Windows LocalSystem vs. System


23

/programming/510170/the-ddference-between-the-local-system-account-and-the-network-service-accou memberitahu:

Sistem Lokal: Akun yang sepenuhnya dipercaya, lebih banyak daripada akun administrator. Tidak ada satu pun dalam satu kotak yang tidak dapat dilakukan akun ini dan memiliki hak untuk mengakses jaringan sebagai mesin (ini membutuhkan Direktori Aktif dan memberikan izin akun mesin untuk sesuatu) "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Bersiap untuk menginstal SQL Server 2000 (64 bit) - Membuat Akun Layanan Windows) memberi tahu:

" Akun sistem lokal tidak memerlukan kata sandi, tidak memiliki hak akses jaringan, dan membatasi instalasi SQL Server Anda dari berinteraksi dengan server lain. "

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (Akun LocalSystem, Tanggal pembuatan: 8/5/2010) memberi tahu:

" Akun LocalSystem adalah akun lokal yang telah ditentukan yang digunakan oleh manajer kontrol layanan. Akun ini tidak dikenali oleh subsistem keamanan , jadi Anda tidak dapat menentukan namanya dalam panggilan ke fungsi LookupAccountName. Ia memiliki hak istimewa yang luas pada komputer lokal, dan bertindak sebagai komputer di jaringan. Tokennya mencakup NT AUTHORITY \ SYSTEM dan BUILTIN \ Administrators SIDs , akun ini memiliki akses ke sebagian besar objek sistem. Nama akun di semua lokal adalah. \ LocalSystem . Nama, LocalSystem atau ComputerName \ LocalSystem juga dapat digunakan. Akun ini tidak memiliki kata sandi. Jika Anda menentukan LocalSystem akun dalam panggilan ke fungsi CreateService, setiap informasi kata sandi yang Anda berikan diabaikan "

http://technet.microsoft.com/en-us/library/ms143504.aspx (Mengatur Akun Layanan Windows) memberi tahu:

Sistem Lokal adalah akun bawaan yang sangat istimewa. Ini memiliki hak istimewa yang luas pada sistem lokal dan bertindak sebagai komputer di jaringan. > Nama sebenarnya dari akun adalah "NT AUTHORITY \ SYSTEM".

Pengidentifikasi keamanan terkenal di sistem operasi Windows ( http://support.microsoft.com/kb/243330 ) tidak memiliki SISTEM sama sekali (tetapi hanya " SISTEM LOKAL ")


Saya Windows XP Pro SP3 (dengan pengaturan MS SQL Server , mengembangkan mesin di workgroup ) memang memiliki SISTEM tetapi tidak LocalSystem atau " Sistem Lokal ".

PERTANYAAN:

Adakah yang bisa membereskan kekacauan ini?

Dimungkinkan untuk membakar jam demi jam, hari demi hari membaca dokumen MS hanya untuk mengumpulkan semakin banyak kontradiksi dan kesalahpahaman ...

1) Apakah LocalSystem memiliki hak untuk mengakses jaringan atau tidak? Apa mekanismenya?

2) Apakah SISTEM dan Sistem Lokal (dan "Sistem Lokal") bersinonim?

Mengapa mereka diperkenalkan?

Apa perbedaan antara SISTEM dan Sistem Lokal

----------

Pembaruan1:

Hai, sysamin1138!

Jawaban Anda menambah kebingungan bahkan jika membandingkannya dengan kenyataan yang diamati, misalnya, dengan fakta bahwa Fresh diinstal atau workgroup Windows XP Pro SP3 hanya memiliki SISTEM (tetapi bukan LocalSystem).

Sysadmin138 menulis:

  • "Prinsip keamanan yang berbeda untuk masalah serupa, yang memungkinkan sedikit perincian dalam desain keamananmu. Satu hanya lokal, yang lain memiliki visibilitas domain."

Apakah frasa ini berarti LocalSystem ditambahkan setelah bergabung dengan komputer ke domain?

Haruskah dipahami bahwa SISTEM untuk akses "lokal" / internal dan kelompok kerja (identifikasi komputer) dan Sistem Lokal untuk identifikasi komputer dalam domain?

----------

Update2: workgroup yang sama Windows XP Pro SP3 jika tidak ditentukan sebaliknya

Hai, Sysadmin1138 , Di Sunting Anda

"Hanya saja dalam hal ini SYSTEM dan NT Authority / SYSTEM setara dalam kemampuan",

bagaimana mereka (Otoritas / Sistem dan SISTEM NT) terkait dengan LocalSystem? Bukankah Anda salah dengan salah satunya dengan LocalSystem?

