Windows LocalSystem vs. System

23

/programming/510170/der-unterschied-zwischen-dem-lokalen-Systemkonto-und-dem-Netzwerkservice-Konto lautet:

Lokales System: Vollständig vertrauenswürdiges Konto, mehr als das Administratorkonto. Es gibt nichts auf einer einzelnen Box, was dieses Konto nicht kann, und es hat das Recht, auf das Netzwerk als Computer zuzugreifen (dies erfordert Active Directory und das Erteilen der Berechtigungen des Computerkontos für etwas). "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Vorbereiten der Installation von SQL Server 2000 (64 Bit) - Erstellen von Windows-Dienstkonten):

"Das lokale Systemkonto erfordert kein Kennwort, hat keine Netzwerkzugriffsrechte und hindert Ihre SQL Server-Installation daran, mit anderen Servern zu interagieren. "

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (LocalSystem Account, Erstellungsdatum: 05.08.2010)

"Das LocalSystem- Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Dieses Konto wird vom Sicherheitssubsystem nicht erkannt. Sie können den Namen daher nicht in einem Aufruf der LookupAccountName-Funktion angeben. Es verfügt über umfangreiche Berechtigungen auf dem lokalen Computer und Stellt den Computer im Netzwerk dar. Sein Token enthält die SIDs NT AUTHORITY \ SYSTEM und BUILTIN \ Administrators . Diese Konten haben Zugriff auf die meisten Systemobjekte . Der Name des Kontos in allen Ländereinstellungen lautet. \ LocalSystem . Der Name, LocalSystem oder Computername \ LocalSystem kann auch verwendet werden. Dieses Konto hat kein Kennwort. Wenn Sie das LocalSystem angeben Bei einem Aufruf der Funktion "CreateService" werden alle von Ihnen angegebenen Kennwortinformationen ignoriert. "

http://technet.microsoft.com/en-us/library/ms143504.aspx (Einrichten von Windows-Dienstkonten) enthält folgende Informationen:

Das lokale System ist ein integriertes Konto mit sehr hohen Berechtigungen. Es verfügt über umfangreiche Berechtigungen auf dem lokalen System und fungiert als Computer im Netzwerk. > Der tatsächliche Name des Kontos lautet "NT-AUTORITÄT \ SYSTEM".

Bekannte Sicherheitskennungen in Windows-Betriebssystemen ( http://support.microsoft.com/kb/243330 ) haben überhaupt kein SYSTEM (sondern nur " LOCAL SYSTEM ")


Mein Windows XP Pro SP3 (mit MS SQL Server- Setup, Entwicklungscomputer in Arbeitsgruppe ) verfügt über SYSTEM, jedoch nicht über LocalSystem oder " Local System ".

FRAGEN:

Kann jemand dieses Durcheinander beseitigen?

Es ist möglich, Stunden für Stunden, Tag für Tag MS-Dokumente zu lesen, um immer mehr Widersprüche und Missverständnisse zu sammeln ...

1) Hat LocalSystem Zugriffsrechte auf das Netzwerk oder nicht? Was ist der Mechanismus?

2) Sind das SYSTEM und das LocalSystem (und das "Local System") Synonyme?

Warum wurden sie eingeführt?

Was sind die Unterschiede zwischen SYSTEM und Local System

----------

Update1:

Hallo, sysamin1138!

Ihre Antworten führen zu noch größerer Verwirrung, wenn Sie sie mit der beobachteten Realität vergleichen, z. B. mit der Tatsache, dass Fresh Windows XP Pro SP3 nur über SYSTEM (aber nicht über LocalSystem) verfügt.

Sysadmin138 schrieb:

  • "Unterschiedliche Sicherheitsprinzipien für ähnliche Probleme, die ein gewisses Maß an Granularität in Ihrem Sicherheitsdesign ermöglichen. Eines ist nur lokal, das andere ist domänensichtbar."

