Sistema Local do Windows x Sistema

23

/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accou informa:

Sistema local: conta totalmente confiável, mais do que a conta de administrador. Não há nada em uma única caixa que esta conta não possa fazer e ela tem o direito de acessar a rede como a máquina (isso requer o Active Directory e a concessão de permissões à conta da máquina para algo) "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Preparando para instalar o SQL Server 2000 (64 bits) - Criando contas de serviço do Windows) informa:

"A conta do sistema local não exige uma senha, não possui direitos de acesso à rede e restringe a instalação do SQL Server de interagir com outros servidores. "

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (conta do sistema local, data de compilação: 5/5/2010) informa:

"A conta LocalSystem é uma conta local predefinida usada pelo gerenciador de controle de serviço. Esta conta não é reconhecida pelo subsistema de segurança ; portanto, você não pode especificar seu nome em uma chamada para a função LookupAccountName. Possui privilégios extensos no computador local e atua como o computador na rede, seu token inclui os SIDs NT AUTHORITY \ SYSTEM e BUILTIN \ Administrators ; essas contas têm acesso à maioria dos objetos do sistema. O nome da conta em todas as localidades é. \ LocalSystem . O nome LocalSystem ou ComputerName \ LocalSystem também pode ser usado. Esta conta não possui uma senha. Se você especificar o LocalSystem Em uma chamada para a função CreateService, todas as informações de senha que você fornecer serão ignoradas "

http://technet.microsoft.com/en-us/library/ms143504.aspx (Configurando contas de serviço do Windows) informa:

O sistema local é uma conta interna com privilégios muito altos. Possui amplos privilégios no sistema local e atua como o computador na rede. > O nome real da conta é "NT AUTHORITY \ SYSTEM".

Identificadores de segurança conhecidos nos sistemas operacionais Windows ( http://support.microsoft.com/kb/243330 ) não possuem nenhum SISTEMA (mas apenas " SISTEMA LOCAL ")


Meu Windows XP Pro SP3 (com a instalação do MS SQL Server , desenvolvendo máquinas no grupo de trabalho ) tem SYSTEM, mas não o LocalSystem ou " Local System ".

QUESTÕES:

Alguém pode limpar essa bagunça?

É possível gravar horas e horas, dia após dia, lendo documentos do MS apenas para coletar cada vez mais contradições e mal-entendidos ...

1) O LocalSystem tem direitos para acessar a rede ou não? Qual é o mecanismo?

2) O SYSTEM e o LocalSystem (e o "Local System") são sinônimos?

Por que eles foram introduzidos?

Quais são as diferenças entre SYSTEM e Local System

----------

Update1:

Olá, sysamin1138!

Suas respostas adicionam ainda mais confusão se comparadas à realidade observada, por exemplo, ao fato de o Fresh XP instalado ou grupo de trabalho do Windows XP Pro SP3 ter apenas SYSTEM (mas não o LocalSystem).

Sysadmin138 escreveu:

  • "Diferentes princípios de segurança para problemas semelhantes, que permitem um pouco de granularidade no seu design de segurança. Um é apenas local, o outro tem visibilidade do domínio".

Essa frase significa que o LocalSystem é adicionado ao ingressar o computador no domínio?

Deveria ser entendido que SYSTEM é para acesso "local" / interno e de grupo de trabalho (identificação de computador) e LocalSystem para identificação de computador no domínio?

----------

Update2: mesmo grupo de trabalho do Windows XP Pro SP3, se não especificado de outra forma

Olá, Sysadmin1138 , Na sua edição

"É apenas nesse caso que SYSTEM e NT Authority / SYSTEM têm capacidade equivalente",

como eles (NT Authority / SYSTEM and SYSTEM) estão relacionados ao LocalSystem? Você não errou um deles com o LocalSystem?

Greg Askew,

"Observe que, se você configurar um serviço para efetuar logon como. \ LocalSystem, ele ainda aparecerá como logon como NT AUTHORITY \ SYSTEM no Process Explorer ou System no Task Manager"

Este é um pouco mais perto. Não consigo escolher o LocalSystem nas premissas NTFS / compartilhamento, na lista RunAs. Mas em services.msc o serviço "SQL Server (MS SQL SERVER)" -> clique duas vezes ou rc -> Propriedades ---> guia "Logo on as:" tem radiobuttom "Local System account". Este serviço aparece no Gerenciador de tarefas do Windows como SYSTEM

Greg Askew e sysadmin1138 ,

"NT AUTHORITY" ou qualquer "xxx \" não aparece em nenhum lugar. Todos os nomes de conta são de rótulo único. Observe que é o computador do grupo de trabalho Windows XP. Embora eu execute uma instância do ADAM (Modo de Aplicativo do Active Directory).

