Windows LocalSystem 및 시스템


23

/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accou 는 다음과 같이 말합니다.

로컬 시스템 : 관리자 계정보다 완전히 신뢰할 수있는 계정. 단일 계정에는이 계정으로 할 수없는 것이 없으며 네트워크 로 머신 에 액세스 할 수있는 권한이 있습니다 (Active Directory가 필요하며 머신 계정에 권한을 부여 함) "

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx(SQL Server 2000 (64 비트) 설치 준비-Windows 서비스 계정 만들기)는 다음과 같이 알려줍니다.

" 로컬 시스템 계정에는 암호가 필요 하지 않으며 네트워크 액세스 권한이 없으며 SQL Server 설치가 다른 서버와 상호 작용하지 못하도록 제한합니다. "

http://msdn.microsoft.com/ko-kr/library/ms684190(v=VS.85).aspx(LocalSystem 계정, 빌드 날짜 : 8/5/2010)는 다음과 같이 말합니다.

" LocalSystem 계정은 서비스 제어 관리자가 사용하는 사전 정의 된 로컬 계정입니다.이 계정 은 보안 서브 시스템 에서 인식 되지 않으므로 LookupAccountName 함수를 호출 할 때 해당 이름을 지정할 수 없습니다. 로컬 컴퓨터에 대한 광범위한 권한이 있습니다. 네트워크에있는 컴퓨터와 같은 역할을합니다. 그 토큰이 NT AUTHORITY \ SYSTEM 및 BUILTIN \ 관리자 SID를 포함 ,.이 계정은 대부분의 시스템 개체에 액세스 할 수있는 계정의 이름입니다 . 모든 로케일은 \ 로컬 시스템 . 이름, 로컬 시스템 또는 컴퓨터 이름 \ LocalSystem 도 사용할 수 있습니다.이 계정에는 암호가 없습니다. LocalSystem 을 지정하면 CreateService 함수를 호출 할 때 계정을 입력하면 제공 한 비밀번호 정보는 무시됩니다. "

http://technet.microsoft.com/en-us/library/ms143504.aspx(Windows 서비스 계정 설정)는 다음과 같이 알려줍니다.

로컬 시스템 은 권한이 매우 높은 기본 제공 계정입니다. 로컬 시스템에 대한 광범위한 권한이 있으며 네트워크의 컴퓨터 역할을합니다. > 계정의 실제 이름은 "NT AUTHORITY \ SYSTEM"입니다.

윈도우 운영 체제 (의 잘 알려진 보안 식별자는 http://support.microsoft.com/kb/243330 ) 어떤이없는 시스템 (만 "전혀 로컬 시스템 ")


Windows XP Pro SP3 ( MS SQL Server 설치, 작업 그룹 에서 컴퓨터 개발 )에는 SYSTEM이 있지만 LocalSystem 또는 " Local System "은 없습니다.

질문 :

누군가이 혼란을 없앨 수 있습니까?

점점 더 많은 모순과 오해를 모으기 위해 MS 문서를 읽고 매일 몇 시간 씩 화상을 입을 수 있습니다 ...

1) LocalSystem에 네트워크 액세스 권한이 있습니까? 메커니즘은 무엇입니까?

2) SYSTEM과 LocalSystem (및 "Local System") 동의어가 있습니까?

왜 그들이 소개 되었습니까?

SYSTEM과 로컬 시스템의 차이점은 무엇입니까

----------

업데이트 1 :

안녕, sysamin1138!

예를 들어, 새로 설치 또는 작업 그룹 Windows XP Pro SP3에 SYSTEM 만 있고 LocalSystem 은 없다는 사실과 비교하여 관찰 된 현실과 비교하면 훨씬 더 혼란스러워집니다 .

Sysadmin138은 다음과 같이 썼습니다.

  • "유사한 문제에 대한 다른 보안 원칙으로 보안 설계에 약간의 세분성을 허용합니다. 하나는 로컬이고 다른 하나는 도메인 가시성을 가지고 있습니다."

이 문구는 컴퓨터를 도메인에 가입시킬 때 LocalSystem이 추가되었음을 의미합니까?

SYSTEM은 "로컬"/ 내부 및 작업 그룹 액세스 (컴퓨터 식별) 및 LocalSystem 컴퓨터의 도메인 식별을위한 것임을 이해해야합니까?

----------

Update2 : 달리 지정되지 않은 경우 동일한 작업 그룹 Windows XP Pro SP3

안녕하세요, Sysadmin1138 , 편집에서

"이 경우 SYSTEM과 NT Authority / SYSTEM의 기능은 동일합니다."

LocalSystem과 어떻게 관련이 있습니까 (NT Authority / SYSTEM 및 SYSTEM)? LocalSystem으로 그들 중 하나를 잘못하지 않았습니까?

그렉 비 스케,

"서비스가. \ LocalSystem으로 로그온하도록 구성한 경우 프로세스 탐색기에서 작업 관리자의 시스템 또는 NT AUTHORITY \ SYSTEM으로 로그온 한 것으로 나타납니다."

