Lokales System:Vollständig vertrauenswürdiges Konto, mehr als das Administratorkonto. Es gibt nichts auf einer einzelnen Box, was dieses Konto nicht tun kann, und es hat das Recht auf Zugang zum Netzwerk als Maschine (dazu ist Active Directory und die Erteilung von Berechtigungen für das Maschinenkonto erforderlich)"
http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx(Vorbereitung der Installation von SQL Server 2000 (64 Bit) – Erstellen von Windows-Dienstkonten) sagt:
"Derlokales SystemKonto erfordert kein Passwort,verfügt über keine Netzwerkzugriffsrechte und schränkt die Interaktion Ihrer SQL Server-Installation mit anderen Servern ein."
http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx(LocalSystem-Konto, Erstellungsdatum: 05.08.2010) sagt:
"DerLokalesSystemKonto ist ein vordefiniertes lokales Konto, das vom Service Control Manager verwendet wird. Dieses Konto wird vom Sicherheitssubsystem nicht erkannt, daher können Sie seinen Namen nicht in einem Aufruf der Funktion LookupAccountName angeben. Er verfügt über umfassende Berechtigungen auf dem lokalen Computer und fungiert im Netzwerk als Computer.Sein Token enthält die SIDs NT AUTHORITY\SYSTEM und BUILTIN\Administrators; diese Konten haben Zugriff auf die meisten Systemobjekte. Der Name des Kontosin allen Gebietsschemas ist .\LocalSystem. Der Name,LokalesSystem oder Computername\LokalesSystemkann ebenfalls verwendet werden. Dieses Konto hat kein Passwort. Wenn Sie das LokalesSystemKonto bei einem Aufruf der Funktion „CreateService“ werden alle von Ihnen angegebenen Kennwortinformationen ignoriert.“
http://technet.microsoft.com/en-us/library/ms143504.aspx (Einrichten von Windows-Dienstkonten) sagt:
Lokales Systemist ein integriertes Konto mit sehr hohen Berechtigungen. Es verfügt über umfassende Berechtigungen auf dem lokalen System und fungiert als Computer im Netzwerk. > Der tatsächliche Name des Kontos lautet „NT AUTHORITY\SYSTEM“.
Bekannte Sicherheitskennungen in Windows-Betriebssystemen (http://support.microsoft.com/kb/243330) hat keineSYSTEMüberhaupt (aber nur "LOKALES SYSTEM")
MeinWindows XP Pro SP3(mitMS SQL ServerSetup, Entwicklung von Maschinen inArbeitsgruppe) hatSYSTEMaber nichtLokalesSystemoder "Lokales System".
FRAGEN:
Kann jemand dieses Chaos beseitigen?
Es ist möglich, Stunden um Stunden, Tag für Tag mit der Lektüre von MS-Dokumenten zu verbringen, nur um immer mehr Widersprüche und Missverständnisse zu sammeln …
1) Verfügt LocalSystem über Rechte zum Zugriff auf das Netzwerk oder nicht? Wie funktioniert das?
2) Sind SYSTEM und LocalSystem (und „Lokales System“) Synonyme?
Warum wurden sie eingeführt?
Was sind die Unterschiede zwischen SYSTEM und lokalem System
----------
Update 1:
Hallo, sysamin1138!
Ihre Antworten sorgen für noch mehr Verwirrung, wenn man sie mit der beobachteten Realität vergleicht, z. B. mit der Tatsache, dassEine Neuinstallation oder eine Arbeitsgruppeninstallation von Windows XP Pro SP3 verfügt nur über SYSTEM (aber nicht über LocalSystem).
Sysadmin138 schrieb:
- „Unterschiedliche Sicherheitsprinzipien für ähnliche Probleme, die ein gewisses Maß an Granularität in Ihrem Sicherheitsdesign ermöglichen. Eines ist nur lokal, das andere hat Domänensichtbarkeit.“
Bedeutet dieser Satz, dass das lokale System beim Beitritt des Computers zur Domäne hinzugefügt wird?
Ist es so zu verstehen, dass SYSTEM für den „lokalen“/internen und Arbeitsgruppenzugriff (Computeridentifikation) und LocalSystem für die Identifikation des Computers in der Domäne steht?
----------
Update2: gleiche Arbeitsgruppe Windows XP Pro SP3, sofern nicht anders angegeben
Hallo,Sysadmin1138, In Ihrem Bearbeiten
„Es ist nur so, dass in diesem Fall SYSTEM und NT Authority/SYSTEM hinsichtlich ihrer Fähigkeiten gleichwertig sind“,
wie hängen sie (NT Authority/SYSTEM und SYSTEM) mit LocalSystem zusammen? Hast du nicht eines davon mit LocalSystem verwechselt?
