Windows LocalSystem과 시스템

tag-icon tag-icon windows sql-server network-share workgroup
Windows LocalSystem과 시스템

https://stackoverflow.com/questions/510170/the-difference-between-the-local-system-account-and-the-network-service-accou말한다:

로컬 시스템:관리자 계정보다 완전히 신뢰할 수 있는 계정입니다. 이 계정이 할 수 없는 일이 하나도 없고, 네트워크에 액세스할 수 있는 권한이 있습니다. 머신으로(Active Directory가 필요하고 머신 계정에 무언가에 대한 권한을 부여해야 함)"

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx(SQL Server 2000(64비트) 설치 준비 - Windows 서비스 계정 생성)은 다음을 알려줍니다.

"그만큼로컬 시스템계정에는 비밀번호가 필요하지 않습니다.네트워크 액세스 권한이 없으며 SQL Server 설치가 다른 서버와 상호 작용하는 것을 제한합니다."

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx(LocalSystem 계정, 빌드 날짜: 2010년 8월 5일)은 다음과 같이 말합니다.

"그만큼로컬시스템계정은 서비스 제어 관리자가 사용하는 미리 정의된 로컬 계정입니다. 이 계정 보안 하위 시스템에서 인식되지 않습니다이므로 LookupAccountName 함수 호출 시 해당 이름을 지정할 수 없습니다. 로컬 컴퓨터에 대한 광범위한 권한을 가지며 네트워크에서 컴퓨터 역할을 합니다.해당 토큰에는 NT AUTHORITY\SYSTEM 및 BUILTIN\Administrators SID가 포함됩니다.; 이러한 계정은 대부분의 시스템 개체에 액세스할 수 있습니다. 계정 이름모든 로케일은 .\LocalSystem입니다.. 이름,LocalSystem 또는 ComputerName\LocalSystem또한 사용할 수 있습니다. 이 계정에는 비밀번호가 없습니다. 다음을 지정하는 경우 로컬시스템CreateService 함수를 호출할 때 사용자가 제공한 모든 비밀번호 정보는 무시됩니다."

http://technet.microsoft.com/en-us/library/ms143504.aspx (Windows 서비스 계정 설정)은 다음을 알려줍니다.

로컬 시스템매우 높은 권한의 기본 제공 계정입니다. 로컬 시스템에 대한 광범위한 권한을 가지며 네트워크에서 컴퓨터 역할을 합니다. > 계정의 실제 이름은 "NT AUTHORITY\SYSTEM"입니다.

Windows 운영 체제의 잘 알려진 보안 식별자(http://support.microsoft.com/kb/243330)가 없습니다체계전혀(단, "로컬 시스템")

나의윈도우 XP 프로 SP3(와 함께MS SQL 서버설정, 기계 개발작업 그룹)가 있습니다체계하지만로컬시스템또는 "로컬 시스템".

질문:

누군가 이 난장판을 정리할 수 있나요?

점점 더 많은 모순과 오해를 수집하기 위해 MS 문서를 매일 몇 시간씩 읽는 것이 가능합니다...

1) LocalSystem에 네트워크 액세스 권한이 있습니까? 메커니즘은 무엇입니까?

2) SYSTEM과 LocalSystem(및 "로컬 시스템")은 동의어입니까?

왜 소개되었나요?

시스템과 로컬 시스템의 차이점은 무엇입니까

----------

업데이트 1:

안녕하세요, sysamin1138입니다!

귀하의 답변을 관찰된 현실과 비교하면 더욱 혼란스러워집니다. 예를 들어,새로 설치되었거나 작업 그룹인 Windows XP Pro SP3에는 SYSTEM만 있습니다(LocalSystem은 없음).

Sysadmin138은 다음과 같이 썼습니다.

  • "유사한 문제에 대해 서로 다른 보안 원칙을 적용하면 보안 설계를 어느 정도 세분화할 수 있습니다. 하나는 로컬 전용이고 다른 하나는 도메인 가시성을 갖습니다."

이 문구는 컴퓨터를 도메인에 가입할 때 LocalSystem이 추가된다는 의미입니까?

SYSTEM은 "로컬"/내부 및 작업 그룹 액세스(컴퓨터 식별)용이고 LocalSystem은 도메인 내 컴퓨터 식별용이라는 점을 이해해야 합니까?

----------

업데이트 2: 달리 지정되지 않은 경우 동일한 작업 그룹 Windows XP Pro SP3

안녕,시스템관리자1138, 귀하의 편집에서

"그 경우에는 SYSTEM과 NT Authority/SYSTEM의 능력이 동등하다는 것뿐입니다."