조금 더 가까이 있습니다. NTFS / 공유 권한, RunAs 목록에서 LocalSystem을 선택할 수 없습니다. 그러나 services.msc에서 "SQL Server (MS SQL SERVER)"서비스-> 두 번 클릭 또는 rc-> 속성 ---> "다음으로 로그온 :"탭에는 "로컬 시스템 계정"이 표시됩니다. 이 서비스는 Windows 작업 관리자에서 SYSTEM으로 나타납니다.

Greg Askew 및 sysadmin1138 ,

"NT AUTHORITY"또는 "xxx \" 는 어디에도 나타나지 않습니다. 모든 계정 이름은 단일 레이블입니다. Windows XP 작업 그룹 컴퓨터입니다. ADAM (Active Directory Application Mode) 인스턴스를 실행하지만

"NT AUTHORITY"는 작업 그룹에없는 유명한 "보안 하위 시스템"에서 온 것 같습니다 (?) 컴퓨터를 도메인에 가입 시키면 "NT Authority"가 나타 납니까?

NTFS / 공유 권한 목록에는 2 개의 열이 있습니다.

  • 단일 레이블 계정 이름을 가진 "이름 (RDN)"열
  • "내 폴더"열에 MyCompName (예 : 관리자, 관리자, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER 등)이 있거나 공백 (예 : 익명 로그온, 인증 된 사용자, CREATOR GROUP, CREATOR OWNER, NETWORKING SERVICES, 시스템 등).

전 사람도있는 코딩을 위해 동의어를 "MyCompName \ XXXX"또는 ". \ XXX"로 (즉,

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (기계 SID 및 도메인 SID)와 관련하여 답변을 동기화 할 수 있습니까 ?

----------

Update3 : 달리 지정되지 않은 경우 동일한 작업 그룹 Windows XP Pro SP3

안녕하세요, Sysadmin1138 ,

그리고 편집 기록을 보는 방법? SID를 역 참조합니까?

돌파구! cacls는 "NT Authority \ SYSTEM"을 보여줍니다 ...

서비스의 경우 그 반대도 마찬가지입니다. 모든 서비스는 "로그온"탭에 표시됩니다

  • WIndowsTaskManager에서 SYSTEM을 생성하는 "로컬 시스템 계정"라디오 버튼
  • "이 계정"라디오 버튼-> btn "찾아보기 ..."목록에 SYSTEM 계정이 표시되지 않음

시간을 내서 죄송하지만 Windows XP에서는 아직 LocalSystem에 연결할 수 없습니다! XP의 LocalSystem은 어디에도 나타나지 않습니다! 그러나 모든 MS 문서가 LocalSystem에만 머물렀다는 문제는 ...

BTW, http://support.microsoft.com/kb/120929("Windows 에서 시스템 계정을 사용하는 방법 ")는 시스템이 서비스의 컴퓨터 로깅 내부 용이며 모든 Windows의 Windows XP (?!)를 제외한 NT Workstation 3.1-Windows Server 2003

Windows XP에서 Windows 계열에 이상이 있습니까?

----------

Update4 : 달리 지정되지 않은 경우 동일한 작업 그룹 Windows XP Pro SP3

모든 MS 문서는 일반적으로 LocalSystem에만 있지만 SYSTEM은 아니지만 Windows XP에서 LocalSystem (서비스 로그온의 라디오 버튼 텍스트에 언급 된 "로컬 시스템"만)을 검색 할 수 없습니다. 이 질문은 Windows XP가 GUI 사용성 버그가있는 Windows OS에서 예외 / 예외라는 것을 이해 한 답변으로 표시되었습니다. 여기에서 다른 Windows에서 시나리오가 어떻게 나타날지 추측해야합니다 (여기의 답변을 통해) )

정확하지 않은 경우 다른 관점을 자유롭게 증명 / 공유하십시오


Update5 : 달리 지정되지 않은 경우 동일한 작업 그룹 Windows XP Pro SP3

벤 세레 모스!

Windows XP에서 "로컬 시스템"을 찾았습니다! services.msc의 "로그온 계정"열에 표시됩니다!


1
나는 이미 이것을 여러 번 말했다. "LocalSystem"은 "NT Authority \ System"과 동일합니다. 그것들은 동의어입니다. "시스템"은 일부 (혼란 생성) 특성을 공유하는 별도의 엔티티입니다.
sysadmin1138

작업 그룹 Windows XP Pro SP3에 "NT Authority \ System"이 없습니다. 난 단지 "MyCompName \ SYSTEM"이
나디 Vanin Геннадий Ванин

죄송합니다. 내 SYSTEM은 컴퓨터 계정이 아니며 ( "MyCompName \ SYSTEM"이 아님) Windows에 도메인에 가입하면 "NT Authority \ SYSTEM"이 될 것으로 생각합니다. 가입하기 전에 LocalSystem과 동의어입니까? 그리고 가입 후이 SYSTEM이 "NT Authority \ SYSTEM"이됩니까?
Gennady Vanin Геннадий Ванин

3
이 질문은 이제 읽을 수 없습니다. 짧게 정리할 수 있습니까? 문제는 짧고 간단 ^^ +1 경우 그것은 미래의 독자를 도움이 될 것이다
오스카 Duveborn

답변:


26

[명확하게 요약하면서 큰 대답을 wi습니다. 거친 이야기는 편집 기록을 참조하십시오.]