Greg Askew,
„Beachten Sie, dass, wenn Sie einen Dienst so konfigurieren, dass er sich als .\LocalSystem anmeldet, er im Process Explorer oder im Task-Manager weiterhin als angemeldet als NT AUTHORITY\SYSTEM angezeigt wird.“
Das ist schon etwas näher. Ich kann LocalSystem weder in den NTFS-/Freigabeberechtigungen noch in der RunAs-Liste auswählen. Aber in services.msc hat der Dienst "SQL Server (MS SQL SERVER)" --> Doppelklick oder rc --> Eigenschaften ---> Registerkarte "Anmelden als:" das Radiobutton "Lokales Systemkonto". Dieser Dienst erscheint dann im Windows Task-Manager als SYSTEM
Greg Askew und sysadmin1138,
„NT AUTHORITY“ oder ein beliebiges „xxx\“ erscheint nirgends. Alle Kontonamen sind einfach beschriftet. Beachten Sie, dass es sich um einen Windows XP-Arbeitsgruppencomputer handelt. Allerdings verwende ich eine Instanz von ADAM (Active Directory Application Mode).
Ich vermute, dass „NT AUTHORITY“ von dem bekannten „Sicherheitssubsystem“ stammt, das in der Arbeitsgruppe fehlt(?). Würde „NT Authority“ erscheinen, wenn ich den Computer einer Domäne hinzufüge?
Die NTFS-/Freigabeberechtigungsliste hat zwei Spalten:
- Spalte „Name(RDN)“ mit einstelligen Kontonamen
- Die Spalte „Im Ordner“ muss entweder MyCompName (z. B. für Administrator, Administratoren, ASPNET, SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER usw.) oder leer sein (z. B. für ANONYMOUS LOGON, Authentifizierte Benutzer, CREaTOR GROUP, CREAtOR OWNER, NETZWERKDIENSTE, SYSTEM, usw.).
Die ersteren haben auchSynonyme für Kodierungals "MyCompName\xxxx" oder ".\xxx" (also
- SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER =
- = MeinComputername\SQLServerReportServerUser$MeinComputername$MSRS10_50.MSSQLSERVER
- = .\SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER)
Können Sie Ihre Antworten synchronisieren im Kontext vonhttp://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx(Maschinen-SIDs und Domänen-SIDs)?
----------
Update3: gleiche Arbeitsgruppe Windows XP Pro SP3, sofern nicht anders angegeben
Hallo,Sysadmin1138,
Und wie kann ich den Bearbeitungsverlauf anzeigen und die SID dereferenzieren?
Durchbruch! cacls zeigt „NT Authority\SYSTEM“ an …
Bei Diensten ist es jedoch umgekehrt: Alle Dienste werden unter der Registerkarte „Anmelden“ angezeigt.
- den Radiobutton "Lokales Systemkonto", was zu SYSTEM im WindowsTaskManager führt und
- der Radiobutton "Dieses Konto" --> btn "Durchsuchen...", der das SYSTEM-Konto nicht in der Liste anzeigt
Entschuldigen Sie, dass Sie so lange gebraucht haben, aber ich konnte bisher noch kein LocalSystem in Windows XP aufrufen! LocalSystem wird in XP nirgends angezeigt! Aber das Problem ist, dass sich alle MS-Dokumente nur auf LocalSystem beziehen …
Übrigens,http://support.microsoft.com/kb/120929("Wie das Systemkonto in Windows verwendet wird") besagt, dass SYSTEM für die interne Protokollierung von Diensten auf dem Computer ist, und Überraschung-Überraschung "GILT FÜR" alle Windows von NT Workstation 3.1 bis Windows Server 2003außer Windows XP(?!).
Ist Windows XP eine Anomalie in der Windows-Zeile?
----------
Update4: gleiche Arbeitsgruppe Windows XP Pro SP3, sofern nicht anders angegeben
Ich konnte in Windows XP kein LocalSystem erkennen (nur „Lokales System“ im Text zum Optionsfeld „Dienste-LogOn“ erwähnt), obwohl alle MS-Dokumente normalerweise nur auf LocalSystem eingehen, nicht aber auf SYSTEM. Ich habe diese Frage als beantwortet markiert, nachdem ich verstanden hatte, dass Windows XP eine Anomalie/Ausnahme in Windows-Betriebssystemen ist, die einige GUI-Usability-Bugs aufweisen, und ich sollte erraten, wie ein Szenario in anderen Windows-Betriebssystemen ausgesehen hätte (mithilfe der Antwort(en) hier).
