Windows LocalSystemとシステム

23

/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accouは次のように伝えます:

ローカルシステム:管理者アカウントよりも完全に信頼されたアカウント。単一のボックスにはこのアカウントができないことはなく 、マシンとしてネットワークにアクセスする権利があります(これには、Active Directoryが必要であり、マシンアカウントに何かへのアクセス許可を付与する必要があります)

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx(SQL Server 2000(64ビット)のインストール準備-Windowsサービスアカウントの作成)は次のことを示しています。

ローカルシステムアカウントはパスワードを必要とせず、ネットワークアクセス権がなく、SQL Serverインストールが他のサーバーと対話することを制限します。

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx(LocalSystemアカウント、ビルド日:8/5/2010)は次のように伝えます:

LocalSystemアカウントは、サービスコントロールマネージャーが使用する定義済みのローカルアカウントです。このアカウント はセキュリティサブシステムによって認識されないため、LookupAccountName関数の呼び出しでその名前を指定できません。ローカルコンピューターに対する広範な特権があります。ネットワーク上のコンピュータとして動作する。そのトークンは、NT AUTHORITY \ SYSTEMおよびBUILTIN \管理者のSIDが含まれ ;これらのアカウントは、ほとんどのシステムオブジェクトへのアクセス権を持つアカウントの名前。すべてのロケールでは\ LocalSystemの名前、。ローカルシステムまたはコンピュータ名\ LocalSystemアカウントを使用することも可能である。このアカウントにパスワードが設定されていません。あなたが指定した場合 はLocalSystemを CreateService関数の呼び出しのアカウント、指定したパスワード情報は無視されます」

http://technet.microsoft.com/en-us/library/ms143504.aspx(Windows サービスアカウントのセットアップ)は次のことを示しています。

ローカルシステムは、非常に特権の高いビルトインアカウントです。ローカルシステムに対する広範な特権を持ち、ネットワーク上のコンピューターとして機能します。 >アカウントの実際の名前は「NT AUTHORITY \ SYSTEM」です。

Windowsオペレーティングシステム(http://support.microsoft.com/kb/243330)の既知のセキュリティ識別子にはSYSTEMがまったくありません(ただし、「ローカルシステム」のみ)

のWindows XP ProのSP3(とMS SQL Serverのセットアップ、中にマシンを開発して、ワークグループは)持っていないシステムではなく、ローカルシステムまたは「ローカルシステム」。

質問:

誰かがこの混乱を一掃できますか?

ますます多くの矛盾や誤解を収集するために、MSドキュメントを毎日読んで、何時間も何時間も燃やすことができます...

1)ネットワークにアクセスするLocalSystem権限がありますか?メカニズムは何ですか?

2)SYSTEMとLocalSystem(および「Local System」)は同義語ですか?

なぜ導入されたのですか?

SYSTEMとLocal Systemの違いは何ですか

----------

アップデート1:

こんにちは、sysamin1138!

たとえば、Windows XP Pro SP3にインストールされたまたはワークグループのFreshにはSYSTEMしかありません(LocalSystemはありません)という事実と、観測された現実を比較すると、答えはさらに混乱します。

Sysadmin138の書き込み:

  • 「同様の問題に対する異なるセキュリティ原則。セキュリティ設計を少し細かくすることができます。1つはローカルのみで、もう1つはドメインの可視性があります。」

このフレーズは、コンピューターをドメインに参加させるときにLocalSystemが追加されることを意味しますか?

SYSTEMは「ローカル」/内部およびワークグループアクセス(コンピューターの識別)用であり、LocalSystemはドメイン内のコンピューターの識別用であることを理解する必要がありますか?

----------

Update2:指定されていない場合、同じワークグループWindows XP Pro SP3

こんにちは、Sysadmin1138、編集中

「その場合、SYSTEMとNT Authority / SYSTEMの能力は同等です」、

LocalSystemにどのように関連していますか(NT Authority / SYSTEMおよびSYSTEM)?LocalSystemでそれらの1つを間違えませんでしたか?

