web-dev-qa-db-ja.com

Windows LocalSystemとSystem

https://stackoverflow.com/questions/510170/the-difference-between-the-local-system-account-and-the-network-service-accou 教えます:

ローカルシステム:管理者アカウントよりも完全に信頼されたアカウント。このアカウントで実行できない単一のボックスには何もありません。また、ネットワークにアクセスする権利がありますマシンとして(これには、Active Directoryが必要で、マシンアカウントに何かへのアクセス許可を付与します) "

http://msdn.Microsoft.com/en-us/library/aa274606(SQL.80).aspx (SQL Server 2000(64ビット)のインストールの準備-Windowsサービスアカウントの作成)伝えます:

"ローカルシステムアカウントはパスワードを必要とせず、はネットワークアクセス権を持たず、SQL Serverインストールが他のサーバーと対話することを制限します。"

http://msdn.Microsoft.com/en-us/library/ms684190(v=VS.85).aspx (LocalSystem Account、Build date:8/5/2010)は、次のように伝えています。

"LocalSystemアカウントは、サービスコントロールマネージャーによって使用される事前定義されたローカルアカウントです。このアカウントは、セキュリティサブシステムによって認識されないため、LookupAccountName関数の呼び出しでその名前を指定できません。ローカルコンピューターに対する広範な特権であり、ネットワーク上のコンピューターとして機能します。そのトークンにはNT AUTHORITY\SYSTEMおよびBUILTIN\Administrators SIDが含まれます;これらのアカウントはほとんどのシステムオブジェクトにアクセスできます。アカウントの名前すべてのロケールで。\ LocalSystemです。名前、LocalSystemまたはComputerName\LocalSystemも使用できます。このアカウントにはパスワードがありません。LocalSystemアカウントを指定すると、 CreateService関数。指定したパスワード情報はすべて無視されます "

http://technet.Microsoft.com/en-us/library/ms143504.aspx (Windowsサービスアカウントの設定)は次のように伝えます。

ローカルシステムは、非常に高い特権を持つビルトインアカウントです。ローカルシステムに対する広範な権限を持ち、ネットワーク上のコンピュータとして機能します。 >アカウントの実際の名前は「NT AUTHORITY\SYSTEM」です。

Windowsオペレーティングシステムの既知のセキュリティ識別子( http://support.Microsoft.com/kb/243330 )には、[〜#〜]システム[〜#〜]がありませんまったく(ただし "ローカルシステム"のみ)


私のWindows XP Pro SP3MS SQL Serverセットアップ、ワークグループ内のマシンを開発中)には[〜#〜]システム[〜 #〜]ではなくLocalSystemまたは "Local System"。

質問:

誰かがこの混乱を解消できますか?

ますます多くの矛盾と誤解を収集するためにMSドキュメントを読んで、毎日、何時間も燃やすことは可能です...

1)ネットワークにアクセスするためのLocalSystem権限がありますか?メカニズムは何ですか?

2)SYSTEMとLocalSystem(および「ローカルシステム」)の同義語ですか?

なぜ導入されたのですか?

SYSTEMとLocal Systemの違いは何ですか

----------

Update1:​​

こんにちは、sysamin1138!

フレッシュインストールまたはワークグループWindows XP Pro SP3にはSYSTEMのみ(ただしLocalSystemは含まない))という事実など、観察された現実とそれらを比較する場合、あなたの回答はさらに混乱を招きます。

Sysadmin138は書きました:

  • 「同様の問題に対するさまざまなセキュリティ原則。これにより、セキュリティ設計を少し細かくすることができます。1つはローカルのみで、もう1つはドメインの可視性があります。」

このフレーズは、コンピューターをドメインに参加させるときにLocalSystemが追加されることを意味しますか?

SYSTEMは「ローカル」/内部およびワークグループアクセス(コンピュータの識別)用であり、LocalSystemはドメイン内のコンピュータの識別用であることを理解する必要がありますか?

----------

Update2:同じワークグループWindows XP Pro SP3特に指定のない場合

こんにちはSysadmin1138、編集中

"その場合、SYSTEMとNT Authority/SYSTEMの機能は同等です"、

それら(NT Authority/SYSTEMおよびSYSTEM)はLocalSystemとどのように関連していますか?あなたはLocalSystemでそれらのうちの1つを誤りませんでしたか?

グレッグ・アスキュー、

「。\ LocalSystemとしてログオンするようにサービスを構成する場合、サービスはプロセスエクスプローラーでNT AUTHORITY\SYSTEMまたはタスクマネージャーでシステムとしてログオンしたように表示されます」

これは少し近いです。 NTFS /共有権限、RunAsリストでLocalSystemを選択できません。しかし、services.mscでは、サービス "SQL Server(MS SQL SERVER)"->ダブルクリックまたはrc->プロパティ--->タブ "Logo on as:"にradiobuttom "Local System account"があります。このサービスはWindowsタスクマネージャにSYSTEMとして表示されます

Greg Askewとsysadmin1138

"NT AUTHORITY"または任意の "xxx \"はどこにも表示されません。すべてのアカウント名は単一ラベルです。 Windowsであることに注意してくださいXPワークグループコンピュータ。ADAM(Active Directory Application Mode)のインスタンスを実行していますが。

"NT AUTHORITY"は、ワークグループにない有名な "セキュリティサブシステム"からのものだと思います(?)コンピューターをドメインに参加させると、 "NT Authority"が表示されますか?

NTFS /共有許可リストには2つの列があります。

  • 単一ラベルのアカウント名を持つ「Name(RDN)」列
  • MyCompName(例:Administrator、Administrators、ASPNET、SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVERなど)または空白(例:ANONYMOUS LOGON、Authenticated Users、CREaTOR GROUP、CREAtOR OWNER、NETWORKINGサービス、システムなど)。

前者にはをコーディングするための同義語もあります "MyCompName\xxxx"または "。\ xxx"(つまり.

