Локальная система:Полностью доверенная учетная запись, более чем учетная запись администратора. Нет ничего на одном ящике, что эта учетная запись не могла бы сделать и имеет право доступа к сети как машина (для этого требуется Active Directory и предоставление учетной записи машины разрешений на что-либо)"
http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx(Подготовка к установке SQL Server 2000 (64 бит) - Создание учетных записей служб Windows) сообщает:
"Theлокальная системааккаунт не требует пароля,не имеет прав доступа к сети и ограничивает взаимодействие вашей установки SQL Server с другими серверами."
http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx(Учетная запись LocalSystem, Дата сборки: 05.08.2010) сообщает:
"TheЛокальнаяСистемаучетная запись — это предопределенная локальная учетная запись, используемая менеджером управления службами. Эта учетная запись не распознается подсистемой безопасности, поэтому вы не можете указать его имя в вызове функции LookupAccountName. Он имеет обширные привилегии на локальном компьютере и действует как компьютер в сети.Его токен включает в себя идентификаторы безопасности NT AUTHORITY\SYSTEM и BUILTIN\Administrators.; эти учетные записи имеют доступ к большинству системных объектов. Имя учетной записиво всех локалях это .\LocalSystem. Имя,LocalSystem или ИмяКомпьютера\LocalSystemтакже может быть использован. Эта учетная запись не имеет пароля. Если вы укажете ЛокальнаяСистемаучетной записи при вызове функции CreateService любая предоставленная вами информация о пароле игнорируется"
http://technet.microsoft.com/en-us/library/ms143504.aspx (Настройка учетных записей служб Windows) рассказывает:
Локальная системаочень высокопривилегированная встроенная учетная запись. Имеет обширные привилегии в локальной системе и действует как компьютер в сети. > Фактическое имя учетной записи — «NT AUTHORITY\SYSTEM».
Известные идентификаторы безопасности в операционных системах Windows (http://support.microsoft.com/kb/243330) не имеет никакихСИСТЕМАвообще (но только "ЛОКАЛЬНАЯ СИСТЕМА")
МойWindows XP Pro SP3(сMS SQL-сервернастройка, разработка машины врабочая группа) имеетСИСТЕМАно нетЛокальнаяСистемаили "Локальная система".
ВОПРОСЫ:
Кто-нибудь может навести порядок в этом беспорядке?
Можно тратить часы и часы, день за днем, читая документы Microsoft, только чтобы собрать все больше и больше противоречий и недоразумений...
1) Имеет ли LocalSystem права на доступ к сети или нет? Каков механизм?
2) Являются ли SYSTEM и LocalSystem (и «Локальная система») синонимами?
Почему они были введены?
В чем разница между SYSTEM и Local System?
----------
Обновление1:
Привет, sysamin1138!
Ваши ответы добавляют еще больше путаницы, если сравнить их с наблюдаемой реальностью, например, с тем фактом, чтоВ свежеустановленной или рабочей системе Windows XP Pro SP3 есть только SYSTEM (но не LocalSystem).
Sysadmin138 написал:
- «Разные принципы безопасности для схожих проблем, которые допускают некоторую детализацию в вашем проекте безопасности. Один из них локальный, другой имеет видимость домена».
Означает ли эта фраза, что LocalSystem добавляется при присоединении компьютера к домену?
Следует ли понимать, что SYSTEM предназначен для «локального»/внутреннего и рабочего группового доступа (идентификации компьютера), а LocalSystem — для идентификации компьютера в домене?
----------
Обновление 2: та же рабочая группа Windows XP Pro SP3, если не указано иное
Привет,Системный администратор1138, В вашем редактировании
«Просто в этом случае SYSTEM и NT Authority/SYSTEM эквивалентны по возможностям»,
как они (NT Authority/SYSTEM и SYSTEM) связаны с LocalSystem? Не ошиблись ли вы с LocalSystem?
Грег Эскью,
«Обратите внимание, что если вы настроите службу на вход в систему как .\LocalSystem, она все равно будет отображаться как вошедшая в систему как NT AUTHORITY\SYSTEM в Process Explorer или как System в Task Manager»
Это немного ближе. Я не могу выбрать LocalSystem ни в NTFS/share premissions, ни в списке RunAs. Но в services.msc служба "SQL Server (MS SQL SERVER)" --> двойной щелчок или rc --> Свойства ---> вкладка "Logo on as:" имеет переключатель "Local System account". Затем эта служба отображается в диспетчере задач Windows как SYSTEM
Грег Эскью и sysadmin1138,
«NT AUTHORITY» или любой «xxx\" нигде не появляется. Все имена учетных записей однолапые. Обратите внимание, что это компьютер рабочей группы Windows XP. Хотя я запускаю экземпляр ADAM (Active Directory Application Mode).
Полагаю, «NT AUTHORITY» — это часть знаменитой «подсистемы безопасности», которая отсутствует в рабочей группе(?). Появится ли «NT Authority», если я присоединю компьютер к домену?
Список разрешений NTFS/share состоит из 2 столбцов:
- Столбец «Имя(RDN)» с именами учетных записей с одним ярлыком
- Столбец «В папке» может содержать либо MyCompName (например, для Администратора, Администраторов, ASPNET, SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER и т. д.), либо быть пустым (например, для АНОНИМНОГО ВХОДА, АУТЕНТИФИЦИРОВАННЫХ пользователей, ГРУППЫ СОЗДАТЕЛЕЙ, ВЛАДЕЛЬЦА СОЗДАТЕЛЯ, СЕТЕВЫЕ УСЛУГИ, СИСТЕМА, и т. д.).
У первых также естьсинонимы к слову кодированиекак "MyCompName\xxxx" или ".\xxx" (т.е.
- SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER =
- = Имя_Моей_Компании\Пользователь_Сервера_Отчетов_SQL$Имя_Моей_Компании$MSRS10_50.MSSQLSERVER
- = .\SQLServerReportServerUser$MyCompName$MSRS10_50.MSSQLSERVER)
Можете ли вы синхронизировать свои ответы в контекстеhttp://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx(SID машины и SID домена)?
----------
Обновление 3: та же рабочая группа Windows XP Pro SP3, если не указано иное
Привет,Системный администратор1138,
А как посмотреть историю правок и разыменовать SID?
Прорыв! cacls показывает "NT Authority\SYSTEM"...
Хотя для служб все наоборот: все службы отображаются на вкладке «Вход в систему».
- переключатель «Учетная запись локальной системы», который приводит к появлению SYSTEM в WIndowsTaskManager и
- радиокнопка «Эта учетная запись» -> кнопка «Обзор...», которая не отображает учетную запись SYSTEM в списке
Извините за ваше время, но я пока не смог добраться до LocalSystem в Windows XP! LocalSystem нигде не отображается в XP! но проблема в том, что вся документация MS посвящена только LocalSystem...
КСТАТИ,http://support.microsoft.com/kb/120929(«Как учетная запись System используется в Windows») сообщает, что SYSTEM предназначена для внутреннего ведения журналов служб компьютера и, как ни странно, «ПРИМЕНЯЕТСЯ КО» всем Windows от NT Workstation 3.1 до Windows Server 2003.кроме Windows XP(?!).
Является ли Windows XP аномалией в линейке Windows?
----------
Обновление 4: та же рабочая группа Windows XP Pro SP3, если не указано иное
Я не смог обнаружить никакой LocalSystem (только "локальная система", упомянутая в тексте радиокнопки служб LogOn) в Windows XP, хотя все документы MS обычно останавливаются только на LocalSystem, а не на SYSTEM. Я отметил этот вопрос как отвеченный, понимая для себя, что Windows XP является аномалией/исключением в ОС Windows, имеющей некоторые ошибки в удобстве использования графического интерфейса, и я должен предположить, как сценарий выглядел бы в других Windows (с помощью ответов здесь)
Если это не так, пожалуйста, докажите/поделитесь другой точкой зрения.
Обновление 5: та же рабочая группа Windows XP Pro SP3, если не указано иное
Венсеремос!
Я нашел "Локальную систему" в Windows XP! Она отображается в столбце "Войти как" в services.msc!
решение1
[вытер большой ответ, обобщая для ясности. Смотрите историю правок для грязной истории.]
Для локальной системы существует один известный SID. Это S-1-5-18, как вы узнали из этой статьи базы знаний. Этот SID возвращает несколько имен при запросе на разыменование. Команда командной строки 'cacls' (XP) показывает это как " NT Authority\SYSTEM". Команда командной строки 'icacls' (Vista/Win7) также показывает это как " NT Authority\SYSTEM". Инструменты графического интерфейса в проводнике Windows показывают это как " SYSTEM". Когда вы настраиваете службу для запуска, это отображается как " Local System".
Три имени, один SID.
В рабочих группах SID имеет значение только на локальной рабочей станции. При доступе к другой рабочей станции SID не передается, передается только имя. 'Локальная система'не могудоступ к любым другим системам.
В доменах относительный идентификатор — это то, что позволяет учетной записи машины получать доступ к ресурсам, не локальным для этой машины. Это идентификатор, хранящийся в Active Directory, и используемый в качестве принципа безопасности всеми машинами, подключенными к домену. Этот идентификатор не S-1-5-18. Он имеет вид S-1-5-21[domainSID]-[random].
Настройка службы как «Локальной службы» указывает службе выполнять локальный вход в систему.на рабочую станциюкак S-1-5-18. Этоне будетиметь какие-либо учетные данные домена любого типа.
Настройка службы как «Сетевая служба» или «NT Authority\NetworkService» сообщает службе о необходимости входа в системук доменукак учетная запись домена этой машины, иволяиметь доступ к ресурсам домена. Конфигуратор служб Windows XP не имеет возможности выбрать "Сетевая служба" в качестве типа входа. Программа установки SQL может.
«Сетевая служба» может делать все то же, что и «Локальная система», а также получать доступ к ресурсам домена.
«Сетевая служба» не имеет смысла в контексте рабочей группы.
Суммируя:
NT Authority\System= Local System= SYSTEM=S-1-5-18
Если вам необходимо, чтобы ваша служба имела доступ к ресурсам, не расположенным на этом компьютере, вам необходимо выполнить одно из следующих действий:
- Настройте его как службу, используя выделенного пользователя для входа.
- Настройте его как службу с помощью «Сетевой службы» и привяжите к домену.
решение2
«Большинство служб работают в контексте безопасностилокальная системаучетная запись (иногда отображается как SYSTEM, а иногда как LocalSystem)».
«...Учетная запись локальной системы — это та же учетная запись, под которой работают основные компоненты операционной системы Windows пользовательского режима, включая диспетчер сеансов (smss.exe), процесс подсистемы Windows (csrss.exe), процесс локального органа безопасности (lsass.exe) и процесс входа в систему (winlogon.exe)».
«...С точки зрения безопасности локальная системная учетная запись чрезвычайно мощна — мощнее любой доменной или локальной учетной записи».
-- Внутреннее устройство Windows, 5-е издание (стр. 288–289).
Обратите внимание, что если вы настроите службу на вход в систему как .\LocalSystem, она все равно будет отображаться как вошедшая в систему как NT AUTHORITY\SYSTEM в Process Explorer или как System в Task Manager.
В Windows 7 служба, настроенная на вход в систему как учетная запись «Локальная система», имеет имя пользователя «SYSTEM» на вкладке «Процессы» диспетчера задач.