root vs administrador x sistema

13

Ao comparar as várias distribuições linux com o software do Windows, qual é a diferença fundamental em termos de níveis de acesso com as contas administrativas ?

Eu sempre pensei que a conta de administrador do Windows era equivalente à conta raiz do Unix . Mas e o SYSTEM ? Não é uma conta de usuário comum, mas, ao fazer vários truques, você pode obter um shell como ele, mas ele realmente tem permissões maiores do que a conta de Administrador?

Brian
fonte

Respostas:

12

A principal diferença entre o administrador e o sistema é que o administrador é uma conta real (por exemplo, possui uma senha), enquanto o sistema não é. (Falando propriamente, o SYSTEM é um "principal de segurança".)

Uma diferença prática é que, se o computador estiver associado a um domínio, os processos em execução como SYSTEM poderão acessar os servidores de domínio no contexto da conta de domínio do computador. Os processos em execução como administrador não têm acesso aos computadores do domínio, a menos que a senha coincida ou se credenciais alternativas sejam fornecidas explicitamente.

É possível que um arquivo, diretório, chave do Registro ou outro objeto protegível conceda acesso apenas ao SYSTEM e não ao Administrator. No entanto, não conheço nenhum exemplo de instalação padrão do Windows. Editar: esqueci a chave SAM, contendo as informações da conta local. Isso tem controle total concedido apenas ao SYSTEM, com o grupo Administradores sem acesso de leitura nem gravação. Kreemoweet também apontou que o Vista tem vários outros exemplos.

Obviamente, o administrador pode substituir as permissões de qualquer maneira.

Existem um ou dois casos especiais ímpares. Por exemplo, a função WTSQueryUserToken permite que um programa obtenha um token de acesso que pode ser usado para iniciar um novo processo no contexto de um usuário conectado especificado. Esta função pode ser usada apenas por processos em execução como SYSTEM, não por processos em execução como Administrador.

Harry Johnston
fonte
1
No Vista, as ACLs padrão em inúmeras chaves e arquivos de registro reservam controle total ao System ou TrustedInstaller. As pastas \ winsxs \ e system32 \ drivers \ são duas. As propriedades de segurança de muitas chaves do Registro nem podem ser exibidas pelos Administradores.
Kreemoweet
@kreemoweet: Interessante. Eu não tive muito a ver com o Vista. No Windows 7, as permissões nas pastas winsxs e drivers são iguais para administradores e para sistema. (A coisa realmente estranha, é claro, é que as permissões são explicitamente concedida para sistema em tudo, que é redundante, uma vez que o token SYSTEM sempre inclui o grupo de administradores.)
Harry Johnston
4

A raiz no Linux é equivalente ao administrador e sistema do Windows.

Veja bem, você pode legitimamente fazer login no Linux como root em muitas distribuições. Você realmente não pode fazer isso com o Windows usando a conta do sistema. O Root também executa todos os serviços no computador, como o sistema faz para o Windows. Você faz logon no Windows como administrador, mas os serviços não são executados sob ele, a menos que seja especificamente solicitado.

Kevin Shoaf
fonte
+1. As duas contas nas janelas são como dois lados da mesma moeda.
Xyon 11/11