Megosztás a következőn keresztül:

LocalSystem-fiók

  • Cikk

A LocalSystem-fiók egy előre definiált helyi fiók, amelyet a szolgáltatásvezérlő-kezelő használ. Ezt a fiókot a biztonsági alrendszer nem ismeri fel, ezért nem adhatja meg a nevét a LookupAccountName függvény hívásában. Széles körű jogosultságokkal rendelkezik a helyi számítógépen, és a hálózat számítógépeként működik. Jogkivonata tartalmazza az NT AUTHORITY\SYSTEM és a BUILTIN\Administrators SID-ket; ezek a fiókok hozzáféréssel rendelkeznek a legtöbb rendszerobjektumhoz. A fiók neve minden területi beállításban a következő: .\LocalSystem. A neve, LocalSystem vagy ComputerName\LocalSystem is használható. Ez a fiók nem rendelkezik jelszóval. Ha a LocalSystem-fiókot a CreateService vagy ChangeServiceConfig függvény hívásában adja meg, a rendszer figyelmen kívül hagyja a megadott jelszóadatokat.

A LocalSystem-fiók környezetében futó szolgáltatás örökli az SCM biztonsági környezetét. A felhasználói SID a SECURITY_LOCAL_SYSTEM_RID értékből jön létre. A fiók nincs bejelentkezett felhasználói fiókkal társítva. Ennek több következménye is van:

  • A beállításkulcs HKEY_CURRENT_USER az alapértelmezett felhasználóhoz van társítva, nem az aktuális felhasználóhoz. Egy másik felhasználó profiljának eléréséhez megszemélyesítse a felhasználót, majd lépjen HKEY_CURRENT_USER.
  • A szolgáltatás megnyithatja a beállításkulcsot HKEY_LOCAL_MACHINE\SECURITY.
  • A szolgáltatás bemutatja a számítógép hitelesítő adatait a távoli kiszolgálóknak.
  • Ha a szolgáltatás megnyit egy parancsablakot, és egy kötegfájlt futtat, a felhasználó a CTRL+C billentyűkombinációt lenyomva leállíthatja a kötegfájlt, és hozzáférhet egy LocalSystem-engedélyekkel rendelkező parancsablakhoz.

A LocalSystem-fiók a következő jogosultságokkal rendelkezik:

  • SE_ASSIGNPRIMARYTOKEN_NAME (letiltva)
  • SE_AUDIT_NAME (engedélyezve)
  • SE_BACKUP_NAME (letiltva)
  • SE_CHANGE_NOTIFY_NAME (engedélyezve)
  • SE_CREATE_GLOBAL_NAME (engedélyezve)
  • SE_CREATE_PAGEFILE_NAME (engedélyezve)
  • SE_CREATE_PERMANENT_NAME (engedélyezve)
  • SE_CREATE_TOKEN_NAME (letiltva)
  • SE_DEBUG_NAME (engedélyezve)
  • SE_IMPERSONATE_NAME (engedélyezve)
  • SE_INC_BASE_PRIORITY_NAME (engedélyezve)
  • SE_INCREASE_QUOTA_NAME (letiltva)
  • SE_LOAD_DRIVER_NAME (letiltva)
  • SE_LOCK_MEMORY_NAME (engedélyezve)
  • SE_MANAGE_VOLUME_NAME (letiltva)
  • SE_PROF_SINGLE_PROCESS_NAME (engedélyezve)
  • SE_RESTORE_NAME (letiltva)
  • SE_SECURITY_NAME (letiltva)
  • SE_SHUTDOWN_NAME (letiltva)
  • SE_SYSTEM_ENVIRONMENT_NAME (letiltva)
  • SE_SYSTEMTIME_NAME (letiltva)
  • SE_TAKE_OWNERSHIP_NAME (letiltva)
  • SE_TCB_NAME (engedélyezve)
  • SE_UNDOCK_NAME (letiltva)

A legtöbb szolgáltatásnak nincs szüksége ilyen magas jogosultsági szintre. Ha a szolgáltatásnak nincs szüksége ezekre a jogosultságokra, és nem interaktív szolgáltatás, fontolja meg a LocalService-fiók vagy a NetworkService-fiókhasználatát. További információ: Service Security and Access Rights.