Système local Windows vs système

/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accou raconte:

Système local: compte entièrement fiable, plus que le compte administrateur. Il n'y a rien sur une seule boîte que ce compte ne peut pas faire et il a le droit d'accéder au réseau en tant que machine (cela nécessite Active Directory et l'octroi des autorisations de compte de machine à quelque chose) "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Préparation de l'installation de SQL Server 2000 (64 bits) - Création de comptes de service Windows) indique:

«Le compte système local ne nécessite pas de mot de passe, n'a pas de droits d'accès au réseau et empêche votre installation SQL Server d'interagir avec d'autres serveurs. »

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (compte LocalSystem, date de construction: 8/5/2010) indique:

"Le compte LocalSystem est un compte local prédéfini utilisé par le gestionnaire de contrôle des services. Ce compte n'est pas reconnu par le sous - système de sécurité , vous ne pouvez donc pas spécifier son nom dans un appel à la fonction LookupAccountName. Il dispose de privilèges étendus sur l'ordinateur local, et agit comme l'ordinateur sur le réseau. Son jeton comprend les SID NT AUTHORITY \ SYSTEM et BUILTIN \ Administrators ; ces comptes ont accès à la plupart des objets système. Le nom du compte dans tous les paramètres régionaux est. \ LocalSystem . Le nom, LocalSystem ou ComputerName \ LocalSystem peut également être utilisé. Ce compte n'a pas de mot de passe. Si vous spécifiez LocalSystem dans un appel à la fonction CreateService, toutes les informations de mot de passe que vous fournissez sont ignorées "

http://technet.microsoft.com/en-us/library/ms143504.aspx (Configuration des comptes de service Windows) indique:

Le système local est un compte intégré très privilégié. Il dispose de privilèges étendus sur le système local et agit comme ordinateur sur le réseau. > Le nom réel du compte est "NT AUTHORITY \ SYSTEM".

Les identificateurs de sécurité bien connus dans les systèmes d'exploitation Windows ( http://support.microsoft.com/kb/243330 ) n'ont aucun SYSTÈME (mais uniquement " SYSTÈME LOCAL ")

Mon Windows XP Pro SP3 (avec la configuration de MS SQL Server , développant la machine dans un groupe de travail ) a SYSTÈME mais pas LocalSystem ou " Local System ".

DES QUESTIONS:

Quelqu'un peut-il éliminer ce gâchis?

Il est possible de graver des heures après les heures, jour après jour, en lisant des documents MS juste pour recueillir de plus en plus de contradictions et de malentendus ...

1) Le LocalSystem dispose-t-il ou non d'un accès au réseau? Quel est le mécanisme?

2) Le SYSTÈME et le LocalSystem (et le "Système local") sont-ils synonymes?

Pourquoi ont-ils été introduits?

Quelles sont les différences entre SYSTEM et Local System

----------

Update1:

Salut, sysamin1138!

Vos réponses ajoutent encore plus de confusion si pour les comparer à la réalité observée, par exemple, au fait que Fresh installé ou groupe de travail Windows XP Pro SP3 n'a que SYSTEM (mais pas LocalSystem).

Sysadmin138 a écrit:

• "Différents principes de sécurité pour des problèmes similaires, qui permettent un peu de granularité dans votre conception de sécurité. L'un est uniquement local, l'autre a une visibilité sur le domaine."

Cette phrase signifie-t-elle que LocalSystem est ajouté lors de la connexion de l'ordinateur au domaine?

Faut-il comprendre que SYSTEM est destiné à un accès "local" / interne et de groupe de travail (identification de l'ordinateur) et LocalSystem pour l'identification de l'ordinateur dans le domaine?

----------

Update2: même groupe de travail Windows XP Pro SP3 sauf indication contraire

Salut, Sysadmin1138 , Dans votre édition

"C'est juste que dans ce cas, SYSTEM et NT Authority / SYSTEM sont de capacité équivalente",

comment sont-ils (Autorité NT / SYSTÈME et SYSTÈME) liés à LocalSystem? N'avez-vous pas trompé l'un d'eux avec LocalSystem?

