Sdílet prostřednictvím

Účet LocalSystem

  • Článek

Účet LocalSystem je předdefinovaný místní účet používaný správcem řízení služeb. Tento účet není rozpoznán subsystémem zabezpečení, takže v volání funkce LookupAccountName nelze zadat jeho název. Má rozsáhlá oprávnění na místním počítači a funguje jako počítač v síti. Jeho token zahrnuje IDENTIFIKÁTORy SID NT AUTHORITY\SYSTEM a BUILTIN\Administrators; tyto účty mají přístup k většině systémových objektů. Název účtu ve všech národních prostředích je .\LocalSystem. Název, LocalSystem nebo Název_počítače\LocalSystem lze použít také. Tento účet nemá heslo. Pokud zadáte účet LocalSystem při volání funkce CreateService nebo ChangeServiceConfig, budou všechny zadané informace o hesle ignorovány.

Služba, která se spouští v kontextu účtu LocalSystem, dědí kontext zabezpečení SCM. Identifikátor SID uživatele se vytvoří z hodnoty SECURITY_LOCAL_SYSTEM_RID. Účet není přidružený k žádnému přihlášeného uživatelskému účtu. To má několik důsledků:

  • Klíč registru HKEY_CURRENT_USER je přidružený k výchozímu uživateli, nikoli aktuálnímu uživateli. Pokud chcete získat přístup k profilu jiného uživatele, zosobnit ho a pak získat přístup k HKEY_CURRENT_USER.
  • Služba může otevřít klíč registru HKEY_LOCAL_MACHINE\SECURITY.
  • Služba zobrazí přihlašovací údaje počítače ke vzdáleným serverům.
  • Pokud služba otevře příkazové okno a spustí dávkový soubor, uživatel může stisknutím kombinace kláves CTRL+C ukončit dávkový soubor a získat přístup k příkazovému okně s oprávněními LocalSystem.

Účet LocalSystem má následující oprávnění:

  • SE_ASSIGNPRIMARYTOKEN_NAME (zakázáno)
  • SE_AUDIT_NAME (povoleno)
  • SE_BACKUP_NAME (zakázáno)
  • SE_CHANGE_NOTIFY_NAME (povoleno)
  • SE_CREATE_GLOBAL_NAME (povoleno)
  • SE_CREATE_PAGEFILE_NAME (povoleno)
  • SE_CREATE_PERMANENT_NAME (povoleno)
  • SE_CREATE_TOKEN_NAME (zakázáno)
  • SE_DEBUG_NAME (povoleno)
  • SE_IMPERSONATE_NAME (povoleno)
  • SE_INC_BASE_PRIORITY_NAME (povoleno)
  • SE_INCREASE_QUOTA_NAME (zakázáno)
  • SE_LOAD_DRIVER_NAME (zakázáno)
  • SE_LOCK_MEMORY_NAME (povoleno)
  • SE_MANAGE_VOLUME_NAME (zakázáno)
  • SE_PROF_SINGLE_PROCESS_NAME (povoleno)
  • SE_RESTORE_NAME (zakázáno)
  • SE_SECURITY_NAME (zakázáno)
  • SE_SHUTDOWN_NAME (zakázáno)
  • SE_SYSTEM_ENVIRONMENT_NAME (zakázáno)
  • SE_SYSTEMTIME_NAME (zakázáno)
  • SE_TAKE_OWNERSHIP_NAME (zakázáno)
  • SE_TCB_NAME (povoleno)
  • SE_UNDOCK_NAME (zakázáno)

Většina služeb nepotřebuje takovou vysokou úroveň oprávnění. Pokud vaše služba tato oprávnění nepotřebuje a nejedná se o interaktivní službu, zvažte použití účtu LocalService nebo účtu NetworkService. Další informace naleznete v tématu Service Security and Access Rights.