LocalSystem과 어떤 관련이 있습니까(NT Authority/SYSTEM 및 SYSTEM)? LocalSystem에서 그 중 하나에 오류가 발생하지 않았습니까?

그렉 애스큐,

".\LocalSystem으로 로그온하도록 서비스를 구성하면 프로세스 탐색기 또는 작업 관리자의 시스템에서 여전히 NT AUTHORITY\SYSTEM으로 로그온된 것으로 나타납니다."

이게 좀 더 가까워요. NTFS/공유 권한, RunAs 목록에서 LocalSystem을 선택할 수 없습니다. 그러나 services.msc에서 "SQL Server(MS SQL SERVER)" 서비스 --> 두 번 클릭 또는 rc --> 속성 ---> "다음 계정으로 로그온:" 탭에 "로컬 시스템 계정" 라디오 버튼이 있습니다. 그러면 이 서비스는 Windows 작업 관리자에 SYSTEM으로 나타납니다.

Greg Askew 및 sysadmin1138,

"NT AUTHORITY" 또는 "xxx\" 어디에도 나타나지 않습니다. 모든 계정 이름은 단일 라벨로 지정됩니다. Windows XP 작업 그룹 컴퓨터입니다. ADAM(Active Directory Application Mode) 인스턴스를 실행하지만.

"NT AUTHORITY"는 작업 그룹에는 없는 유명한 "보안 하위 시스템"에서 나온 것 같아요(?) 컴퓨터를 도메인에 가입시키면 "NT AUTHORITY"가 나타납니까?

NTFS/공유 권한 목록에는 2개의 열이 있습니다.

  • 단일 라벨 계정 이름이 있는 "이름(RDN)" 열
  • MyCompName(예: 관리자, 관리자, ASPNET, SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER 등의 경우) 또는 공백(예: ANONYMOUS LOGON, 인증된 사용자, CREaTOR GROUP, CREAtOR OWNER 등의 경우)이 있는 "폴더 내" 열 네트워킹 서비스, 시스템, 등.).

이전 것들은 또한코딩의 동의어"MyCompName\xxxx" 또는 ".\xxx"(예:

  • SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER =
  • = MyCompName\SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER
  • = .\SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER)

귀하의 답변을 다음과 같은 맥락에서 동기화할 수 있습니까?http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx(머신 SID 및 도메인 SID)?

----------

업데이트3: 달리 지정되지 않은 경우 동일한 작업 그룹 Windows XP Pro SP3

안녕,시스템관리자1138,

그리고 편집 기록을 보는 방법은 무엇입니까? SID를 역참조하시겠습니까?

돌파구! cacls에 "NT Authority\SYSTEM"이 표시됩니다...

서비스의 경우 그 반대입니다. 모든 서비스는 "로그온" 탭 아래에 표시됩니다.

  • WIndowsTaskManager에 SYSTEM이 표시되는 "로컬 시스템 계정" 라디오 버튼과
  • 목록에 SYSTEM 계정을 표시하지 않는 "이 계정" 라디오 버튼 --> btn "찾아보기..."

시간을 내어 죄송합니다. Windows XP에서는 아직 LocalSystem에 접근할 수 없습니다! LocalSystem은 XP의 어느 곳에도 표시되지 않습니다! 하지만 모든 MS 문서가 LocalSystem에만 존재한다는 문제는...

그런데,http://support.microsoft.com/kb/120929("Windows에서 시스템 계정이 사용되는 방법")은 SYSTEM이 컴퓨터 내부 서비스 로깅용임을 알려주며 놀랍게도 NT Workstation 3.1에서 Windows Server 2003까지 모든 Windows에 "적용"됩니다.윈도우 XP를 제외하고(?!).

Windows XP는 Windows 라인에 어떤 예외가 있습니까?

----------

업데이트4: 달리 지정되지 않은 경우 동일한 작업 그룹 Windows XP Pro SP3

모든 MS 문서는 일반적으로 SYSTEM이 아닌 LocalSystem에만 있지만 Windows XP에서는 LocalSystem(서비스 로그온 라디오 버튼에 대한 텍스트에 언급된 "로컬 시스템"만 해당)을 감지할 수 없습니다. 나는 Windows XP가 일부 GUI 사용성 버그가 있는 Windows OS-es의 변칙/예외라는 것을 이해한 것으로 이 질문을 답변으로 표시했으며 시나리오가 다른 Windows에서 어떻게 나타날지 추측해야 합니다(여기 답변의 도움을 받아). )

정확하지 않은 경우 다른 관점을 자유롭게 증명/공유해 주세요.