グレッグ・アスキュー、

「。\ LocalSystemとしてログオンするようにサービスを構成する場合、プロセスエクスプローラーでNT AUTHORITY \ SYSTEMまたはタスクマネージャーでシステムとしてログオンしたままになります」

これは少し近づいています。NTFS /共有許可、RunAsリストでLocalSystemを選択できません。しかし、services.mscでは、サービス「SQL Server(MS SQL SERVER)」->ダブルクリックまたはrc->プロパティ--->タブ「Log on on:」にはradiobuttom「Local System account」があります。このサービスは、WindowsタスクマネージャーにSYSTEMとして表示されます。

Greg Askewとsysadmin1138

「NT AUTHORITY」または「xxx \」 はどこにも表示されません。すべてのアカウント名は単一ラベルです。Windows XPワークグループコンピューターであることに注意してください。ADAM(Active Directory Application Mode)のインスタンスを実行していますが。

「NT AUTHORITY」は、ワークグループに存在しない有名な「セキュリティサブシステム」からのものだと思います(?)コンピュータをドメインに参加させると、「NT Authority」が表示されますか?

NTFS /共有許可リストには2つの列があります。

  • 単一ラベルのアカウント名を持つ「Name(RDN)」列
  • MyCompName(例:Administrator、Administrators、ASPNET、SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVERなど)または空白(例:ANONYMOUS LOGON、Authenticated Users、CREaTOR GROUP、CREAtOR OWNER、NETWORKING SERVICES)のいずれかを持つ「In Folder」列 SYSTEMなど)。

前者はまた、持っているコーディングのための同義語の「MyCompName \ XXXX」または「\ XXX」として(すなわち

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =。\ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx(マシンSIDとドメインSID)のコンテキストで回答を同期できますか?

----------

Update3:特に指定されていない場合、同じワークグループWindows XP Pro SP3

こんにちは、Sysadmin1138

そして、編集履歴を見る方法は?SIDを逆参照しますか?

突破口!caclsは「NT Authority \ SYSTEM」を示します...

ただし、サービスの場合はすべて逆です。すべてのサービスは「ログオン」タブの下に表示されます

  • WIndowsTaskManagerのSYSTEMになるラジオボタン「ローカルシステムアカウント」
  • 「このアカウント」ラジオボタン-> btn「参照...」リストにSYSTEMアカウントが表示されない

申し訳ありませんが、Windows XPのLocalSystemにはまだアクセスできません。LocalSystemはXPのどこにも表示されません!しかし、すべてのMSドキュメントがLocalSystemのみに宿る問題...

ところで、http://support.microsoft.com/kb/120929(「Windowsでのシステムアカウントの使用方法」)は、SYSTEMがサービスのコンピューターロギングの内部用であり、サプライズサプライズがすべてのWindowsの「適用先」であることを示しています。 NT Workstation 3.1からWindows XP(?!)を除く Windows Server 2003へ。

Windows XPは、Windowsラインに異常がありますか?

----------

Update4:指定されていない場合、同じワークグループWindows XP Pro SP3

すべてのMSドキュメントは通常、SYSTEMではなくLocalSystemのみに依存していますが、Windows XPではLocalSystem(サービスログオンのラジオボタンにテキストで記載されている「ローカルシステム」のみ)を検出できませんでした。私は、Windows XPがGUIのユーザビリティバグを抱えているWindows OSの異常/例外であることを理解し、この質問に答えたとマークし、他のWindowsにシナリオがどのように表示されるかを推測する必要があります(回答の助けを借りて) )

正しくない場合は、別の観点を証明/共有してください

Update5:指定されていない場合、同じワークグループWindows XP Pro SP3

ベンチェレモス!

Windows XPで「ローカルシステム」を見つけました!services.mscの「ログオン」列に表示されます!

windows  sql-server  network-share  workgroup 
Gennady VaninГеннадийВанин
ソース
1
すでに何度か言っています。「LocalSystem」は「NT Authority \ System」とまったく同じものです。それらは同義語です。「システム」は、いくつかの(混乱を引き起こす)特性を共有する別のエンティティです。
sysadmin1138
ワークグループWindows XP Pro SP3に「NT Authority \ System」がありません。私は唯一の「MyCompName \ SYSTEM」持っている
ゲンナジーバニンГеннадийВанин
申し訳ありませんが、私のSYSTEMはコンピューターアカウントではなく( "MyCompName \ SYSTEM"ではありません)、Windowsをドメインに参加させると "NT Authority \ SYSTEM"になります。参加する前のLocalSystemと同義ですか?そして、このシステムは参加後に「NT Authority \ SYSTEM」になりますか?
ジェナディバニンГеннадийВанин10年
3
この質問は今では読めません-短くしてクリアしてもらえますか?質問が短くシンプルな場合、将来の読者に役立つでしょう^^ +1
オスカーデューブボーン

