Jak udzielasz dostępu do zasobów sieciowych do LocalSystem
konta (NT AUTHORITY \ SYSTEM)?
tło
Podczas uzyskiwania dostępu do sieci konto LocalSystem działa jak komputer w sieci :
Konto LocalSystem
Konto LocalSystem jest predefiniowanym kontem lokalnym używanym przez menedżera kontroli usług.
... i działa jako komputer w sieci.
Lub jeszcze raz to samo: konto LocalSystem działa jak komputer w sieci :
Gdy usługa działa na koncie LocalSystem na komputerze będącym członkiem domeny, usługa ma dostęp do sieci niezależnie od konta komputera lub dowolnej grupy, do której należy konto komputera.
W jaki sposób można przyznać komputerowi dostęp do udostępnionego folderu i plików?
Uwaga :
Konta komputerowe zazwyczaj mają kilka uprawnień i nie należą do grup.
Jak więc przyznać dostęp komputerowy do jednej z moich akcji; biorąc pod uwagę, że „ wszyscy ” mają już dostęp?
Uwaga : grupa robocza
| Account | Presents credentials |
|----------------|----------------------|
| LocalSystem | Machine$ |
| LocalService | Anonymous |
| NetworkService | Machine$ |
źródło
Odpowiedzi:
W środowisku domeny możesz przyznać prawa dostępu do kont komputerów; dotyczy to procesów działających na tych komputerach jako
LocalSystem
lubNetworkService
(ale nieLocalService
przedstawiających anonimowych poświadczeń w sieci) podczas łączenia się z systemami zdalnymi.Tak więc, jeśli masz komputer o nazwie
MANGO
, będziesz mieć konto komputera usługi Active DirectoryMANGO$
, do którego możesz przyznać uprawnienia.Uwaga : Nie można tego zrobić w środowisku grupy roboczej; dotyczy to tylko domen.
źródło
LocalSystem
może również uzyskać dostęp do wszystkiego, co może zrobić każdy inny proces. Może w ten sposób wykraść dane logowania zalogowanych użytkowników.Ty nie. Jeśli potrzebujesz usługi do łączenia się ze zdalnymi plikami lub innymi usługami sieciowymi, chcesz, aby usługa była uruchamiana jako konto nazwane, a na komputerze zdalnym przypisz prawa do tego konta o nazwie.
Byłoby naprawdę najlepiej, gdybyś dokładnie wyjaśnił, co próbujesz zrobić - w ten sposób uzyskasz najlepsze odpowiedzi.
źródło
To jest proste:
Umieść konto AD urządzenia w lokalnej grupie administratorów, a następnie urządzenie (lub jego lokalne konto administratora) będzie mogło w pełni uzyskać dostęp do miejsca docelowego ZA CAŁĄ siecią. Testowane dzisiaj, działa dobrze.
źródło
Local System
Konto nazywa lokalny powodu. Jeśli chcesz, aby coś miało dostęp do sieci, usługę lub inną usługę należy zmienić, aby działała jako inny użytkownik. To byłoby jak przyznanieguest
konta administratorowi komputera. To działałoby, ale to przeczy celowi, do czego został zbudowany.