LocalSystem 계정에 네트워크 액세스 권한을 부여하는 방법은 무엇입니까?

LocalSystem(NT AUTHORITY \ SYSTEM) 계정 에 네트워크 리소스에 대한 액세스 권한을 어떻게 부여 합니까?

배경

네트워크에 액세스 할 때 LocalSystem 계정 은 네트워크의 컴퓨터 역할을합니다 .

로컬 시스템 계정

LocalSystem 계정은 서비스 제어 관리자가 사용하는 사전 정의 된 로컬 계정입니다.

네트워크의 컴퓨터 역할을합니다.

또는 똑같은 말을 다시하면 LocalSystem 계정 은 네트워크의 컴퓨터 역할을합니다 .

서비스가 도메인 구성원 인 컴퓨터의 LocalSystem 계정으로 실행되면 서비스는 컴퓨터 계정 또는 컴퓨터 계정이 구성원 인 모든 그룹에 부여 된 모든 네트워크 액세스 권한을 갖습니다.

공유 폴더 및 파일에 대한 " 컴퓨터 "액세스 권한을 어떻게 부여 합니까?

참고 :

컴퓨터 계정은 일반적으로 권한이 거의 없으며 그룹에 속하지 않습니다.

내 컴퓨터 중 하나에 대한 컴퓨터 액세스 권한을 어떻게 부여합니까? " 모든 사람 "이 이미 액세스 권한이 있다고 생각 하십니까?

참고 : 작업 그룹

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |

— 이안 보이드
소스

이 질문은 공유에 대한 익명 액세스를 활성화하는 것과 관련된 이전 질문과 약간 관련이 있습니다 . 최소한 익명으로 액세스 가능한 공유를 사용하여 해결할 수있는 것 같습니다.

— CodeFox

답변:

도메인 환경에서는 컴퓨터 계정에 대한 액세스 권한을 부여 할 수 있습니다. 이는 원격 시스템에 연결할 때 해당 컴퓨터에서 실행중인 프로세스 ( LocalSystem또는 네트워크에 익명 자격 증명을 표시 NetworkService하지 않는 LocalService)에 적용됩니다.

따라서이라는 컴퓨터가있는 경우이라는 MANGOActive Directory 컴퓨터 계정 MANGO$이 있으며 권한을 부여 할 수 있습니다.

여기에 이미지 설명을 입력하십시오

참고 : 작업 그룹 환경에서는이 작업을 수행 할 수 없습니다. 이것은 도메인에만 적용됩니다.

— 마시모
소스

+1하고 수락했습니다. 그러나 LocalService 는 네트워크에 액세스 할 수 있으며 "네트워크에 익명의 자격 증명 만 표시"( msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx )

— Ian Boyd

간단히 말해서, 여러 도메인 에서이 작업을 수행하는 데 상당한 시간을 소비했다는 것은 불가능하다고 생각합니다. 즉, \\ DOMAIN2 \ MANGO $는 액세스 권한을 부여하지 않는 것 같습니다.

— BennyB

도메인이 트러스트 관계에있는 경우에만 작동합니다. 그렇지 않으면, 당신은 정확하고 작동하지 않습니다.

— Massimo

일상적인 그룹에는 local_service 및 local_system 계정뿐만 아니라 인증 된 사용자도 포함되어 있다고 생각 했습니까?

— kakacii

그 참고 LocalSystem또한 어떤 다른 프로세스 캔에 액세스 할 수 있습니다. 따라서 로그온 한 사용자의 자격 증명을 훔칠 수 있습니다.

— 데미

당신은하지 않습니다. 원격 파일이나 다른 네트워크 서비스에 연결하기 위해 서비스가 필요한 경우 서비스를 명명 된 계정으로 실행하고 원격 시스템에서 해당 명명 된 계정에 권한을 할당하려고합니다.

당신이하려는 일을 충분히 설명하면 가장 좋을 것입니다-그렇게하면 가장 좋은 답변을 얻을 수 있습니다.

— 엠피 니
소스

완전히 틀렸다. 사용자 계정에 권한을 부여 할 때와 동일한 방식으로 컴퓨터 계정에 권한을 부여 할 수 있습니다. 물론 이것이 최선의 해결책은 아니지만 완벽하게 가능한 시나리오가 있습니다.

— Massimo

대답은 정확히 그렇게 보였습니다. 이것이 제 다운 보트의 이유입니다. 또한 원래 포스터는 사용자 계정과 컴퓨터 계정의 차이점을 잘 알고있는 것처럼 보이므로 "하지 마십시오"라는 질문에 대답하는 것은 나에게 옳지 않은 것처럼 보였습니다.

— Massimo

또한 컴퓨터 계정에 권한을 부여해야하는 합법적 인 시나리오가 있습니다. 컴퓨터 시작 스크립트, GPO 소프트웨어 배포 또는 LocalSystem으로 실행하려는 서비스에 대해 생각하면 아무 것도 할 수 없습니다. 물론 이것이 최선의 방법 또는 "올바른"해결책이라고 말하는 것이 아닙니다. 그러나 누군가 "이 작업을 수행하는 방법"을 묻는다면 "하지 마십시오"는 정답이 아니라고 생각합니다.

— Massimo

작업 그룹 환경에서는 MachineA에 정의 된 사용자 계정에 MachineB에 대한 권한을 할당 할 수 없습니다. 이외에도 Maschine 계정에 권한을 할당하는 방법에 대한 질문이 있었 으므로 이것이 제가 대답 한 것입니다. 또한 도메인 없이는 불가능하다고 말했습니다.

— Massimo

이언 (Ian)-이것이 그 이후라면 SQL Server 에이전트와 해당 계정을 사용하거나 Integration Services를 사용하는 것이 좋습니다. 자세한 질문을하면 더 자세한 정보를 얻을 수 있으며 다른 독자의 상황에도 여전히 적용 할 수 있습니다.

— mfinni

-1

간단하다:

머신의 AD 계정을 로컬 관리자 그룹에 넣으면이 머신 (또는 로컬 관리자 계정)이 네트워크를 통해 대상에 완전히 액세스 할 수 있습니다. 오늘 테스트되었으며 정상적으로 작동합니다.

— 프랭크 울프
소스

이 기능은 작동하지만 권장되지 않거나 최상의 방법은 아닙니다. Local System계정이 이유에 대한 지역이라고합니다. 무언가가 네트워크에 액세스하도록하려면 서비스 또는 다른 사용자로 실행되도록 서비스를 변경해야합니다. guest컴퓨터 관리자에게 계정 액세스 권한을 부여하는 것과 같습니다 . 그것은 효과가 있지만 그것은 그것이 만들어진 목적의 목적을 상실합니다.

— Cory Knutson