Bedeutet dieser Ausdruck, dass LocalSystem hinzugefügt wird, wenn der Computer der Domäne hinzugefügt wird?

Sollte verstanden werden, dass SYSTEM für den "lokalen" / internen und Arbeitsgruppenzugriff (Computeridentifikation) und LocalSystem für die Identifikation des Computers in der Domäne vorgesehen ist?

----------

Update2: Dieselbe Arbeitsgruppe Windows XP Pro SP3, sofern nicht anders angegeben

Hallo Sysadmin1138 , in Deiner Edit

"Es ist nur so, dass in diesem Fall SYSTEM und NT Authority / SYSTEM in der Fähigkeit gleichwertig sind",

Wie hängen sie (NT Authority / SYSTEM und SYSTEM) mit LocalSystem zusammen? Haben Sie sich mit LocalSystem nicht geirrt?

Greg Askew,

"Beachten Sie, dass ein Dienst, der für die Anmeldung als. \ LocalSystem konfiguriert ist, im Prozess-Explorer als NT-AUTORITÄT \ SYSTEM oder im Task-Manager als System angemeldet angezeigt wird."

Das ist ein bisschen näher. Ich kann LocalSystem weder in den NTFS- noch in den Freigabepremissionen in der RunAs-Liste auswählen. Aber in services.msc hat der Dienst "SQL Server (MS SQL SERVER)" -> Doppelklick oder rc -> Eigenschaften ---> Reiter "Logo ein als:" Radiobuttom "Lokales Systemkonto". Dieser Dienst wird dann im Windows Task-Manager als SYSTEM angezeigt

Greg Askew und sysadmin1138 ,

"NT AUTHORITY" oder ein "xxx \" wird nirgendwo angezeigt. Alle Kontonamen sind einfach beschriftet. Beachten Sie, dass es sich um einen Windows XP-Arbeitsgruppencomputer handelt. Obwohl ich eine Instanz von ADAM (Active Directory-Anwendungsmodus) ausführe.

Ich vermute, dass "NT AUTHORITY" von diesem berühmten "Sicherheits-Subsystem" stammt, das in der Arbeitsgruppe nicht vorhanden ist. (?) Wird "NT Authority" angezeigt, wenn ich den Computer einer Domäne hinzufüge?

Die NTFS- / Freigabeberechtigungsliste enthält zwei Spalten:

  • Spalte "Name (RDN)" mit Kontonamen mit einfacher Bezeichnung
  • Spalte "In Ordner" mit entweder MyCompName (z. B. für Administrator, Administratoren, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER usw.) oder leer (z. B. für ANONYMOUS LOGON, Authentifizierte Benutzer, CREaTOR GROUP, CREAtOR OWNER, NETWORKING SERVICES, SYSTEM usw.).

Die ersteren haben auch Synonyme für die Codierung als "MyCompName \ xxxx" oder ". \ Xxx" (dh

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

Können Sie Ihre Antworten im Kontext von http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (Computer-SIDs und Domain-SIDs) synchronisieren ?

----------

Update3: Dieselbe Arbeitsgruppe Windows XP Pro SP3, sofern nicht anders angegeben

Hallo Sysadmin1138 ,

Und wie sieht man den Bearbeitungsverlauf? und Dereferenzierung SID?

Durchbruch! cacls zeigt "NT Authority \ SYSTEM" ...

Bei Diensten ist es jedoch umgekehrt: Alle Dienste werden auf der Registerkarte "Anmelden" angezeigt

  • den Radiobutton "Lokales Systemkonto", wodurch SYSTEM in WIndowsTaskManager und
  • den Radiobutton "Dieses Konto" -> btn "Durchsuchen ...", der das SYSTEM-Konto nicht in der Liste anzeigt

Entschuldigung für Ihre Zeit, aber ich konnte noch kein lokales System in Windows XP erreichen! LocalSystem wird in XP nirgendwo angezeigt! aber das Problem, dass alle MS-Dokumente nur auf LocalSystem wohnen ...

