Làm cách nào để cấp quyền truy cập mạng vào tài khoản LocalSystem?


65

Làm cách nào để bạn cấp quyền truy cập vào tài nguyên mạng cho tài khoản LocalSystem(NT AUTHORITY \ HỆ THỐNG)?


Lý lịch

Khi truy cập mạng, tài khoản LocalSystem hoạt động như máy tính trên mạng :

Tài khoản hệ thống cục bộ

Tài khoản LocalSystem là tài khoản cục bộ được xác định trước được sử dụng bởi người quản lý kiểm soát dịch vụ.

... Và hoạt động như máy tính trên mạng.

Hoặc nói lại điều tương tự: Tài khoản LocalSystem hoạt động như máy tính trên mạng :

Khi một dịch vụ chạy dưới tài khoản LocalSystem trên máy tính là thành viên miền, dịch vụ đó có bất kỳ quyền truy cập mạng nào được cấp cho tài khoản máy tính hoặc cho bất kỳ nhóm nào mà tài khoản máy tính là thành viên.

Làm thế nào để cấp quyền truy cập " máy tính " vào thư mục và tệp được chia sẻ?


Lưu ý :

Tài khoản máy tính thường có một vài đặc quyền và không thuộc về nhóm.

Vì vậy, làm thế nào tôi có thể cấp quyền truy cập máy tính vào một trong những chia sẻ của tôi; xem xét rằng " Mọi người " đã có quyền truy cập?

Lưu ý : nhóm làm việc

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |

Câu hỏi này hơi liên quan đến câu hỏi trước đó liên quan đến việc cho phép truy cập ẩn danh vào một chia sẻ - ít nhất có vẻ như nó có thể được giải quyết bằng một chia sẻ có thể truy cập ẩn danh.
CodeFox

Câu trả lời:


59

Trong môi trường miền, bạn có thể cấp quyền truy cập vào tài khoản máy tính; điều này áp dụng cho các quy trình chạy trên các máy tính đó LocalSystemhoặc NetworkService(nhưng không LocalService, trình bày thông tin đăng nhập ẩn danh trên mạng) khi chúng kết nối với các hệ thống từ xa.

Vì vậy, nếu bạn có một máy tính được gọi MANGO, bạn sẽ có một tài khoản máy tính Active Directory được gọi MANGO$, bạn có thể cấp quyền cho.

nhập mô tả hình ảnh ở đây

Lưu ý : Bạn không thể thực hiện bất kỳ điều này trong môi trường nhóm làm việc; điều này chỉ áp dụng cho các tên miền.


6
+1 và được chấp nhận. Nhưng: LocalService có thể truy cập mạng, nó chỉ "trình bày thông tin ẩn danh trên mạng" ( msdn.microsoft.com/en-us/l Library / ms684188 ( VS85 ) .aspx )
Ian Boyd

Chỉ cần đề cập đến, đã dành một lượng thời gian không đáng kể để cố gắng làm cho điều này hoạt động cho nhiều tên miền, tôi không nghĩ rằng nó có thể. tức là \ DOMAIN2 \ MANGO $ không xuất hiện để cấp quyền truy cập.
BennyB

Điều này chỉ hoạt động nếu các miền trong mối quan hệ tin cậy; mặt khác, bạn đã đúng, nó không hoạt động.
Massimo

Tôi nghĩ rằng các nhóm hàng ngày bao gồm người dùng được xác thực cũng như tài khoản local_service và local_system?
kakacii

Lưu ý rằng LocalSystemcũng có thể truy cập bất cứ điều gì mà bất kỳ quá trình khác có thể. Do đó, nó có thể đánh cắp thông tin đăng nhập của người dùng đã đăng nhập.
Demi

4

Bạn không. Nếu bạn cần một dịch vụ để kết nối với các tệp từ xa hoặc các dịch vụ mạng khác, thì bạn muốn dịch vụ này chạy như một tài khoản được đặt tên và trên máy từ xa, gán quyền cho tài khoản được đặt tên đó.

Sẽ thực sự tốt nhất nếu bạn giải thích đầy đủ những gì bạn đang cố gắng thực hiện - theo cách đó bạn sẽ nhận được câu trả lời tốt nhất.


6
Hoàn toàn không chính xác. Bạn có thể cấp quyền cho tài khoản máy (và do đó cho các dịch vụ chạy như chúng) chính xác giống như cách bạn có thể cấp chúng cho tài khoản người dùng. Tất nhiên có những kịch bản mà đây có thể không phải là giải pháp tốt nhất, nhưng nó hoàn toàn có thể thực hiện được.
Massimo

1
Câu trả lời trông giống hệt như vậy, đây là lý do cho downvote của tôi; Ngoài ra, người đăng ban đầu dường như biết khá rõ sự khác biệt giữa tài khoản người dùng và tài khoản máy tính, vì vậy việc trả lời câu hỏi của anh ta bằng "đừng làm vậy" dường như không đúng với tôi.
Massimo

1
Ngoài ra, có những kịch bản rất hợp pháp trong đó việc cấp quyền cho tài khoản máy sẽ là cần thiết. Chỉ cần nghĩ về các kịch bản khởi động máy tính, hoặc triển khai phần mềm GPO hoặc các dịch vụ chỉ muốn chạy như LocalSystem và bạn không thể làm gì về điều đó. Tôi không nói rằng đây là một thực tiễn tốt nhất hoặc "giải pháp" đúng, tất nhiên; nhưng nếu ai đó hỏi "làm thế nào để làm điều này?" Tôi nghĩ rằng "đừng làm điều đó" chắc chắn không phải là một câu trả lời đúng.
Massimo

1
Trong môi trường nhóm làm việc, bạn không thể gán quyền trên MachineB cho tài khoản người dùng được xác định trên MachineA ... ngoài ra, anh ta được hỏi cụ thể cách gán quyền cho tài khoản maschine , vì vậy đó là những gì tôi đã trả lời; và tôi cũng nói rằng điều này là không thể nếu không có tên miền.
Massimo

2
Ian - nếu đó là những gì bạn đang theo đuổi, thông thường nên sử dụng SQL Server Agent và tài khoản của nó hoặc sử dụng Dịch vụ tích hợp. Bạn có thể biết thêm chi tiết khi bạn đặt câu hỏi chi tiết và nó vẫn có thể được áp dụng cho các tình huống của người đọc khác.
mfinni

-1

Nó đơn giản:

Đặt Tài khoản AD của Máy vào Nhóm Quản trị viên cục bộ và sau đó Máy này (hoặc Tài khoản quản trị viên cục bộ của nó) có thể truy cập đầy đủ vào đích qua mạng. Đã thử nghiệm ngày hôm nay, hoạt động tốt.


2
Trong khi đây là chức năng, nó KHÔNG được khuyến khích hoặc thực hành tốt nhất. Các Local Systemtài khoản được gọi là địa phương vì một lý do. Nếu bạn muốn một cái gì đó có quyền truy cập mạng, dịch vụ hoặc cách khác nên được thay đổi để chạy như một người dùng khác. Điều này sẽ giống như cấp guesttài khoản trên quyền truy cập quản trị viên máy. Nó sẽ hoạt động, nhưng điều đó đánh bại mục đích của những gì nó được xây dựng cho.
Cory Knutson
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.