Eu acho que "NT AUTHORITY" é do famoso "subsistema de segurança" que está ausente no grupo de trabalho (?) "NT Authority" apareceria se eu associar o computador a um domínio?

A lista de permissões NTFS / compartilhamento possui 2 colunas:

  • Colum "Name (RDN)" com nomes de conta de rótulo único
  • Coluna "Na pasta" com MyCompName (por exemplo, para Administrador, Administradores, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER etc.) ou em branco (por exemplo, para LOGON ANÔNIMO, Usuários autenticados, GRUPO DE CRIAÇÃO, PROPRIETÁRIO CREATOR, SERVIÇOS DE REDE, SISTEMA , etc.).

Os primeiros também têm sinônimos para codificação como "MyCompName \ xxxx" ou ". \ Xxx" (ou seja,

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

Você pode sincronizar suas respostas no contexto de http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (SIDs de máquinas e SIDs de domínio)?

----------

Update3: mesmo grupo de trabalho do Windows XP Pro SP3, se não especificado de outra forma

Olá, Sysadmin1138 ,

E como ver o histórico de edições? e desreferência SID?

Avanço! cacls mostra "NT Authority \ SYSTEM" ...

Embora para serviços seja tudo vice-versa: todos os serviços são exibidos na guia "Logon"

  • o botão de opção "Conta do sistema local", que resulta em SYSTEM no WIndowsTaskManager e
  • o botão de opção "Esta conta" -> btn "Procurar ..." que não mostra a conta SYSTEM na lista

Desculpe pelo seu tempo, mas ainda não consegui acessar nenhum Sistema Local no Windows XP! O LocalSystem não aparece em nenhum lugar no XP! mas o problema de todos os documentos da Microsoft residirem apenas no LocalSystem ...

BTW, http://support.microsoft.com/kb/120929 ("Como a conta do sistema é usada no Windows") informa que o SYSTEM é para registro de serviços interno ao computador e surpreende e surpreende "APPLIES TO" all Windows from NT Workstation 3.1 para Windows Server 2003, exceto Windows XP (?!).

O Windows XP apresenta alguma anomalia na linha do Windows?

----------

Update4: mesmo grupo de trabalho do Windows XP Pro SP3, se não especificado de outra forma

Não consegui detectar nenhum sistema local (apenas "sistema local" mencionado no texto como botão de opção de serviços LogOn) no Windows XP, embora todos os documentos da Microsoft usem apenas o sistema local, mas não o sistema. Marquei esta pergunta como respondida, tendo entendido que o Windows XP é uma anomalia / exceção nos sistemas operacionais Windows com algum bug de usabilidade da GUI e devo adivinhar como um cenário teria aparecido em outro Windows (com a ajuda das respostas aqui) )

Se não estiver correto, fique à vontade para provar / compartilhar outro ponto de vista


Update5: mesmo grupo de trabalho do Windows XP Pro SP3, se não especificado de outra forma

Venceremos!

Encontrei "Sistema Local" no Windows XP! É mostrado na coluna "Logon como" em services.msc!

Gennady Vanin Геннадий Ванин
fonte
1
Eu já disse isso várias vezes. "LocalSystem" é exatamente a mesma coisa que "NT Authority \ System". Eles são sinônimos. "Sistema" é uma entidade separada que compartilha algumas características (geradoras de confusão).
sysadmin1138
Não tenho "NT Authority \ System" no grupo de trabalho Windows XP Pro SP3. Eu tenho apenas "MyCompName \ SYSTEM"
Gennady Vanin Геннадий Ванин
Desculpe, meu SYSTEM não é uma conta de computador (não "MyCompName \ SYSTEM"), que acredito que se tornará "NT Authority \ SYSTEM" ao ingressar o Windows no domínio. É sinônimo de LocalSystem antes de ingressar? E este SISTEMA será "NT Authority \ SYSTEM" depois de ingressar?
Gennady Vanin Геннадий Ванин
3
Agora, esta pergunta é ilegível - você pode encurtar e esclarecer? Ajudaria futuros leitores se a pergunta fosse curta e simples ^^ +1
Oskar Duveborn

Respostas:

26

[limpou grande resposta, resumindo para maior clareza. Veja o histórico de edições para o sórdido conto.]