Übrigens: http://support.microsoft.com/kb/120929 ("Wie das Systemkonto in Windows verwendet wird") gibt an, dass SYSTEM für die interne Computerprotokollierung von Diensten vorgesehen ist NT Workstation 3.1 auf Windows Server 2003 mit Ausnahme von Windows XP (?!).

Ist Windows XP eine Anomalie in der Windows-Zeile?

----------

Update4: Dieselbe Arbeitsgruppe Windows XP Pro SP3, sofern nicht anders angegeben

Ich konnte in Windows XP kein LocalSystem (nur "lokales System", das im Text zum Radiobutton der Dienste "Anmelden" erwähnt wird) erkennen, obwohl sich alle MS-Dokumente normalerweise nur auf LocalSystem befinden, nicht jedoch auf SYSTEM. Ich habe diese Frage als beantwortet markiert, nachdem ich verstanden habe, dass Windows XP eine Anomalie / Ausnahme in Windows-Betriebssystemen ist, die einen GUI-Usability-Fehler aufweist, und ich sollte raten, wie ein Szenario in anderen Windows-Betriebssystemen aufgetreten wäre (mithilfe der hier angegebenen Antworten) )

Ist dies nicht der Fall, können Sie einen anderen Standpunkt belegen / teilen


Update5: Dieselbe Arbeitsgruppe Windows XP Pro SP3, sofern nicht anders angegeben

Venceremos!

Ich habe "Lokales System" in Windows XP gefunden! Es wird in der Spalte "Anmelden als" in services.msc angezeigt!

Gennady Vanin Геннадий Ванин
quelle
1
Ich habe das schon mehrmals gesagt. "LocalSystem" ist genau dasselbe wie "NT Authority \ System". Sie sind Synonyme. "System" ist eine separate Entität, die zufällig einige (verwirrende) Eigenschaften teilt.
sysadmin1138
Ich habe keine "NT Authority \ System" in der Arbeitsgruppe Windows XP Pro SP3. Ich habe nur "MyCompName \ SYSTEM"
Gennady Vanin Геннадий Ванин
Entschuldigung, mein SYSTEM ist kein Computerkonto (nicht "MyCompName \ SYSTEM"), von dem ich glaube, dass es "NT Authority \ SYSTEM" wird, wenn ich Windows zur Domäne hinzufüge. Ist es vor dem Beitritt ein Synonym für LocalSystem? Und wird dieses SYSTEM nach dem Beitritt "NT Authority \ SYSTEM" sein?
Gennady Vanin Геннадий Ванин
3
Diese Frage ist jetzt unlesbar - können Sie sie verkürzen und klären? Es würde zukünftigen Lesern helfen, wenn die Frage kurz und einfach ist ^^ +1
Oskar Duveborn

Antworten:

26

[wischte die große Antwort ab und fasste sie der Klarheit halber zusammen. Siehe Bearbeitungsverlauf für schmutzige Geschichte.]

Es gibt eine einzige bekannte SID für das lokale System. Es ist S-1-5-18, wie Sie in diesem KB-Artikel gefunden haben. Diese SID gibt mehrere Namen zurück, wenn Sie zur Dereferenzierung aufgefordert werden. Der Befehlszeilenbefehl 'cacls' (XP) zeigt dies als " NT Authority\SYSTEM" an. Der Befehlszeilenbefehl 'icacls' (Vista / Win7) zeigt dies ebenfalls als " NT Authority\SYSTEM" an. Die GUI-Tools im Windows Explorer zeigen dies als " SYSTEM" an. Wenn Sie einen Dienst für die Ausführung konfigurieren, wird dies als " Local System" angezeigt .

Drei Namen, eine SID.

In Arbeitsgruppen hat die SID nur auf der lokalen Arbeitsstation eine Bedeutung. Beim Zugriff auf eine andere Workstation wird nicht nur die SID des Namens übertragen. Das 'Lokale System' kann auf keine anderen Systeme zugreifen.