Greg Askew,

"Notez que si vous configurez un service pour ouvrir une session en tant que. \ LocalSystem, il apparaîtra toujours comme connecté en tant que NT AUTHORITY \ SYSTEM dans Process Explorer ou Système dans le Gestionnaire des tâches"

C'est un peu plus près. Je ne peux pas choisir LocalSystem dans NTFS / share premissions, liste RunAs. Mais dans services.msc, le service "SQL Server (MS SQL SERVER)" -> double-cliquez ou rc -> Propriétés ---> l'onglet "Logo on as:" a radiobuttom "Local System account". Ce service apparaît ensuite dans le Gestionnaire des tâches de Windows en tant que SYSTÈME

Greg Askew et sysadmin1138 ,

"NT AUTHORITY" ou tout "xxx \" n'apparaît nulle part. Tous les noms de compte sont à étiquette unique. Notez qu'il s'agit d'un ordinateur de groupe de travail Windows XP. Bien que j'exécute une instance d'ADAM (Active Directory Application Mode).

Je suppose que "NT AUTHORITY" vient de ce fameux "sous-système de sécurité" qui est absent dans le groupe de travail (?) "NT Authority" apparaîtrait-il si je joignais l'ordinateur à un domaine?

La liste d'autorisations NTFS / partage comprend 2 colonnes:

• Colonne "Nom (RDN)" ayant des noms de compte en une seule partie
• Colonne "Dans le dossier" ayant soit MyCompName (par exemple, pour Administrateur, Administrateurs, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER, etc.) ou vide (par exemple, pour ANONYMOUS LOGON, Authenticated Users, CREATOR GROUP, CREAtOR OWNER, NETWORKING SERVICES, SYSTÈME , etc.).

Les premiers ont également des synonymes de codage comme "MyCompName \ xxxx" ou ". \ Xxx" (c'est-à-dire

• SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
• = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
• =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

Pouvez-vous synchroniser vos réponses dans le contexte de http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (SID de machine et SID de domaine)?

----------

Update3: même groupe de travail Windows XP Pro SP3 sauf indication contraire

Salut, Sysadmin1138 ,

Et comment voir l'historique des modifications? et déréférencer SID?

Percée! cacls affiche "NT Authority \ SYSTEM" ...

Bien que pour les services, tout est vice versa: tous les services s'affichent sous l'onglet "Connexion"

• le radiobutton "Local System account" qui se traduit par SYSTEM dans WIndowsTaskManager et
• le radiobutton "Ce compte" -> btn "Parcourir ..." qui n'affiche pas le compte SYSTEM dans la liste

Désolé pour votre temps, mais je n'ai pas encore pu accéder à un système local dans Windows XP! LocalSystem n'apparaît nulle part dans XP! mais le problème que tous les documents MS ne résident que sur LocalSystem ...

BTW, http://support.microsoft.com/kb/120929 ("Comment le compte système est utilisé dans Windows") indique que SYSTEM est destiné à la journalisation des services internes à l'ordinateur, et surprise-surprise "S'APPLIQUE À" tous les Windows à partir de NT Workstation 3.1 vers Windows Server 2003 sauf Windows XP (?!).

Windows XP présente-t-il une anomalie dans la gamme Windows?

----------

Update4: même groupe de travail Windows XP Pro SP3 sauf indication contraire

Je ne pouvais pas détecter de LocalSystem (seulement "système local" mentionné dans le texte au bouton radio des services LogOn) dans Windows XP, bien que tous les documents MS se concentrent généralement sur LocalSystem uniquement mais pas sur SYSTEM. J'ai marqué cette question comme une réponse après avoir compris pour moi que Windows XP est une anomalie / exception dans les systèmes d'exploitation Windows ayant un bug d'utilisation GUI et je devine comment un scénario serait apparu dans d'autres Windows (avec l'aide des réponses ici) )

Si ce n'est pas correct, soyez libre de prouver / partager un autre point de vue

Update5: même groupe de travail Windows XP Pro SP3 sauf indication contraire

Venceremos!

