Вопрос: Как предоставить сетевой доступ учетной записи LocalSystem?


Как вы предоставляете доступ к сетевым ресурсам для LocalSystem (NT AUTHORITY \ SYSTEM)?


Задний план

При доступе к сети учетная запись LocalSystem действует как компьютер в сети:

Учетная запись LocalSystem

Учетная запись LocalSystem является предопределенной локальной учетной записью, используемой диспетчером управления сервисами.

... и действует как компьютер на   сеть.

Или повторить то же самое: учетная запись LocalSystem действует как компьютер в сети:

Когда служба работает под   Локальная система на компьютере, который   является членом домена, служба имеет   независимо от доступа к сети   учетной записи компьютера или в любых группах   из которых учетная запись компьютера является   член.

Как вы предоставляете "компьютер«Доступ к общей папке и файлам?


Заметка:

Учетных записей компьютеров, как правило, мало   привилегий и не принадлежат к   групп.

Итак, как я могу предоставить компьютерный доступ к одной из моих акций; учитывая, что "Все«Уже есть доступ?

Заметка: рабочая группа

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |

55
2018-04-26 14:19


Источник


Этот вопрос немного связан с предыдущим вопрос, связанный с включением анонимного доступа к ресурсу - по крайней мере, кажется, это может быть разрешено с анонимно доступной долей. - CodeFox


Ответы:


В доменной среде вы можете предоставить права доступа к учетным записям компьютеров; это относится к процессам, выполняемым на этих компьютерах, как LocalSystem или NetworkService (но нет LocalService, который не может получить доступ к сети вообще предоставляет анонимные учетные данные в сети) при подключении к удаленным системам.

Итак, если у вас есть компьютер, называемый MANGO, вы будете иметь учетную запись компьютера Active Directory, называемую MANGO$, на который вы можете предоставить разрешения.

enter image description here

Заметка: Вы не можете сделать это в рабочей среде; это относится только к доменам.


54
2018-04-26 14:34



+1 и принято. Но: LocalService Можно доступ к сети, он просто «представляет анонимные учетные данные в сети» (msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx) - Ian Boyd
Не знаю, спасибо. - Massimo
Просто упомянуть, потратив немало времени на то, чтобы заставить это работать для нескольких доменов, я не думаю, что это возможно. то есть \\ DOMAIN2 \ MANGO $, как представляется, не предоставляет доступ. - BennyB
Это работает только в том случае, если домены находятся в доверительных отношениях; в противном случае вы правы, это не сработает. - Massimo
Я думал, что ежедневные группы включают аутентифицированных пользователей, а также учетную запись local_service и local_system? - kakacii


Вы этого не сделаете. Если вам нужна служба для подключения к удаленным файлам или другим сетевым службам, вы хотите, чтобы служба выполнялась как именованная учетная запись, а на удаленном компьютере назначала права на эту именованную учетную запись.

Было бы лучше, если бы вы полностью объяснили, что вы пытаетесь сделать - таким образом вы получите лучшие ответы.


4
2018-04-26 14:40



Совершенно неверно. Вы можете предоставить разрешения для машинных учетных записей (и, следовательно, для служб, запущенных как их), точно так же, как вы можете предоставить их учетным записям пользователей. Есть, конечно, сценарии, где это может быть не лучшее решение, но это вполне выполнимо. - Massimo
@Massimo: mfinni не говорит, что вы не можете технически это сделать, но вы этого не хотите делать. Лучше всего использовать службу как именованную учетную запись. - Josh Brower
Ответ был похож на это, это причина моего понижения; Кроме того, оригинальный плакат, похоже, хорошо знает разницу между учетной записью пользователя и компьютером, поэтому ответ на его вопрос «не делай этого» просто мне не кажется правильным. - Massimo
В среде рабочей группы вы не можете назначать права на MachineB на учетную запись пользователя, определенную на MachineA ... кроме того, он был спрошен конкретно, как назначить права на машина счет, так вот что я ответил; и я также сказал, что это невозможно без домена. - Massimo
Ян - если это то, что вам нужно, обычно лучше использовать агент SQL Server и его учетную запись или использовать службы Integration Services. Вы можете получить более подробную информацию, когда задаете подробный вопрос, и он все равно может быть очень применим к ситуациям других читателей. - mfinni