Wenn es nicht korrekt ist, können Sie gerne einen anderen Standpunkt beweisen/teilen
Update5: gleiche Arbeitsgruppe Windows XP Pro SP3, sofern nicht anders angegeben
Wir werden siegen!
Ich habe "Lokales System" in Windows XP gefunden! Es wird in der Spalte "Anmelden als" in services.msc angezeigt!
Antwort1
[große Antwort gelöscht, zur besseren Übersicht zusammengefasst. Siehe Bearbeitungsverlauf für die schmutzige Geschichte.]
Es gibt eine einzige bekannte SID für das lokale System. Sie lautet S-1-5-18, wie Sie aus diesem KB-Artikel erfahren haben. Diese SID gibt mehrere Namen zurück, wenn sie dereferenziert werden soll. Der Befehlszeilenbefehl „cacls“ (XP) zeigt dies als „ NT Authority\SYSTEM“ an. Der Befehlszeilenbefehl „icacls“ (Vista/Win7) zeigt dies ebenfalls als „ NT Authority\SYSTEM“ an. Die GUI-Tools im Windows Explorer zeigen dies als „ SYSTEM“ an. Wenn Sie einen Dienst zur Ausführung konfigurieren, wird dies als „ “ angezeigt Local System.
Drei Namen, eine SID.
In Arbeitsgruppen hat die SID nur auf der lokalen Arbeitsstation eine Bedeutung. Beim Zugriff auf eine andere Arbeitsstation wird nicht die SID, sondern nur der Name übertragen. Das 'Lokale System'kann nichtauf andere Systeme zugreifen.
In Domänen ermöglicht die relative ID dem Computerkonto den Zugriff auf Ressourcen, die sich nicht lokal auf diesem Computer befinden. Dies ist die ID, die in Active Directory gespeichert ist und von allen mit der Domäne verbundenen Computern als Sicherheitsprinzip verwendet wird. Diese ID ist nicht S-1-5-18. Sie hat die Form S-1-5-21[Domänen-SID]-[Zufallstyp].
Wenn Sie einen Dienst als „Lokaler Dienst“ konfigurieren, wird der Dienst angewiesen, sich lokal anzumeldenzum Arbeitsplatzals S-1-5-18. Eswird nichtüber Domänenanmeldeinformationen jeglicher Art verfügen.
Wenn Sie einen Dienst als "Netzwerkdienst" oder "NT-Autorität\Netzwerkdienst" konfigurieren, wird der Dienst angewiesen, sich anzumeldenzur Domäneals Domänenkonto dieser Maschine undWilleZugriff auf Domänenressourcen haben. Der Windows XP-Dienstkonfigurator bietet nicht die Möglichkeit, „Netzwerkdienst“ als Anmeldetyp auszuwählen. Das SQL-Setup-Programm könnte dies tun.
„Netzwerkdienst“ kann alles, was „Lokales System“ kann, und außerdem auf Domänenressourcen zugreifen.
„Netzwerkdienst“ hat im Kontext einer Arbeitsgruppe keine Bedeutung.
Zusamenfassend:
NT Authority\System= Local System= SYSTEM=S-1-5-18
Wenn Ihr Dienst auf Ressourcen zugreifen muss, die sich nicht auf diesem Computer befinden, müssen Sie entweder:
- Konfigurieren Sie es als Dienst mit einem dedizierten Anmeldebenutzer
- Konfigurieren Sie es als Dienst mit "Netzwerkdienst" und gehören Sie zu einer Domäne
Antwort2
„Die meisten Dienste laufen im Sicherheitskontext deslokales SystemKonto (manchmal als SYSTEM und manchmal als LocalSystem angezeigt)."
„...Das lokale Systemkonto ist dasselbe Konto, unter dem die wichtigsten Komponenten des Windows-Benutzermodus-Betriebssystems ausgeführt werden, darunter der Sitzungsmanager (smss.exe), der Windows-Subsystemprozess (csrss.exe), der Prozess der lokalen Sicherheitsautorität (lsass.exe) und der Anmeldeprozess (winlogon.exe).“
„…Aus Sicherheitssicht ist das lokale Systemkonto extrem leistungsfähig – leistungsfähiger als jedes Domänen- oder lokale Konto.“
-- Windows Internals, 5. Ausgabe (Seite 288–289).
Beachten Sie: Wenn Sie einen Dienst für die Anmeldung als .\LocalSystem konfigurieren, wird er im Process Explorer oder im Task-Manager weiterhin als angemeldet als NT AUTHORITY\SYSTEM angezeigt.
Unter Windows 7 hat ein auf „Anmelden als: Konto „Lokales System““ eingestellter Dienst auf der Registerkarte „Prozesse“ des Task-Managers den Benutzernamen „SYSTEM“.