So gewähren Sie dem LocalSystem-Konto Netzwerkzugriff

65

Wie gewähren Sie dem LocalSystemKonto (NT AUTHORITY \ SYSTEM) Zugriff auf Netzwerkressourcen ?


Hintergrund

Beim Zugriff auf das Netzwerk fungiert das LocalSystem-Konto als Computer im Netzwerk :

LocalSystem-Konto

Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird.

... und fungiert als Computer im Netzwerk.

Oder um es noch einmal zu sagen: Das LocalSystem-Konto fungiert als Computer im Netzwerk :

Wenn ein Dienst unter dem LocalSystem-Konto auf einem Computer ausgeführt wird, der Mitglied einer Domäne ist, verfügt der Dienst über den Netzwerkzugriff, der dem Computerkonto oder allen Gruppen gewährt wird, deren Mitglied das Computerkonto ist.

Wie gewährt man einem " Computer " Zugriff auf einen freigegebenen Ordner und Dateien?


Hinweis :

Computerkonten haben normalerweise nur wenige Berechtigungen und gehören nicht zu Gruppen.

Wie kann ich einem Computer Zugriff auf eine meiner Freigaben gewähren? Denken Sie daran, dass " Jeder " bereits Zugriff hat?

Hinweis : Arbeitsgruppe

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |
Ian Boyd
quelle
Diese Frage steht in geringem Zusammenhang mit der früheren Frage zum Aktivieren des anonymen Zugriffs auf eine Freigabe - zumindest scheint sie mit einer anonym zugänglichen Freigabe zu lösen zu sein.
CodeFox

Antworten:

59

In einer Domänenumgebung können Sie Computerkonten Zugriffsrechte erteilen. Dies gilt für Prozesse, die auf diesen Computern als LocalSystemoder NetworkService(jedoch nicht als LocalServiceanonyme Anmeldeinformationen im Netzwerk) ausgeführt werden, wenn eine Verbindung zu Remotesystemen hergestellt wird.

Wenn Sie also einen Computer mit dem Namen haben MANGO, haben Sie ein Active Directory-Computerkonto mit dem Namen MANGO$, dem Sie Berechtigungen erteilen können.

Bildbeschreibung hier eingeben

Hinweis : In einer Arbeitsgruppenumgebung ist dies nicht möglich. Dies gilt nur für Domains.

Massimo
quelle
6
+1 und akzeptiert. Aber: LocalService kann auf das Netzwerk zugreifen, es werden nur "anonyme Anmeldeinformationen im Netzwerk angezeigt " ( msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx )
Ian Boyd
Nur um zu erwähnen, dass ich nicht genug Zeit darauf verwendet habe, dies für mehrere Domains zum Laufen zu bringen, denke ich nicht, dass es möglich ist. dh \\ DOMAIN2 \ MANGO $ scheint keinen Zugriff zu gewähren.
BennyB
Dies funktioniert nur, wenn sich die Domänen in einer Vertrauensstellung befinden. ansonsten hast du recht, es funktioniert nicht.
Massimo
Ich dachte, tägliche Gruppen umfassen authentifizierte Benutzer sowie local_service und local_system account?
Kakacii
Beachten Sie, dass LocalSystemauch auf alle anderen Prozesse zugegriffen werden kann. Es kann somit Anmeldeinformationen angemeldeter Benutzer stehlen.
Demi
4

Das tust du nicht. Wenn Sie einen Dienst zum Herstellen einer Verbindung zu Remotedateien oder anderen Netzwerkdiensten benötigen, möchten Sie, dass der Dienst als benanntes Konto ausgeführt wird, und weisen Sie diesem benannten Konto auf dem Remotecomputer Rechte zu.

Es ist am besten, wenn Sie vollständig erklären, was Sie tun möchten - auf diese Weise erhalten Sie die besten Antworten.

mfinni
quelle
6
Völlig falsch. Sie können Berechtigungen für Computerkonten (und damit für Dienste, die als solche ausgeführt werden) genau so erteilen, wie Sie sie für Benutzerkonten erteilen können. Es gibt natürlich Szenarien, in denen dies möglicherweise nicht die beste Lösung ist, aber es ist durchaus machbar.
Massimo
1
Die Antwort sah genau so aus, das ist der Grund für meine Ablehnung; Außerdem scheint das Original-Poster den Unterschied zwischen einem Benutzerkonto und einem Computerkonto recht gut zu kennen, weshalb mir die Beantwortung seiner Frage mit "Mach das nicht" einfach nicht richtig erschien.
Massimo
1
Außerdem gibt es sehr legitime Szenarien, in denen Berechtigungen für Computerkonten erforderlich wären. Denken Sie nur an Computer-Startskripts oder die Bereitstellung von GPO-Software oder an Dienste, die nur als LocalSystem ausgeführt werden sollen, und Sie können nichts dagegen tun. Ich sage natürlich nicht, dass dies eine bewährte Methode oder die "richtige" Lösung ist. aber wenn jemand fragt "wie geht das?" Ich denke "Tu es nicht" ist definitiv keine richtige Antwort.
Massimo
1
In einer Arbeitsgruppenumgebung können Sie einem in MachineA definierten Benutzerkonto keine Rechte für MachineB zuweisen. Außerdem wurde er speziell gefragt, wie einem Computerkonto Rechte zugewiesen werden sollen. Darauf habe ich geantwortet. und ich sagte auch, dass dies ohne domain nicht möglich sei.
Massimo
2
Ian - wenn Sie danach suchen, ist es normalerweise besser, den SQL Server-Agenten und sein Konto zu verwenden oder Integration Services zu verwenden. Wenn Sie eine detaillierte Frage stellen, erhalten Sie mehr Details, und diese kann auch für die Situation anderer Leser sehr hilfreich sein.
Mfinni
-1

Es ist einfach:

Fügen Sie das AD-Konto des Computers der lokalen Administratorgruppe hinzu, und dieser Computer (oder sein lokales Administratorkonto) kann über das Netzwerk uneingeschränkt auf das Ziel zugreifen. Heute getestet, funktioniert gut.

Frank Wolf
quelle
2
Dies ist zwar funktionsfähig, wird jedoch NICHT empfohlen oder empfohlen. Das Local SystemKonto wird aus einem bestimmten Grund als lokal bezeichnet. Wenn Sie möchten, dass etwas über Netzwerkzugriff verfügt, muss der Dienst oder eine andere Funktion so geändert werden, dass er als anderer Benutzer ausgeführt wird. Dies entspricht dem Gewähren des guestKontos für einen Computeradministratorzugriff. Es würde funktionieren, aber das vereitelt den Zweck dessen, wofür es gebaut wurde.
Cory Knutson