Sistema local:Conta totalmente confiável, mais do que a conta de administrador. Não há nada em uma única caixa que esta conta não possa fazer e tem o direito de acessar a rede como a máquina (isso requer o Active Directory e a concessão de permissões de conta da máquina para algo)"
http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx(Preparando para instalar o SQL Server 2000 (64 bits) - Criando contas de serviço do Windows) informa:
"Osistema localconta não requer senha,não tem direitos de acesso à rede e restringe a interação da instalação do SQL Server com outros servidores."
http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx(Conta LocalSystem, data de construção: 05/08/2010) informa:
"OSistema Localaccount é uma conta local predefinida usada pelo gerenciador de controle de serviço. Esta conta não é reconhecido pelo subsistema de segurança, portanto, você não pode especificar seu nome em uma chamada para a função LookupAccountName. Possui amplos privilégios no computador local e atua como o computador na rede.Seu token inclui os SIDs NT AUTHORITY\SYSTEM e BUILTIN\Administrators; essas contas têm acesso à maioria dos objetos do sistema. O nome da contaem todas as localidades é .\LocalSystem. O nome,LocalSystem ou NomeDoComputador\LocalSystemtambém pode ser usado. Esta conta não possui senha. Se você especificar o Sistema Localconta em uma chamada para a função CreateService, qualquer informação de senha fornecida será ignorada"
http://technet.microsoft.com/en-us/library/ms143504.aspx (Configurando contas de serviço do Windows) informa:
Sistema localé uma conta interna com privilégios muito altos. Possui amplos privilégios no sistema local e atua como o computador na rede. > O nome real da conta é "NT AUTHORITY\SYSTEM".
Identificadores de segurança conhecidos em sistemas operacionais Windows (http://support.microsoft.com/kb/243330) não tem nenhumSISTEMAem tudo (mas apenas "SISTEMA LOCAL")
MeuWindowsXP Pro SP3(comServidor SQL MSconfiguração, desenvolvimento de máquina emgrupo de trabalho) temSISTEMAmas nãoSistema Localou "Sistema local".
QUESTÕES:
Alguém pode limpar essa bagunça?
É possível queimar horas após horas, dia após dia lendo documentos do MS apenas para coletar cada vez mais contradições e mal-entendidos...
1) LocalSystem tem direitos para acessar a rede ou não? Qual é o mecanismo?
2) SYSTEM e LocalSystem (e "Local System") são sinônimos?
Por que eles foram introduzidos?
Quais são as diferenças entre SISTEMA e Sistema Local
----------
Atualização1:
Olá, sysamin1138!
Suas respostas acrescentam ainda mais confusão se as compararmos com a realidade observada, por exemplo, ao fato de queO Windows XP Pro SP3 recém-instalado ou de grupo de trabalho possui apenas SYSTEM (mas não LocalSystem).
Sysadmin138 escreveu:
- "Diferentes princípios de segurança para problemas semelhantes, que permitem um pouco de granularidade no seu design de segurança. Um é apenas local, o outro tem visibilidade de domínio."
Esta frase significa que LocalSystem é adicionado ao ingressar o computador no domínio?
Deve-se entender que SYSTEM é para acesso "local"/interno e de grupo de trabalho (identificação do computador) e LocalSystem para identificação do computador no domínio?
----------
Atualização2: mesmo grupo de trabalho do Windows XP Pro SP3, se não for especificado de outra forma
Oi,Sysadmin1138, Na sua edição
"É que nesse caso SYSTEM e NT Authority/SYSTEM são equivalentes em capacidade",
como eles (NT Authority/SYSTEM e SYSTEM) estão relacionados ao LocalSystem? Você não errou um deles com LocalSystem?
Greg Askew,
"Observe que se você configurar um serviço para fazer logon como .\LocalSystem, ele ainda aparecerá como conectado como NT AUTHORITY\SYSTEM no Process Explorer ou Sistema no Gerenciador de Tarefas"
Este é um pouco mais perto. Não consigo escolher LocalSystem em permissões NTFS/share, lista RunAs. Mas em services.msc o serviço "SQL Server (MS SQL SERVER)" -> clique duas vezes ou rc --> Propriedades ---> guia "Logo on as:" possui o botão de opção "Conta do sistema local". Este serviço aparece no Gerenciador de Tarefas do Windows como SYSTEM
Greg Askew e sysadmin1138,
"NT AUTHORITY" ou qualquer "xxx\" não aparece em lugar nenhum. Todos os nomes de contas têm rótulo único. Observe que é um computador de grupo de trabalho com Windows XP. Embora eu execute uma instância do ADAM (Modo de aplicativo do Active Directory).
Eu acho que "NT AUTHORITY" é daquele famoso "subsistema de segurança" que está ausente no grupo de trabalho (?) "NT Authority" apareceria se eu associasse o computador a um domínio?
A lista de permissões NTFS/compartilhamento tem 2 colunas:
- Coluna "Nome (RDN)" com nomes de contas de rótulo único
- Coluna "Na pasta" contendo MyCompName (por exemplo, para Administrador, Administradores, ASPNET, SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER, etc.) ou em branco (por exemplo, para LOGON ANÔNIMO, Usuários autenticados, CREaTOR GROUP, CREAtOR OWNER, SERVIÇOS DE REDE, SISTEMA, etc.).
Os primeiros tambémsinônimos para codificaçãocomo "MyCompName\xxxx" ou ".\xxx" (ou seja,
- SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER =
- = MeuNomeComp\SQLServerReportServerUser$MeuNomeComp$MSRS10_50.MSSQLSERVER
- = .\SQLServerReportServerUser$MeuNomeComp$MSRS10_50.MSSQLSERVER)
Você pode sincronizar suas respostas no contexto dehttp://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx(SIDs de máquina e SIDs de domínio)?