回答:

26

[わかりやすくするために要約して、大きな回答を削除しました。厄介な話の編集履歴を参照してください。]

ローカルシステムには、単一の既知のSIDがあります。そのKB記事からわかるように、S-1-5-18です。このSIDは、参照解除を要求されたときに複数の名前を返します。「cacls」コマンドラインコマンド(XP)では、これが「NT Authority\SYSTEM」として表示されます。「icacls」コマンドラインコマンド(Vista / Win7)もこれを「NT Authority\SYSTEM」として表示します。WindowsエクスプローラのGUIツールでは、これが「SYSTEM」として表示されます。実行するようにサービスを構成している場合、これは「Local System」として表示されます。

3つの名前、1つのSID。

ワークグループでは、SIDはローカルワークステーションでのみ意味を持ちます。別のワークステーションにアクセスするとき、SIDは名前だけでは転送されません。「ローカルシステム」他のシステムにアクセスできません

ドメインでは、相対IDにより、マシンアカウントはその1つのマシンにローカルではないリソースにアクセスできます。これはActive Directoryに保存されているIDであり、ドメインに接続されているすべてのマシンでセキュリティ原則として使用されます。このIDはS-1-5-18ではありません。S-1-5-21 [domainSID]-[random]の形式です。

サービスを「ローカルサービス」として設定すると、S-1-5-18としてワークステーションにローカルログオンするようにサービスに指示します。それはないであろうあらゆる種類の任意のドメインの資格情報を持っています。

サービスを「ネットワークサービス」または「NT Authority \ NetworkService」として設定すると、そのマシンのドメインアカウントとしてドメインにログオンし、ドメインリソースにアクセスできるようになります。Windows XP Service Configuratorには、ログインタイプとして「ネットワークサービス」を選択する機能がありません。SQLセットアッププログラムが可能性があります。

「ネットワークサービス」は、「ローカルシステム」が実行できるすべての操作を実行できるだけでなく、ドメインリソースにアクセスできます。

「ネットワークサービス」は、ワークグループコンテキストでは意味がありません。

要するに:

NT Authority\System= Local System= SYSTEM=S-1-5-18

そのマシン上にないリソースにアクセスするためにサービスが必要な場合は、次のいずれかが必要です。

  • 専用ログインユーザーを使用してサービスとして構成する
  • 「ネットワークサービス」を使用してサービスとして構成し、ドメインに属します
sysadmin1138
ソース
1
実際、Network Serviceは低特権のアカウントです。ローカルシステムと同じ特権はありません。また、ドメインでは、ローカルシステムはネットワークサービスと同じドメインリソースにアクセスできます。つまり、コンピューターアカウントを使用してログインできます。
ハリージョンストン14年
このユーザーの環境変数%USERNAME%は、コンピューターの名前の後にドル記号「$」が続くのはなぜですか?
rory.ap
@ rory.ap Windows NTにさかのぼる古くからの慣習により、隠しアカウント(およびファイル共有)にはドル記号の接尾辞が付いています。また、非表示とは、一部の表示ツールには表示されないという意味です。
sysadmin1138
3

「ほとんどのサービスはローカルシステムアカウントのセキュリティコンテキストで実行されます(時にはSYSTEMとして表示され、他の時間はLocalSystemとして表示されます)。」

「...ローカルシステムアカウントは、セッションマネージャー(smss.exe)、Windowsサブシステムプロセス(csrss.exe)、ローカルセキュリティ機関プロセス( lsass.exe)、およびログオンプロセス(winlogon.exe)。」

「...セキュリティの観点から見ると、ローカルシステムアカウントは非常に強力です。どのドメインやローカルアカウントよりも強力です。」

-Windows Internals、5th Edition(288-289ページ)。

。\ LocalSystemとしてログオンするようにサービスを構成する場合、プロセスエクスプローラーでNT AUTHORITY \ SYSTEMまたはタスクマネージャーでシステムとしてログオンしたままになります。

Windows 7では、「ローカルシステム」アカウントでログオンするように設定されたサービスは、タスクマネージャーの[プロセス]タブでユーザー名が「SYSTEM」になっています。

グレッグ・アスキュー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.