

「ネットワーク サービス」は、「ローカル システム」が実行できるすべての操作を実行できるほか、ドメイン リソースにもアクセスできます。

「ネットワーク サービス」は、ワークグループのコンテキストでは意味を持ちません。

要するに:

NT Authority\System= Local System= SYSTEM=S-1-5-18

サービスがそのマシン上にないリソースにアクセスする必要がある場合は、次のいずれかを行う必要があります。

  • 専用のログインユーザーを使用してサービスとして設定する
  • 「ネットワークサービス」を使用してサービスとして設定し、ドメインに所属させる

答え2

「ほとんどのサービスは、ローカルシステムアカウント (SYSTEM と表示される場合もあれば、LocalSystem と表示される場合もあります)。"

「...ローカル システム アカウントは、セッション マネージャー (smss.exe)、Windows サブシステム プロセス (csrss.exe)、ローカル セキュリティ機関プロセス (lsass.exe)、ログオン プロセス (winlogon.exe) などのコア Windows ユーザー モード オペレーティング システム コンポーネントが実行されるアカウントと同じです。」

「...セキュリティの観点から見ると、ローカル システム アカウントは非常に強力です。どのドメイン アカウントやローカル アカウントよりも強力です。」

-- Windows Internals、第 5 版 (288 ~ 289 ページ)。

サービスを .\LocalSystem としてログオンするように構成した場合でも、プロセス エクスプローラーでは NT AUTHORITY\SYSTEM としてログオンしているように、タスク マネージャーではシステムとして表示されることに注意してください。

Windows 7 では、タスク マネージャーの [プロセス] タブで、サービスが [ローカル システム] アカウントとしてログオンするように設定されているユーザー名は [SYSTEM] になります。

関連情報