Sistema local:Cuenta completamente confiable, más que la cuenta de administrador. No hay nada en una sola casilla que esta cuenta no pueda hacer y tiene derecho a acceder a la red como la máquina (esto requiere Active Directory y otorgar permisos a la cuenta de la máquina para algo)"
http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx(Preparándose para instalar SQL Server 2000 (64 bits) - Creación de cuentas de servicio de Windows) dice:
"Elsistema localla cuenta no requiere una contraseña,no tiene derechos de acceso a la red y restringe la interacción de su instalación de SQL Server con otros servidores."
http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx(Cuenta LocalSystem, fecha de compilación: 5/8/2010) dice:
"ElSistema localLa cuenta es una cuenta local predefinida utilizada por el administrador de control de servicios. Esta cuenta no es reconocido por el subsistema de seguridad, por lo que no puede especificar su nombre en una llamada a la función LookupAccountName. Tiene amplios privilegios en la computadora local y actúa como computadora en la red.Su token incluye los SID NT AUTHORITY\SYSTEM y BUILTIN\Administrators; estas cuentas tienen acceso a la mayoría de los objetos del sistema. El nombre de la cuentaen todas las configuraciones regionales es .\LocalSystem. El nombre,Sistema local o Nombre de equipo\Sistema localtambién puede ser usado. Esta cuenta no tiene contraseña. Si especifica el Sistema localcuenta en una llamada a la función CreateService, cualquier información de contraseña que proporcione se ignora "
http://technet.microsoft.com/en-us/library/ms143504.aspx (Configuración de cuentas de servicio de Windows) dice:
Sistema locales una cuenta integrada con muchos privilegios. Tiene amplios privilegios en el sistema local y actúa como computadora en la red. > El nombre real de la cuenta es "NT AUTHORITY\SYSTEM".
Identificadores de seguridad conocidos en los sistemas operativos Windows (http://support.microsoft.com/kb/243330) no tiene ningunaSISTEMAen absoluto (pero sólo "SISTEMA LOCAL")
MiWindows XP Pro SP3(conServidor MS SQLconfiguración, desarrollo de la máquina engrupo de trabajo) si tieneSISTEMApero noSistema localo "Sistema local".
PREGUNTAS:
¿Alguien puede aclarar este lío?
Es posible pasar horas y horas, día tras día, leyendo documentos de MS sólo para recopilar más y más contradicciones y malentendidos...
1) ¿Tiene LocalSystem derechos para acceder a la red o no? ¿Cuál es el mecanismo?
2) ¿Son sinónimos el SISTEMA y el Sistema Local (y el "Sistema Local")?
¿Por qué se han presentado?
¿Cuáles son las diferencias entre SISTEMA y Sistema Local?
----------
Actualización 1:
¡Hola sysamin1138!
Sus respuestas añaden aún más confusión si las comparamos con la realidad observada, por ejemplo, con el hecho de queWindows XP Pro SP3 recién instalado o en grupo de trabajo solo tiene SISTEMA (pero no LocalSystem).
Sysadmin138 escribió:
- "Diferentes principios de seguridad para problemas similares, que permiten un poco de granularidad en el diseño de seguridad. Uno es sólo local, el otro tiene visibilidad de dominio".
¿Esta frase significa que LocalSystem se agrega al unir la computadora al dominio?
¿Debería entenderse que SISTEMA es para acceso "local"/interno y de grupo de trabajo (identificación de computadora) y LocalSystem para identificación de computadora en el dominio?
----------
Actualización 2: mismo grupo de trabajo Windows XP Pro SP3 si no se especifica lo contrario
Hola,Administrador de sistemas1138, En tu Editar
"Es sólo que en ese caso SISTEMA y Autoridad NT/SISTEMA son equivalentes en capacidad",
¿Cómo se relacionan (Autoridad NT/SISTEMA y SISTEMA) con LocalSystem? ¿No te equivocaste alguno con LocalSystem?
