Como conceder acesso de rede à conta LocalSystem?

65

Como você concede acesso aos recursos de rede à conta LocalSystem(NT AUTHORITY \ SYSTEM)?

fundo

Ao acessar a rede, a conta LocalSystem atua como o computador na rede :

Conta LocalSystem

A conta LocalSystem é uma conta local predefinida usada pelo gerente de controle de serviço.

... e atua como o computador na rede.

Ou para dizer a mesma coisa novamente: A conta LocalSystem atua como o computador na rede :

Quando um serviço é executado na conta LocalSystem em um computador que é membro do domínio, o serviço tem qualquer acesso de rede concedido à conta do computador ou a qualquer grupo do qual a conta do computador seja membro.

Como se concede acesso a um " computador " a uma pasta e arquivos compartilhados?

Nota :

As contas de computador geralmente têm poucos privilégios e não pertencem a grupos.

Então, como eu concederia ao computador acesso a um dos meus compartilhamentos; considerando que " Todo mundo " já tem acesso?

Nota : grupo de trabalho

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |
windows security authentication local-system Ian Boyd
fonte
Essa pergunta está um pouco relacionada à pergunta anterior relacionada à habilitação de acesso anônimo a um compartilhamento - pelo menos parece que pode ser resolvida com um compartilhamento acessível anonimamente.
CodeFox 26/08/15

Respostas:

59

Em um ambiente de domínio, você pode conceder direitos de acesso a contas de computador; isso se aplica aos processos em execução nesses computadores como LocalSystemou NetworkService(mas não LocalService, que apresentam credenciais anônimas na rede) quando eles se conectam a sistemas remotos.

Portanto, se você tiver um computador chamado MANGO, terá uma conta de computador do Active Directory chamada MANGO$, à qual poderá conceder permissões.

insira a descrição da imagem aqui

Nota : Você não pode fazer nada disso em um ambiente de grupo de trabalho; isso se aplica apenas a domínios.

Massimo
fonte
6
+1 e aceito. Mas: LocalService pode acessar a rede, apenas "apresenta credenciais anônimas na rede" ( msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx )
Ian Boyd
Apenas para mencionar, tendo gasto uma quantidade não considerável de tempo tentando fazer com que isso funcionasse em vários domínios, acho que não é possível. por exemplo, \\ DOMAIN2 \ MANGO $ não parece conceder acesso.
BennyB
Isso funciona apenas se os domínios estiverem em um relacionamento de confiança; caso contrário, você está correto, não funciona.
Massimo
Eu pensei que os grupos do dia a dia incluem usuários autenticados, bem como a conta local_service e local_system?
Kakacii
Observe que LocalSystemtambém pode acessar qualquer coisa que qualquer outro processo possa. Assim, ele pode roubar credenciais de usuários conectados.
Demi
4

Você não Se você precisar de um serviço para conectar-se a arquivos remotos ou outros serviços de rede, deseja que o serviço seja executado como uma conta nomeada e, na máquina remota, atribua direitos a essa conta nomeada.

Seria realmente melhor se você explicasse completamente o que está tentando fazer - assim você obterá as melhores respostas.

mfinni
fonte
6
Totalmente incorreto. Você pode conceder permissões para contas de máquina (e, portanto, para serviços executados como elas) exatamente da mesma maneira que você pode conceder para contas de usuário. É claro que existem cenários em que essa pode não ser a melhor solução, mas é perfeitamente viável.
Massimo
11
A resposta foi exatamente assim: essa é a razão do meu voto negativo; Além disso, o pôster original parece conhecer muito bem a diferença entre uma conta de usuário e uma de computador, portanto, responder sua pergunta com "não faça isso" simplesmente não me pareceu certo.
Massimo
11
Além disso, existem cenários muito legítimos em que a concessão de permissões para contas de máquinas seria necessária. Pense nos scripts de inicialização do computador, na implantação do software GPO ou nos serviços que apenas desejam executar como LocalSystem e você não pode fazer nada sobre isso. Não estou dizendo que essa é uma prática recomendada ou "a" solução certa, é claro; mas se alguém perguntar "como fazer isso?" Eu acho que "não faça" definitivamente não é uma resposta correta.
Massimo
11
Em um ambiente de grupo de trabalho, você não pode atribuir direitos no MachineB a uma conta de usuário definida no MachineA ... além disso, ele foi perguntado especificamente sobre como atribuir direitos a uma conta de maschine , por isso respondi; e eu também disse que isso não era possível sem um domínio.
Massimo
2
Ian - se é isso que você procura, geralmente é uma idéia melhor usar o SQL Server Agent e sua conta ou usar o Integration Services. Você pode obter mais detalhes ao fazer uma pergunta detalhada e ainda pode ser muito aplicável às situações de outros leitores.
precisa saber é o seguinte
-1

É simples:

Coloque a conta AD do equipamento no grupo de administradores local e, em seguida, este equipamento (ou sua conta de administrador local) poderá acessar totalmente o destino pela rede. Testado hoje, funciona bem.

Frank Wolf
fonte
2
Embora isso seja funcional, NÃO é recomendado ou é uma prática recomendada. A Local Systemconta é chamada local por um motivo. Se você deseja que algo tenha acesso à rede, o serviço ou outro deve ser alterado para ser executado como outro usuário. Isso seria como conceder a guestconta ao acesso de administrador da máquina. Funcionaria, mas isso anula o propósito para o qual foi construído.
Cory Knutson