如何授予对LocalSystem(NT AUTHORITY \ SYSTEM)帐户的网络资源的访问权限?


背景

访问网络时,LocalSystem帐户充当网络上的计算机:


LocalSystem帐户

LocalSystem帐户是服务控制管理器使用的预定义本地帐户。

...并充当
网络上的计算机。


或者再说一遍:LocalSystem帐户充当网络上的计算机:


当服务在域成员的计算机上以
LocalSystem帐户运行时,该服务具有
网络访问被授予计算机帐户或计算机帐户所属的任何组



如何授予权限


注意:


计算机帐户通常只有很少的
特权,并且可以不属于
组。


所以我将如何授予计算机访问我的一个共享的权限?考虑“每个人”都已经可以访问?

注意:工作组

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |


评论

这个问题与先前的问题有关,该问题与启用匿名访问共享有关-至少似乎可以使用匿名访问的共享来解决。

#1 楼

在域环境中,您可以授予对计算机帐户的访问权限;这适用于当它们连接到远程系统时以LocalSystemNetworkService(但不是LocalService,它们在网络上显示匿名凭据)在这些计算机上运行的进程。您将拥有一个名为MANGO的Active Directory计算机帐户,您可以向该帐户授予权限。



注意:在工作组环境中您不能执行任何此操作;这仅适用于域。

评论

+1并被接受。但是:LocalService可以访问网络,它只是“在网络上提供匿名凭据”(msdn.microsoft.com/zh-cn/library/ms684188(VS.85).aspx)

–伊恩·博伊德(Ian Boyd)
2010-4-27的2:12


只需提及,花费了相当多的时间来尝试使它在多个域中起作用,我认为这是不可能的。即\\ DOMAIN2 \ MANGO $似乎没有授予访问权限。

– BennyB
13年7月9日在13:31
仅当域处于信任关系中时,此方法才有效。否则,您是对的,这是行不通的。

–马西莫
13年7月9日在15:06
我认为日常组包括经过身份验证的用户以及local_service和local_system帐户?

– kakacii
17年5月22日在3:42
请注意,LocalSystem还可以访问任何其他进程可以访问的任何内容。因此,它可以窃取已登录用户的凭据。

–黛米
18/09/12在19:44


#2 楼

你不知道如果需要连接到远程文件或其他网络服务的服务,则希望该服务以命名帐户运行,然后在远程计算机上为该命名帐户分配权限。

它如果您完全解释自己要做什么,那将是最好的选择-这样您将获得最佳答案。

评论

完全不正确。您可以将权限授予计算机帐户(从而授予以其运行的服务)的权限与授予用户帐户的权限完全相同。当然,在某些情况下,这可能不是最佳解决方案,但这是完全可行的。

–马西莫
2010-4-26的15:21
答案看起来完全是这样,这就是我投反对票的原因。同样,原始的发布者似乎非常了解用户帐户和计算机帐户之间的区别,因此以“不这样做”回答他的问题对我来说似乎并不正确。

–马西莫
2010年4月26日在17:01
此外,在非常合法的情况下,需要向计算机帐户授予权限。只需考虑计算机启动脚本,GPO软件部署或仅想作为LocalSystem运行的服务,您将无法对此做任何事情。当然,我并不是说这是最佳实践,也不是“正确的”解决方案。但是如果有人问“该怎么做?”我认为“不做”绝对不是正确的答案。

–马西莫
2010-4-26 17:14
在工作组环境中,您无法将MachineB上的权限分配给在MachineA上定义的用户帐户...。此外,他还被问到如何为一个机器帐户分配权限,这就是我的回答。我还说没有域就不可能做到这一点。

–马西莫
2010-4-26在19:03
Ian-如果您要这样做,那么使用SQL Server代理及其帐户或使用Integration Services通常是一个更好的主意。当您问一个详细的问题时,您可以获得更多的细节,它仍然非常适用于其他读者的情况。

– mfinni
2010-4-27的3:16

#3 楼

请注意,计算机帐户也属于“身份验证的用户”。因此,您不必在网络资源上授予单个computerName $帐户,如果需要的话,可以通过向Authenticated Users授予权限来覆盖所有计算机。

还可以使用YourDomain \域计算机

评论

OP是一个工作组,因此这不适用于所提出的问题。

– mfinni
20-04-29在19:29
另一方面,stackexchange是Wikipedia与reddit的结合,这是此Wiki条目上有用的信息。

–伊恩·博伊德(Ian Boyd)
20年5月1日在13:29

#4 楼

很简单:

将计算机的AD帐户放入本地管理员组
,然后此计算机(或其本地管理员帐户)
就可以通过网络。
今天测试,工作正常。

评论

尽管此功能有效,但不建议这样做或不建议这样做。本地系统帐户被称为本地帐户是有原因的。如果您希望某些东西具有网络访问权限,则应将服务或其他服务更改为以其他用户身份运行。这就像授予计算机管理员的来宾帐户访问权限一样。它会起作用,但是却违背了它的目的。

– Cory Knutson
18年8月28日在13:41