Existe um único SID conhecido para o sistema local. É S-1-5-18, como você encontrou nesse artigo da KB. Esse SID retorna vários nomes quando solicitado a ser desreferenciado. O comando da linha de comando 'cacls' (XP) mostra isso como " NT Authority\SYSTEM". O comando da linha de comando 'icacls' (Vista / Win7) também mostra isso como " NT Authority\SYSTEM". As ferramentas da GUI no Windows Explorer mostram isso como " SYSTEM". Quando você está configurando um Serviço para ser executado, isso é mostrado como " Local System".

Três nomes, um SID.

Nos grupos de trabalho, o SID tem apenas um significado na estação de trabalho local. Ao acessar outra estação de trabalho, o SID não é transferido apenas o nome. O 'Sistema Local' não pode acessar outros sistemas.

Nos domínios, o ID relativo é o que permite à conta da máquina acessar recursos não locais nessa máquina. Esse é o ID armazenado no Active Directory e é usado como princípio de segurança por todas as máquinas conectadas ao domínio. Este ID não é S-1-5-18. Está na forma de S-1-5-21 [domainSID] - [aleatório].

A configuração de um serviço como "Serviço local" informa ao serviço para fazer logon local na estação de trabalho como S-1-5-18. Não terá credenciais de domínio de nenhum tipo.

A configuração de um serviço como "Serviço de Rede" ou "NT Authority \ NetworkService" informa ao serviço para fazer logon no domínio como a conta de domínio dessa máquina e terá acesso aos recursos do Domínio. O Windows XP Service Configurator não pode selecionar "Serviço de Rede" como um tipo de logon. O programa de instalação do SQL pode.

O "Serviço de Rede" pode fazer tudo o que o "Sistema Local" pode, além de acessar os recursos do Domínio.

"Serviço de rede" não tem significado no contexto de um grupo de trabalho.

Em resumo:

NT Authority\System= Local System= SYSTEM=S-1-5-18

Se você precisar do seu serviço para acessar recursos não localizados nessa máquina, precisará:

  • Configure-o como um Serviço usando um usuário de login dedicado
  • Configure-o como um Serviço usando "Serviço de Rede" e pertença a um domínio
sysadmin1138
fonte
1
Na verdade, o Serviço de Rede é uma conta de baixo privilégio. Não possui os mesmos privilégios que o sistema local. Além disso, em um domínio, o Sistema Local tem o mesmo acesso aos recursos do domínio que o Serviço de Rede, ou seja, pode efetuar login usando a conta do computador.
Harry Johnston
Como é que a variável ambiental% USERNAME% desse usuário é o nome do computador seguido de um cifrão "$"?
rory.ap
@ rory.ap Por convenção antiga que remonta ao Windows NT, se não antes, as contas ocultas (e os compartilhamentos de arquivos) têm um sufixo de cifrão. E por oculto, quero dizer, não aparece em algumas ferramentas de exibição.
sysadmin1138
3

"A maioria dos serviços é executada no contexto de segurança da conta do sistema local (exibida algumas vezes como SYSTEM e outras vezes como LocalSystem)."

"... A conta do sistema local é a mesma conta na qual os principais componentes do sistema operacional no modo Windows são executados, incluindo o Session Manager (smss.exe), o processo do subsistema Windows (csrss.exe), o processo da Local Security Authority ( lsass.exe) e o processo de logon (winlogon.exe). "

"... Da perspectiva da segurança, a conta do sistema local é extremamente poderosa - mais poderosa do que qualquer domínio ou conta local".

- Windows Internals, 5ª edição (página 288 - 289).

Observe que, se você configurar um serviço para fazer logon como. \ LocalSystem, ele ainda aparecerá como logon como NT AUTHORITY \ SYSTEM no Process Explorer ou System no Task Manager.

No Windows 7, um serviço definido como Logon como: conta "Sistema local" tem o nome de usuário "SISTEMA" na guia Processos do Gerenciador de tarefas.

Greg Askew
fonte