로컬 시스템에 대해 잘 알려진 단일 SID가 있습니다. 해당 KB 기사에서 찾은 S-1-5-18입니다. 이 SID는 역 참조 요청을 받으면 여러 이름을 반환합니다. 'cacls'명령 행 명령 (XP)은이를 " NT Authority\SYSTEM" 로 표시합니다 . 'icacls'명령 줄 명령 (Vista / Win7)에도이를 " NT Authority\SYSTEM" 로 표시합니다 . Windows 탐색기의 GUI 도구는 이것을 " SYSTEM" 로 표시합니다 . 서비스가 실행되도록 구성하면 " Local System" 로 표시됩니다 .

세 개의 이름, 하나의 SID.

작업 그룹에서 SID는 로컬 워크 스테이션에서만 의미가 있습니다. 다른 워크 스테이션에 액세스 할 때 SID는 이름 만 전송되지 않습니다. '로컬 시스템' 다른 시스템에 액세스 할 수 없습니다 .

도메인에서 상대 ID는 컴퓨터 계정이 해당 컴퓨터에 로컬이 아닌 리소스에 액세스 할 수있게하는 것입니다. 이는 Active Directory에 저장된 ID이며 모든 도메인 연결 컴퓨터에서 보안 원칙으로 사용됩니다. 이 ID는 S-1-5-18이 아닙니다. S-1-5-21 [domainSID]-[random] 형식입니다.

"로컬 서비스"로 서비스를 구성하면 서비스 가 S-1-5-18로 워크 스테이션 에 로컬 로그온 하도록합니다 . 그것은 하지 않습니다 어떤 종류의 도메인 자격 증명을 가지고있다.

"네트워크 서비스"또는 "NT AUTHORITY \ NetworkService와"와 같은 서비스 구성에 로그온하는 서비스를 말한다 도메인에 해당 컴퓨터의 도메인 계정으로, 그리고 도메인 리소스에 액세스 할 수 있습니다. Windows XP Service Configurator에는 "네트워크 서비스"를 로그인 유형으로 선택할 수 없습니다. SQL 설치 프로그램이있을 수 있습니다.

"네트워크 서비스"는 "로컬 시스템"이 할 수있는 모든 작업을 수행 할뿐만 아니라 도메인 리소스에 액세스 할 수 있습니다.

"네트워크 서비스"는 작업 그룹 컨텍스트에서 의미가 없습니다.

한마디로 :

NT Authority\System= Local System= SYSTEM=S-1-5-18

해당 시스템에없는 자원에 액세스하기 위해 서비스가 필요한 경우 다음 중 하나를 수행해야합니다.

  • 전용 로그인 사용자를 사용하여 서비스로 구성
  • "네트워크 서비스"를 사용하여 서비스로 구성하고 도메인에 속해

1
실제로 네트워크 서비스는 권한이 낮은 계정입니다. 로컬 시스템과 동일한 권한이 없습니다. 또한 도메인에서 로컬 시스템은 네트워크 서비스와 동일한 도메인 리소스에 액세스 할 수 있습니다. 즉, 컴퓨터 계정을 사용하여 로그인 할 수 있습니다.
Harry Johnston

이 사용자의 환경 변수 % USERNAME %은 어떻게 컴퓨터 이름 뒤에 달러 기호 "$"가 오나요?
rory.ap

@ rory.ap Windows NT로 거슬러 올라가는 고대의 관습에 따르면 숨겨진 계정 (및 파일 공유)에는 달러 기호 접미사가 있습니다. 그리고 숨겨진 것은 일부 디스플레이 도구에 나타나지 않음을 의미합니다.
sysadmin1138

3

"대부분의 서비스는 로컬 시스템 계정 의 보안 컨텍스트에서 실행 됩니다 (때로는 SYSTEM으로 표시되고 다른 경우 LocalSystem으로 표시됨)."

"... 로컬 시스템 계정은 세션 관리자 (smss.exe), Windows 하위 시스템 프로세스 (csrss.exe), 로컬 보안 기관 프로세스 ( lsass.exe) 및 로그온 프로세스 (winlogon.exe). "

"... 보안 측면에서 로컬 시스템 계정은 도메인이나 로컬 계정보다 훨씬 강력합니다."

-Windows 내부, 5 판 (288-289 페이지).

. \ LocalSystem으로 로그온하도록 서비스를 구성한 경우 프로세스 탐색기에서 작업 관리자의 시스템 또는 NT AUTHORITY \ SYSTEM으로 로그온 된 것으로 나타납니다.

Windows 7에서 로그온으로 설정된 서비스 : "로컬 시스템"계정의 작업 관리자 프로세스 탭에 "SYSTEM"이라는 사용자 이름이 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.