J'ai trouvé "Système local" dans Windows XP! Il est affiché dans la colonne "Se connecter en tant que" dans services.msc!

[essuya la grande réponse, résumant pour plus de clarté. Voir l'historique des modifications pour le récit sordide.]

Il existe un seul SID bien connu pour le système local. Il s'agit du S-1-5-18, comme vous l'avez trouvé dans cet article de la base de connaissances. Ce SID renvoie plusieurs noms lorsqu'il est demandé de déréférencer. La commande de ligne de commande 'cacls' (XP) affiche ceci comme " NT Authority\SYSTEM". La commande en ligne de commande 'icacls' (Vista / Win7) indique également ceci " NT Authority\SYSTEM". Les outils GUI dans l'Explorateur Windows affichent cela comme " SYSTEM". Lorsque vous configurez un service à exécuter, cela est indiqué par " Local System".

Trois noms, un SID.

Dans les groupes de travail, le SID n'a de signification que sur le poste de travail local. Lorsque vous accédez à un autre poste de travail, le SID n'est pas transféré uniquement le nom. Le «système local» ne peut accéder à aucun autre système.

Dans les domaines, l'ID relatif est ce qui permet au compte de la machine d'accéder aux ressources non locales à cette machine. Il s'agit de l'ID stocké dans Active Directory et est utilisé comme principe de sécurité par toutes les machines connectées au domaine. Cet ID n'est pas S-1-5-18. Il se présente sous la forme S-1-5-21 [domainSID] - [random].

La configuration d'un service en tant que «service local» indique au service de se connecter localement au poste de travail en tant que S-1-5-18. Il n'aura aucun identifiant de domaine d'aucune sorte.

La configuration d'un service en tant que «Service réseau» ou «NT Authority \ NetworkService» indique au service de se connecter au domaine en tant que compte de domaine de cette machine et aura accès aux ressources de domaine. Le configurateur de services Windows XP n'a pas la possibilité de sélectionner "Service réseau" comme type de connexion. Le programme d'installation de SQL pourrait.

Le «service réseau» peut faire tout ce que le «système local» peut faire, ainsi qu'accéder aux ressources du domaine.

"Service réseau" n'a aucune signification dans un contexte de groupe de travail.

En bref:

NT Authority\System= Local System= SYSTEM=S-1-5-18

Si vous avez besoin de votre service pour accéder à des ressources ne se trouvant pas sur cette machine, vous devez soit:

• Configurez-le en tant que service à l'aide d'un utilisateur de connexion dédié
• Configurez-le en tant que service en utilisant "Service réseau" et appartenez à un domaine

"La plupart des services s'exécutent dans le contexte de sécurité du compte système local (affiché parfois en tant que SYSTEM et parfois en tant que LocalSystem)."

"... Le compte système local est le même compte dans lequel s'exécutent les principaux composants du système d'exploitation en mode utilisateur Windows, y compris le gestionnaire de session (smss.exe), le processus du sous-système Windows (csrss.exe), le processus de l'autorité de sécurité locale ( lsass.exe) et le processus d'ouverture de session (winlogon.exe). "

"... Du point de vue de la sécurité, le compte système local est extrêmement puissant - plus puissant que n'importe quel domaine ou compte local."

- Windows Internals, 5e édition (page 288-289).

Notez que si vous configurez un service pour ouvrir une session en tant que. \ LocalSystem, il apparaîtra toujours comme connecté en tant que NT AUTHORITY \ SYSTEM dans l'Explorateur de processus ou Système dans le Gestionnaire des tâches.

Sous Windows 7, un service défini sur Se connecter en tant que: le compte "Système local" a le nom d'utilisateur "SYSTEM" dans l'onglet Processus du Gestionnaire des tâches.