Greg Askew,
"Tenga en cuenta que si configura un servicio para iniciar sesión como .\LocalSystem, seguirá apareciendo como iniciado sesión como NT AUTHORITY\SYSTEM en Process Explorer o System en Task Manager"
Esto es un poco más cerca. No puedo elegir LocalSystem en NTFS/premisos compartidos, lista RunAs. Pero en services.msc el servicio "SQL Server (MS SQL SERVER)" --> haga doble clic o rc --> Propiedades ---> pestaña "Iniciar sesión como:" tiene el botón de radio "Cuenta del sistema local". Este servicio luego aparece en el Administrador de tareas de Windows como SISTEMA
Greg Askew y administrador de sistemas1138,
"NT AUTHORITY" o cualquier "xxx\" no aparece por ningún lado. Todos los nombres de cuentas tienen una sola etiqueta. Tenga en cuenta que es una computadora de grupo de trabajo con Windows XP. Aunque ejecuto una instancia de ADAM (Modo de aplicación de Active Directory).
Supongo que "NT AUTHORITY" proviene de ese famoso "subsistema de seguridad" que está ausente en el grupo de trabajo (?). ¿Aparecería "NT Authority" si uno una computadora a un dominio?
La lista de permisos NTFS/compartir tiene 2 columnas:
- La columna "Nombre (RDN)" tiene nombres de cuentas de etiqueta única
- La columna "En carpeta" tiene MyCompName (por ejemplo, para Administrador, Administradores, ASPNET, SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER, etc.) o en blanco (por ejemplo, para INICIAR SESIÓN ANÓNIMA, Usuarios autenticados, GRUPO CREADOR, PROPIETARIO CREADOR, SERVICIOS DE RED,SISTEMA, etc.).
Los primeros también tienensinónimos de codificacióncomo "MyCompName\xxxx" o ".\xxx" (es decir
- SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER =
- = MiNombreComp\SQLServerReportServerUser$MiNombreComp$MSRS10_50.MSSQLSERVER
- = .\SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER)
¿Puedes sincronizar tus respuestas en el contexto dehttp://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx(SID de máquina y SID de dominio)?
----------
Actualización 3: mismo grupo de trabajo Windows XP Pro SP3 si no se especifica lo contrario
Hola,Administrador de sistemas1138,
¿Y cómo ver el historial de ediciones? y desreferenciar SID?
¡Descubrimiento! cacls muestra "NT Authority\SYSTEM"...
Aunque para los servicios es todo al revés: todos los servicios se muestran en la pestaña "Iniciar sesión"
- el botón de opción "Cuenta del sistema local" que da como resultado SISTEMA en WIndowsTaskManager y
- el botón de radio "Esta cuenta" --> btn "Examinar..." que no muestra la cuenta del SISTEMA en la lista
Perdón por su tiempo, pero todavía no pude acceder a ningún LocalSystem en Windows XP. ¡LocalSystem no aparece en ninguna parte en XP! pero el problema es que todos los documentos de MS se centran únicamente en LocalSystem...
POR CIERTO,http://support.microsoft.com/kb/120929("Cómo se usa la cuenta del sistema en Windows") indica que el SISTEMA es para el registro interno de servicios de la computadora, y sorpresa-sorpresa "SE APLICA A" todos los Windows desde NT Workstation 3.1 hasta Windows Server 2003.excepto Windows XP(?!).
¿Windows XP es alguna anomalía en la línea de Windows?
----------
Actualización 4: mismo grupo de trabajo Windows XP Pro SP3 si no se especifica lo contrario
No pude detectar ningún LocalSystem (sólo el "sistema local" mencionado en el texto del botón de radio de los servicios Iniciar sesión) en Windows XP, aunque todos los documentos de MS generalmente se centran únicamente en LocalSystem, pero no en SYSTEM. Marqué esta pregunta como respondida después de haber entendido que Windows XP es una anomalía/excepción en los sistemas operativos Windows que tiene algún error de usabilidad de la GUI y debería adivinar cómo habría aparecido un escenario en otros Windows (con la ayuda de las respuestas aquí). )
Si no es correcto, tenga la libertad de probar/compartir otro punto de vista.