Greg Askew,

"Perhatikan bahwa jika Anda mengonfigurasi layanan untuk masuk sebagai. \ LocalSystem, itu akan tetap muncul sebagai logon sebagai NT AUTHORITY \ SYSTEM di Process Explorer atau Sistem di Task Manager"

Ini sedikit lebih dekat. Saya tidak bisa memilih LocalSystem di NTFS / share premitions, daftar RunAs. Tetapi dalam services.msc layanan "SQL Server (MS SQL SERVER)" -> klik dua kali atau rc -> Properties ---> tab "Logo on as:" memiliki radiobuttom "Akun Sistem Lokal". Layanan ini kemudian muncul di Windows Task Manager sebagai SYSTEM

Greg Askew dan sysadmin1138 ,

"NT AUTHORITY" atau "xxx \" apa pun tidak muncul di mana pun. Semua nama akun berlabel tunggal. Perhatikan itu adalah komputer workgroup Windows XP. Meskipun saya menjalankan sebuah instance dari ADAM (Mode Aplikasi Direktori Aktif).

Saya kira "NT AUTHORITY" berasal dari "subsistem keamanan" yang terkenal yang tidak ada di workgroup (?) Apakah "NT Authority" akan muncul jika saya bergabung dengan komputer ke domain?

Daftar izin NTFS / bagikan memiliki 2 kolom:

  • Kolom "Nama (RDN)" memiliki nama akun berlabel tunggal
  • Kolom "Di Folder" yang memiliki MyCompName (mis., Untuk Administrator, Administrator, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER, dll.) Atau kosong (mis., Untuk LOGON ANONIM, Pengguna Terotentikasi, KELOMPOK CREATIF, KREATUR, JARINGAN OLEH ANGKA SISTEM , dll.).

Yang sebelumnya juga memiliki sinonim untuk pengkodean sebagai "MyCompName \ xxxx" atau ". \ Xxx" (mis

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

Bisakah Anda menyinkronkan jawaban Anda dalam konteks http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (SID Mesin dan SID Domain)?

----------

Update3: workgroup yang sama Windows XP Pro SP3 jika tidak ditentukan sebaliknya

Hai, Sysadmin1138 ,

Dan bagaimana cara melihat edit-history? dan dereference SID?

Penerobosan! cacls menunjukkan "NT Authority \ SYSTEM" ...

Meskipun untuk layanan semuanya sebaliknya: semua layanan ditampilkan di bawah tab "Log On"

  • radiobutton "Akun Sistem Lokal" yang menghasilkan SISTEM di WIndowsTaskManager dan
  • "Akun ini" radiobutton -> btn "Browse ..." yang tidak menampilkan akun SYSTEM dalam daftar

Maaf atas waktu Anda, tetapi saya belum bisa ke LocalSystem di Windows XP! LocalSystem tidak muncul di XP! tetapi masalah bahwa semua dokumen MS hanya tinggal di LocalSystem ...

BTW, http://support.microsoft.com/kb/120929 ("Bagaimana akun Sistem digunakan di Windows") memberi tahu bahwa SISTEM adalah untuk layanan log internal ke komputer, dan kejutan-kejutan "BERLAKU UNTUK" semua Windows dari NT Workstation 3.1 ke Windows Server 2003 kecuali Windows XP (?!).

Apakah Windows XP beberapa anomali di jalur Windows?

----------

Update4: workgroup yang sama Windows XP Pro SP3 jika tidak ditentukan sebaliknya

Saya tidak dapat mendeteksi LocalSystem (hanya "sistem lokal" yang disebutkan dalam teks untuk radiobutton layanan LogOn) di Windows XP meskipun semua dokumen MS biasanya hanya tinggal pada LocalSystem tetapi tidak pada SISTEM. Saya menandai pertanyaan ini sebagai jawaban setelah mengerti bagi saya bahwa Windows XP adalah anomali / pengecualian pada OS Windows yang memiliki beberapa bug kegunaan GUI dan saya harus menebak bagaimana skenario akan muncul di Windows lain (dengan bantuan jawaban di sini) )

Jika itu tidak benar, harap bebas untuk membuktikan / berbagi sudut pandang lain


Update5: workgroup yang sama Windows XP Pro SP3 jika tidak ditentukan sebaliknya

Venceremos!

Saya menemukan "Sistem Lokal" di Windows XP! Itu ditampilkan di kolom "Log On As" di services.msc!


1
Saya sudah mengatakan ini beberapa kali. "LocalSystem" adalah persis sama dengan "NT Authority \ System". Mereka adalah sinonim. "Sistem" adalah entitas terpisah yang kebetulan berbagi beberapa karakteristik (yang menyebabkan kebingungan).
sysadmin1138

Saya tidak punya "NT Authority \ System" di workgroup Windows XP Pro SP3. Saya hanya punya "MyCompName \ SYSTEM"
Gennady Vanin Геннадий Ванин

Maaf, SISTEM saya bukan akun komputer (bukan "MyCompName \ SYSTEM"), yang saya yakin akan menjadi "NT Authority \ SYSTEM" setelah bergabung dengan Windows ke domain. Apakah ini sama dengan LocalSystem sebelum bergabung? Dan apakah SISTEM ini akan menjadi "NT Authority \ SYSTEM" setelah bergabung?
Gennady Vanin Геннадий Ванин

3
Pertanyaan ini sekarang tidak dapat dibaca - dapatkah Anda mempersingkat dan menjernihkannya? Ini akan membantu pembaca di masa depan jika pertanyaannya pendek dan sederhana ^^ +1
Oskar Duveborn

Jawaban:


26

[menghapus jawaban besar, meringkas untuk kejelasan. Lihat sunting-sejarah untuk kisah mesum.]