In Domänen ermöglicht die relative ID dem Computerkonto den Zugriff auf Ressourcen, die sich nicht auf diesem Computer befinden. Dies ist die in Active Directory gespeicherte ID, die von allen mit der Domäne verbundenen Computern als Sicherheitsprinzip verwendet wird. Diese ID ist nicht S-1-5-18. Es liegt in der Form von S-1-5-21 [domainSID] - [random] vor.

Durch Konfigurieren eines Dienstes als "Lokaler Dienst" wird der Dienst angewiesen , sich lokal als S-1-5-18 an der Arbeitsstation anzumelden. Es werden keine Domain-Anmeldeinformationen jeglicher Art benötigt.

Wenn Sie einen Dienst als "Netzwerkdienst" oder "NT Authority \ NetworkService" konfigurieren, wird der Dienst angewiesen , sich als Domänenkonto dieses Computers bei der Domäne anzumelden , und er erhält Zugriff auf Domänenressourcen. Der Windows XP-Dienstkonfigurator kann nicht "Netzwerkdienst" als Anmeldetyp auswählen. Möglicherweise das SQL-Setup-Programm.

"Netzwerkdienst" kann alles tun, was "Lokales System" kann, und auf Domänenressourcen zugreifen.

"Netzwerkdienst" hat im Arbeitsgruppenkontext keine Bedeutung.

Zusamenfassend:

NT Authority\System= Local System= SYSTEM=S-1-5-18

Wenn Sie Ihren Dienst benötigen, um auf Ressourcen zuzugreifen, die sich nicht auf diesem Computer befinden, müssen Sie entweder:

  • Konfigurieren Sie es als Dienst mit einem dedizierten Anmeldebenutzer
  • Konfigurieren Sie es als Dienst mit "Netzwerkdienst" und gehören Sie zu einer Domäne
sysadmin1138
quelle
1
Tatsächlich handelt es sich bei Network Service um ein Konto mit geringen Berechtigungen. Es hat nicht die gleichen Berechtigungen wie das lokale System. In einer Domäne hat das lokale System den gleichen Zugriff auf Domänenressourcen wie der Netzwerkdienst, dh, es kann sich mit dem Computerkonto anmelden.
Harry Johnston
Wie kommt es, dass die Umgebungsvariable% USERNAME% für diesen Benutzer der Name des Computers ist, gefolgt von einem Dollarzeichen "$"?
rory.ap
@ rory.ap Versteckte Konten (und Dateifreigaben) haben nach altem Windows NT-Standard ein Dollarzeichen-Suffix. Und mit versteckt meine ich, taucht in einigen Anzeigetools nicht auf.
sysadmin1138
3

"Die meisten Dienste werden im Sicherheitskontext des lokalen Systemkontos ausgeführt (manchmal als SYSTEM und manchmal als LocalSystem angezeigt)."

"... Das lokale Systemkonto ist dasselbe Konto, unter dem die Kernkomponenten des Windows-Betriebssystems im Benutzermodus ausgeführt werden, einschließlich des Sitzungsmanagers (smss.exe), des Windows-Subsystemprozesses (csrss.exe) und des Prozesses der lokalen Sicherheitsautorität ( lsass.exe) und den Anmeldeprozess (winlogon.exe). "

"... Aus Sicherheitssicht ist das lokale Systemkonto extrem leistungsfähig - leistungsfähiger als jede Domäne oder jedes lokale Konto."

- Windows Internals, 5. Ausgabe (Seite 288 - 289).

Beachten Sie, dass ein Dienst, den Sie für die Anmeldung als. \ LocalSystem konfigurieren, im Prozess-Explorer als NT-AUTORITÄT \ SYSTEM oder im Task-Manager als System angemeldet angezeigt wird.

In Windows 7 hat ein Dienst, der auf Anmelden als: "Lokales System" eingestellt ist, auf der Registerkarte "Prozesse" des Task-Managers den Benutzernamen "SYSTEM".

Greg Askew
quelle