----------
Atualização3: mesmo grupo de trabalho do Windows XP Pro SP3, se não for especificado de outra forma
Oi,Sysadmin1138,
E como ver o histórico de edições? e desreferenciar o SID?
Avanço! cacls mostra "NT Authority\SYSTEM"...
Embora para serviços seja tudo vice-versa: todos os serviços são exibidos na guia "Log On"
- o botão de opção "Conta do sistema local" que resulta em SYSTEM no WIndowsTaskManager e
- o botão de opção "Esta conta" -> btn "Navegar..." que não mostra a conta SYSTEM na lista
Desculpe pelo seu tempo, mas ainda não consegui acessar nenhum LocalSystem no Windows XP! LocalSystem não aparece em nenhum lugar no XP! mas o problema é que todos os documentos da MS residem apenas no LocalSystem...
POR FALAR NISSO,http://support.microsoft.com/kb/120929("Como a conta do sistema é usada no Windows") informa que SYSTEM é para registro de serviços interno ao computador e surpresa-surpresa "APLICA-SE A" todos os Windows do NT Workstation 3.1 ao Windows Server 2003exceto Windows XP(?!).
O Windows XP é alguma anomalia na linha do Windows?
----------
Atualização4: mesmo grupo de trabalho do Windows XP Pro SP3, se não for especificado de outra forma
Não consegui detectar nenhum LocalSystem (apenas "sistema local" mencionado no texto para o botão de opção dos serviços LogoOn) no Windows XP, embora todos os documentos do MS geralmente residam apenas no LocalSystem, mas não no SYSTEM. Marquei esta pergunta como respondida tendo entendido para mim que o Windows XP é uma anomalia/exceção nos sistemas operacionais Windows com algum bug de usabilidade da GUI e devo adivinhar como um cenário teria aparecido em outro Windows (com a ajuda das respostas aqui )
Se não estiver correto, fique à vontade para provar/compartilhar outro ponto de vista
Atualização 5: mesmo grupo de trabalho do Windows XP Pro SP3, se não for especificado de outra forma
Venceremos!
Encontrei "Sistema Local" no Windows XP! É mostrado na coluna "Log On As" em services.msc!
Responder1
[resposta grande apagada, resumindo para maior clareza. Veja o histórico de edições para contos sórdidos.]
Existe um único SID conhecido para o sistema local. É S-1-5-18, como você descobriu naquele artigo da base de conhecimento. Este SID retorna vários nomes quando solicitado a ser desreferenciado. O comando de linha de comando (XP) 'cacls' mostra isso como " NT Authority\SYSTEM". O comando de linha de comando 'icacls' (Vista/Win7) também mostra isso como " NT Authority\SYSTEM". As ferramentas GUI no Windows Explorer mostram isso como " SYSTEM". Quando você está configurando um serviço para execução, isso é mostrado como " Local System".
Três nomes, um SID.
Em Grupos de Trabalho, o SID só tem significado na estação de trabalho local. Ao acessar outra estação de trabalho, o SID não é transferido apenas o nome. O 'Sistema Local'não podeacessar quaisquer outros sistemas.
Em Domínios, o ID Relativo é o que permite à Conta da Máquina acessar recursos não locais daquela máquina. Este é o ID armazenado no Active Directory e é usado como princípio de segurança por todas as máquinas conectadas ao domínio. Este ID não é S-1-5-18. Está no formato S-1-5-21[domainSID]-[random].
Configurar um serviço como "Serviço Local" informa ao serviço para fazer logon localmentepara a estação de trabalhocomo S-1-5-18. Istonão vouter quaisquer credenciais de domínio de qualquer tipo.
Configurar um serviço como "Serviço de Rede" ou "NT Authority\NetworkService" informa ao serviço para fazer logonpara o domíniocomo a conta de domínio dessa máquina evaiter acesso aos recursos do Domínio. O configurador de serviços do Windows XP não tem a capacidade de selecionar "Serviço de rede" como tipo de login. O programa SQL Setup pode.
O "Serviço de Rede" pode fazer tudo o que o "Sistema Local" pode, bem como acessar os recursos do Domínio.
"Serviço de Rede" não tem significado num contexto de Grupo de Trabalho.
Resumidamente:
NT Authority\System= Local System= SYSTEM=S-1-5-18
Se precisar que seu serviço acesse recursos não localizados nessa máquina, você precisará:
- Configure-o como um serviço usando um usuário de login dedicado
- Configure-o como um serviço usando "Serviço de rede" e pertença a um domínio
Responder2
"A maioria dos serviços é executada no contexto de segurança dosistema localconta (exibida algumas vezes como SYSTEM e outras vezes como LocalSystem)."
"...A conta do sistema local é a mesma conta na qual os principais componentes do sistema operacional do modo de usuário do Windows são executados, incluindo o Gerenciador de Sessão (smss.exe), o processo do subsistema do Windows (csrss.exe), o processo da Autoridade de Segurança Local ( lsass.exe) e o processo de logon (winlogon.exe)."
"...Do ponto de vista da segurança, a conta do sistema local é extremamente poderosa - mais poderosa do que qualquer domínio ou conta local."
-- Windows Internals, 5ª Edição (páginas 288 - 289).
Observe que se você configurar um serviço para fazer logon como .\LocalSystem, ele ainda aparecerá como conectado como NT AUTHORITY\SYSTEM no Process Explorer ou Sistema no Gerenciador de Tarefas.
No Windows 7, um serviço definido para fazer logon como: conta "Sistema Local" possui o nome de usuário "SYSTEM" na guia Processos do Gerenciador de Tarefas.