Ada satu SID yang terkenal untuk sistem lokal. S-1-5-18, seperti yang Anda temukan dari artikel KB itu. SID ini mengembalikan banyak nama ketika diminta untuk dereferensi. Perintah baris perintah 'cacls' (XP) menunjukkan ini sebagai " NT Authority\SYSTEM". Perintah baris perintah 'icacls' (Vista / Win7) juga menunjukkan ini sebagai " NT Authority\SYSTEM". Alat GUI di Windows Explorer menunjukkan ini sebagai " SYSTEM". Ketika Anda mengkonfigurasi Layanan untuk dijalankan, ini ditampilkan sebagai " Local System".

Tiga nama, satu SID.

Dalam Workgroups, SID hanya memiliki arti pada workstation lokal. Saat mengakses workstation lain, SID tidak ditransfer hanya namanya. 'Sistem Lokal' tidak dapat mengakses sistem lain.

Di Domain, ID Relatif adalah yang memungkinkan Akun Mesin mengakses sumber daya yang bukan lokal untuk satu mesin itu. Ini adalah ID yang disimpan di Active Directory, dan digunakan sebagai prinsip keamanan oleh semua mesin yang terhubung dengan domain. ID ini bukan S-1-5-18. Itu adalah dalam bentuk S-1-5-21 [domainSID] - [acak].

Mengkonfigurasi layanan sebagai "Layanan Lokal" memberi tahu layanan untuk masuk secara lokal ke workstation sebagai S-1-5-18. Itu tidak akan memiliki kredensial Domain apa pun.

Mengkonfigurasi layanan sebagai "Layanan Jaringan" atau "NT Authority \ NetworkService" memberi tahu layanan untuk masuk ke domain sebagai akun domain mesin itu, dan akan memiliki akses ke sumber daya Domain. Konfigurasi Layanan Windows XP tidak memiliki kemampuan untuk memilih "Layanan Jaringan" sebagai jenis login. Program Penataan SQL mungkin.

"Layanan Jaringan" dapat melakukan apa saja yang "Sistem Lokal" dapat, serta mengakses sumber daya Domain.

"Layanan Jaringan" tidak memiliki arti dalam konteks Kelompok Kerja.

Pendeknya:

NT Authority\System= Local System= SYSTEM=S-1-5-18

Jika Anda membutuhkan layanan Anda untuk mengakses sumber daya yang tidak terdapat pada mesin itu, Anda harus:

  • Konfigurasikan sebagai Layanan menggunakan pengguna login khusus
  • Konfigurasikan sebagai Layanan menggunakan "Layanan Jaringan" dan milik domain

1
Sebenarnya, Layanan Jaringan adalah akun dengan privilege rendah. Itu tidak memiliki hak yang sama dengan Sistem Lokal. Juga, dalam suatu domain, Sistem Lokal memiliki akses yang sama ke sumber daya domain seperti Layanan Jaringan, yaitu, ia dapat masuk menggunakan akun komputer.
Harry Johnston

Kenapa variabel lingkungan% USERNAME% untuk pengguna ini adalah nama komputer diikuti dengan tanda dolar "$"?
rory.ap

@ rory.ap Dengan konvensi kuno yang kembali ke Windows NT jika tidak sebelumnya, akun tersembunyi (dan file-share) memiliki akhiran tanda dolar. Dan secara tersembunyi maksud saya tidak muncul di beberapa alat tampilan.
sysadmin1138

3

"Sebagian besar layanan berjalan dalam konteks keamanan akun sistem lokal (kadang-kadang ditampilkan sebagai SISTEM dan kadang-kadang sebagai LocalSystem)."

"... Akun sistem lokal adalah akun yang sama dengan komponen sistem operasi mode pengguna Windows inti berjalan, termasuk Session Manager (smss.exe), proses subsistem Windows (csrss.exe), proses Otoritas Keamanan Lokal ( lsass.exe), dan proses Logon (winlogon.exe). "

"... Dari sudut pandang keamanan, akun sistem lokal sangat kuat - lebih kuat daripada domain atau akun lokal mana pun."

- Windows Internal, Edisi 5 (halaman 288 - 289).

Perhatikan bahwa jika Anda mengonfigurasi layanan untuk masuk sebagai. \ LocalSystem, itu akan tetap muncul sebagai logon sebagai NT AUTHORITY \ SYSTEM di Process Explorer atau Sistem di Task Manager.

Di Windows 7, layanan yang disetel untuk Masuk sebagai: "Sistem Lokal" akun memiliki Nama Pengguna "SISTEM" di tab Proses Manajer Tugas.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.