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName\SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =。\ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx のコンテキストで回答を同期できますか(マシンSIDとドメインSID)?

----------

Update3:同じワークグループWindows XP Pro SP3特に指定のない場合

こんにちはSysadmin1138

そして、編集履歴を見るには? SIDを逆参照しますか?

突破! caclsは「NT Authority\SYSTEM」を表示します...

サービスの場合はすべて逆ですが、すべてのサービスは[ログオン]タブに表示されます

  • wIndowsTaskManagerでSYSTEMとなるラジオボタン「ローカルシステムアカウント」と
  • 「このアカウント」ラジオボタン-> btn「参照...」では、リストにSYSTEMアカウントが表示されません。

お手数ですが、Windows XPのLocalSystemにはまだアクセスできません! LocalSystemはXPのどこにも表示されません。しかし、すべてのMSドキュメントがLocalSystemにのみ存在するという問題...

ところで、 http://support.Microsoft.com/kb/120929 (「Windowsでのシステムアカウントの使用方法」)は、システムがサービスの内部からコンピュータへのロギング用であり、サプライズであることを示しています-surprise "APPLIES TO"すべてのWindows NT Workstation 3.1からWindows Server 2003までWindowsを除くXP(?!)。

Windows XP Windows行に何らかの異常がありますか?

----------

Update4:同じワークグループWindows XP Pro SP3特に指定のない場合

WindowsでLocalSystemを検出できませんでした(サービスのLogOnのラジオボタンにテキストで記載されている "ローカルシステム"のみ)XPすべてのMSドキュメントは通常、LocalSystemのみに存在し、SYSTEMには存在しません。これにマークを付けましたWindows XPはWindows OS-esに異常/例外であり、GUIのユーザビリティのバグがあるため、他のWindowsでシナリオがどのように表示されたかを推測する必要がある回答のここ)

正しくない場合は、自由に別の見解を証明/共有してください


Update5:同じワークグループWindows XP特に指定されていない場合はPro SP3

ヴァンセレモス!

Windows XPで「ローカルシステム」を見つけました。 services.mscの「ログオン」列に表示されます!

[明確にするために要約して、大きな答えを一掃しました。ひどい話については編集履歴を参照してください。]

ローカルシステムには、既知のSIDが1つあります。そのKB記事からわかるように、S-1-5-18です。このSIDは、逆参照を要求されると複数の名前を返します。 'cacls'コマンドラインコマンド(XP)は、これを "NT Authority\SYSTEM"と表示します。 'icacls'コマンドラインコマンド(Vista/Win7)でも、これは "NT Authority\SYSTEM"と表示されます。 WindowsエクスプローラーのGUIツールでは、これは "SYSTEM"と表示されます。サービスを実行するように設定している場合、これは「Local System」と表示されます。

3つの名前、1つのSID。

ワークグループでは、SIDはローカルワークステーションでのみ意味を持ちます。別のワークステーションにアクセスする場合、SIDは名前だけでは転送されません。 「ローカルシステム」できません他のシステムにアクセスします。

ドメインでは、相対IDは、その1台のマシンにローカルではないリソースへのマシンアカウントアクセスを許可するものです。これはActive Directoryに保存されているIDであり、ドメインに接続されたすべてのマシンでセキュリティ原則として使用されます。このIDはS-1-5-18ではありません。 S-1-5-21 [domainSID]-[random]の形式です。

サービスを「ローカルサービス」として設定すると、サービスはローカルにログオンするように指示されますワークステーションにとしてS-1-5-18。 しないには、あらゆる種類のドメイン資格情報があります。

サービスを「ネットワークサービス」または「NT Authority\NetworkService」として構成すると、サービスにログオンするように指示しますドメインにそのマシンのドメインアカウントとして、ドメインリソースにアクセスできます。 Windows XP Service Configuratorには、ログインタイプとして「ネットワークサービス」を選択する機能がありません。SQLセットアッププログラムは、この機能を備えている場合があります。

「ネットワークサービス」は、「ローカルシステム」が実行できるすべてのことを実行できるだけでなく、ドメインリソースにアクセスできます。

「ネットワークサービス」は、ワークグループのコンテキストでは意味がありません。

要するに:

NT Authority\System = Local System = SYSTEM = S-1-5-18

そのマシン上にないリソースにアクセスするためのサービスが必要な場合は、次のいずれかを行う必要があります。

  • 専用ログインユーザーを使用してサービスとして構成する
  • 「ネットワークサービス」を使用してサービスとして構成し、ドメインに属している
27
sysadmin1138

「ほとんどのサービスはローカルシステムアカウントのセキュリティコンテキストで実行されます(システムとして表示されることもあれば、ローカルシステムとして表示されることもあります。」

"...ローカルシステムアカウントは、セッションマネージャ(smss.exe)、Windowsサブシステムプロセス(csrss.exe)、ローカルセキュリティ機関プロセス( lsass.exe)、およびログオンプロセス(winlogon.exe)。」

「...セキュリティの観点から見ると、ローカルシステムアカウントは非常に強力です。どのドメインやローカルアカウントよりも強力です。」

-Windows Internals、5th Edition(ページ288-289)。

。\ LocalSystemとしてログオンするようにサービスを構成した場合、サービスはプロセスエクスプローラーではNT AUTHORITY\SYSTEMとして、タスクマネージャーではシステムとしてログオンしたように表示されます。

Windows 7では、「ローカルシステム」アカウントでログオンするように設定されたサービスのタスクマネージャーの[プロセス]タブにユーザー名「SYSTEM」があります。

3
Greg Askew