Freigeben über

Verwenden des LocalSystem-Kontos als Dienstanmeldungskonto

  • Artikel

Ein Vorteil der Ausführung unter dem LocalSystem-Konto besteht darin, dass der Dienst uneingeschränkten Zugriff auf lokale Ressourcen hat. Dies ist auch ein Nachteil von LocalSystem, da ein LocalSystem-Dienst Dinge ausführen kann, die das gesamte System herunterbringen würden. Insbesondere hat ein Dienst, der als LocalSystem auf einem Domänencontroller (DC) ausgeführt wird, uneingeschränkten Zugriff auf Active Directory-Domäne Dienste. Dies bedeutet, dass Fehler im Dienst oder Sicherheitsangriffe auf den Dienst das System beschädigen können oder, wenn sich der Dienst auf einem DC befindet, das gesamte Unternehmensnetzwerk beschädigen.

Aus diesen Gründen sind Domänenadministratoren bei sensiblen Installationen vorsichtig, wenn Dienste als LocalSystem ausgeführt werden können. In der Tat können sie Maßnahmen gegen sie haben, insbesondere auf den DCs. Wenn Ihr Dienst als LocalSystem ausgeführt werden muss, sollte die Dokumentation für Ihren Dienst domänenadministratoren die Gründe für die Gewährung des Diensts für die Ausführung mit erhöhten Rechten rechtfertigen. Dienste sollten niemals als LocalSystem auf einem Domänencontroller ausgeführt werden. Weitere Informationen und ein Codebeispiel, das zeigt, wie ein Dienst- oder Dienstinstallationsprogramm ermitteln kann, ob er auf einem Domänencontroller ausgeführt wird, finden Sie unter Testen, ob er auf einem Domänencontroller ausgeführt wird.

Wenn ein Dienst unter dem LocalSystem-Konto auf einem Computer ausgeführt wird, der ein Domänenmitglied ist, verfügt der Dienst über einen beliebigen Netzwerkzugriff auf das Computerkonto oder auf gruppen, deren Computerkonto Mitglied ist. Beachten Sie, dass in Windows 2000 ein Domänencomputerkonto ein Dienstprinzipal ist, ähnlich wie ein Benutzerkonto. Dies bedeutet, dass sich ein Computerkonto in einer Sicherheitsgruppe befinden kann und eine ACE in einem Sicherheitsdeskriptor Zugriff auf ein Computerkonto gewähren kann.

Beachten Sie, dass das Hinzufügen von Computerkonten zu Gruppen aus zwei Gründen nicht empfohlen wird:

  • Computerkonten unterliegen dem Löschen und erneuten Erstellen, wenn der Computer die Domäne verlässt und dann erneut beitritt.
  • Wenn Sie einer Gruppe ein Computerkonto hinzufügen, sind alle Dienste, die als LocalSystem auf diesem Computer ausgeführt werden, die Zugriffsrechte der Gruppe gestattet. Dies liegt daran, dass alle LocalSystem-Dienste das Computerkonto ihres Hostservers gemeinsam nutzen. Aus diesem Grund ist es besonders wichtig, dass Computerkonten keine Mitglieder von Domänenadministratorgruppen werden.

Computerkonten verfügen in der Regel über wenige Berechtigungen und gehören nicht zu Gruppen. Der Standardmäßige ACL-Schutz in Active Directory-Domäne Services (AD DS) ermöglicht minimalen Zugriff für Computerkonten. Folglich haben Dienste, die als LocalSystem ausgeführt werden, auf anderen Computern als DCs nur minimalen Zugriff auf AD DS.

Wenn Ihr Dienst unter "LocalSystem" ausgeführt wird, müssen Sie ihren Dienst auf einem Mitgliedsserver testen, um sicherzustellen, dass Ihr Dienst über ausreichende Rechte zum Lesen/Schreiben an Active Directory-Domäne Controller verfügt. Ein Domänencontroller sollte nicht der einzige Windows-Computer sein, auf dem Sie Ihren Dienst testen. Beachten Sie, dass ein Dienst, der unter "LocalSystem" auf einem Windows-Domänencontroller ausgeführt wird, vollständigen Zugriff auf AD DS hat und dass ein Mitgliedsserver im Kontext des Computerkontos ausgeführt wird, das wesentlich weniger Rechte hat.