업데이트5: 달리 지정되지 않은 경우 동일한 작업 그룹 Windows XP Pro SP3

벤세레모스!

Windows XP에서 "로컬 시스템"을 찾았습니다! services.msc의 "다음 계정으로 로그온" 열에 표시됩니다!

답변1

[명확성을 위해 요약하여 큰 답변을 지웠습니다. 더러운 이야기는 편집 기록을 참조하세요.]

로컬 시스템에는 잘 알려진 단일 SID가 있습니다. 해당 KB 문서에서 찾은 대로 S-1-5-18입니다. 이 SID는 역참조 요청 시 여러 이름을 반환합니다. 'cacls' 명령줄 명령(XP)은 이를 " NT Authority\SYSTEM"로 표시합니다. 'icacls' 명령줄 명령(Vista/Win7)에서도 이를 " NT Authority\SYSTEM"로 표시합니다. Windows 탐색기의 GUI 도구에서는 이를 " SYSTEM"로 표시합니다. 실행할 서비스를 구성하는 경우 이는 " Local System"로 표시됩니다.

이름 3개, SID 1개.

작업 그룹에서 SID는 로컬 워크스테이션에서만 의미가 있습니다. 다른 워크스테이션에 액세스할 때 SID는 이름만 전송되지 않습니다. '로컬 시스템'할 수 없다다른 시스템에 액세스합니다.

도메인에서 상대 ID는 해당 컴퓨터에 로컬이 아닌 리소스에 대한 컴퓨터 계정 액세스를 허용하는 것입니다. Active Directory에 저장되어 있는 ID로, 도메인에 연결된 모든 기기에서 보안 원칙으로 사용됩니다. 이 ID는 S-1-5-18이 아닙니다. S-1-5-21[domainSID]-[random] 형태입니다.

서비스를 "로컬 서비스"로 구성하면 서비스가 로컬로 로그온하도록 지시합니다.워크스테이션으로S-1-5-18로. 그것~하지 않을 것이다모든 종류의 도메인 자격 증명이 있어야 합니다.

서비스를 "Network Service" 또는 "NT Authority\NetworkService"로 구성하면 서비스에 로그온하라는 메시지가 표시됩니다.도메인으로해당 컴퓨터의 도메인 계정으로~ 할 것이다도메인 리소스에 액세스할 수 있습니다. Windows XP 서비스 구성자에는 로그인 유형으로 "네트워크 서비스"를 선택하는 기능이 없습니다. SQL 설치 프로그램이 있을 수 있습니다.

"네트워크 서비스"는 "로컬 시스템"이 할 수 있는 모든 작업을 수행할 수 있을 뿐만 아니라 도메인 리소스에 액세스할 수도 있습니다.

"네트워크 서비스"는 작업 그룹 환경에서는 의미가 없습니다.

간단히 말해서:

NT Authority\System= Local System= SYSTEM=S-1-5-18

해당 머신에 없는 리소스에 액세스하기 위해 서비스가 필요한 경우 다음 중 하나를 수행해야 합니다.

  • 전용 로그인 사용자를 사용하여 서비스로 구성
  • "네트워크 서비스"를 사용하여 서비스로 구성하고 도메인에 속합니다.

답변2

"대부분의 서비스는 보안 컨텍스트에서 실행됩니다.로컬 시스템계정(경우에 따라 SYSTEM으로 표시되고 다른 경우에는 LocalSystem으로 표시됨)"

"...로컬 시스템 계정은 세션 관리자(smss.exe), Windows 하위 시스템 프로세스(csrss.exe), 로컬 보안 기관 프로세스( lsass.exe) 및 로그온 프로세스(winlogon.exe)."

"...보안 관점에서 로컬 시스템 계정은 매우 강력합니다. 어떤 도메인이나 로컬 계정보다 강력합니다."

-- Windows 내부, 5판(288 - 289페이지).

.\LocalSystem으로 로그온하도록 서비스를 구성하는 경우 프로세스 탐색기나 작업 관리자의 시스템에서는 여전히 NT AUTHORITY\SYSTEM으로 로그온된 것으로 나타납니다.

Windows 7에서 다음 계정으로 로그온: "로컬 시스템" 계정으로 설정된 서비스는 작업 관리자 프로세스 탭에서 사용자 이름이 "SYSTEM"입니다.

관련 정보