Actualización 5: mismo grupo de trabajo Windows XP Pro SP3 si no se especifica lo contrario
¡Venceremos!
¡Encontré "Sistema local" en Windows XP! ¡Se muestra en la columna "Iniciar sesión como" en services.msc!
Respuesta1
[borró la respuesta grande, resumiendo para mayor claridad. Ver historial de edición para una historia sórdida.]
Hay un único SID conocido para el sistema local. Es S-1-5-18, como lo encontró en ese artículo de KB. Este SID devuelve varios nombres cuando se le solicita que se elimine la referencia. El comando de línea de comandos 'cacls' (XP) muestra esto como " NT Authority\SYSTEM". El comando de línea de comandos 'icacls' (Vista/Win7) también muestra esto como " NT Authority\SYSTEM". Las herramientas GUI en el Explorador de Windows lo muestran como " SYSTEM". Cuando configura un servicio para su ejecución, esto se muestra como " Local System".
Tres nombres, un SID.
En Grupos de Trabajo, el SID sólo tiene significado en la estación de trabajo local. Al acceder a otra estación de trabajo, el SID no se transfiere solo el nombre. El 'sistema local'no puedoacceder a cualquier otro sistema.
En Dominios, la ID relativa es lo que permite que la cuenta de la máquina acceda a recursos que no son locales de esa máquina. Esta es la identificación almacenada en Active Directory y se utiliza como principio de seguridad en todas las máquinas conectadas al dominio. Esta identificación no es S-1-5-18. Tiene el formato S-1-5-21[domainSID]-[random].
La configuración de un servicio como "Servicio local" le indica al servicio que inicie sesión localmentea la estación de trabajocomo S-1-5-18. Élno lo harátener credenciales de dominio de cualquier tipo.
La configuración de un servicio como "Servicio de red" o "NT Authority\NetworkService" le indica al servicio que inicie sesiónal dominiocomo la cuenta de dominio de esa máquina, yvoluntadtener acceso a los recursos del dominio. El Configurador de servicios de Windows XP no tiene la capacidad de seleccionar "Servicio de red" como tipo de inicio de sesión. El programa de instalación de SQL podría.
El "Servicio de red" puede hacer todo lo que puede hacer el "Sistema local", además de acceder a los recursos del dominio.
"Servicio de red" no tiene significado en el contexto de un grupo de trabajo.
En breve:
NT Authority\System= Local System= SYSTEM=S-1-5-18
Si necesita que su servicio acceda a recursos que no se encuentran en esa máquina, debe:
- Configúrelo como un Servicio utilizando un usuario de inicio de sesión dedicado
- Configurarlo como Servicio usando "Servicio de Red" y pertenecer a un dominio
Respuesta2
"La mayoría de los servicios se ejecutan en el contexto de seguridad delsistema localcuenta (a veces se muestra como SISTEMA y otras como LocalSystem)."
"...La cuenta del sistema local es la misma cuenta en la que se ejecutan los componentes principales del sistema operativo en modo de usuario de Windows, incluido el Administrador de sesiones (smss.exe), el proceso del subsistema de Windows (csrss.exe), el proceso de la Autoridad de seguridad local ( lsass.exe) y el proceso de inicio de sesión (winlogon.exe)".
"...Desde una perspectiva de seguridad, la cuenta del sistema local es extremadamente poderosa, más poderosa que cualquier dominio o cuenta local".
-- Windows Internals, quinta edición (páginas 288 - 289).
Tenga en cuenta que si configura un servicio para iniciar sesión como .\LocalSystem, seguirá apareciendo como iniciado sesión como NT AUTHORITY\SYSTEM en Process Explorer o System en Task Manager.
En Windows 7, un servicio configurado para iniciar sesión como: cuenta "Sistema local" tiene el nombre de usuario "SISTEMA" en la pestaña Procesos del Administrador de tareas.