Compartir a través de


Uso de la cuenta LocalSystem como una cuenta de inicio de sesión de servicio

Una ventaja de ejecutarse en la cuenta localSystem es que el servicio tiene acceso completo sin restricciones a los recursos locales. Esto también es una desventaja de LocalSystem porque un servicio LocalSystem puede hacer cosas que reducirían todo el sistema. En concreto, un servicio que se ejecuta como LocalSystem en un controlador de dominio (DC) tiene acceso sin restricciones a Servicios de dominio de Active Directory. Esto significa que los errores en el servicio o los ataques de seguridad en el servicio pueden dañar el sistema o, si el servicio está en un controlador de dominio, dañar toda la red empresarial.

Por estos motivos, los administradores de dominio en instalaciones confidenciales tendrán cuidado de permitir que los servicios se ejecuten como LocalSystem. De hecho, pueden tener directivas contra ella, especialmente en los controladores de dominio. Si el servicio debe ejecutarse como LocalSystem, la documentación del servicio debe justificar a los administradores de dominio las razones para conceder al servicio el derecho a ejecutarse con privilegios elevados. Los servicios nunca deben ejecutarse como LocalSystem en un controlador de dominio. Para obtener más información y un ejemplo de código que muestra cómo un instalador de servicio o servicio puede determinar si se ejecuta en un controlador de dominio, vea Probar si se ejecuta en un controlador de dominio.

Cuando un servicio se ejecuta en la cuenta LocalSystem de un equipo que es miembro de dominio, el servicio tiene el acceso de red que se concede a la cuenta de equipo o a los grupos de los que es miembro la cuenta de equipo. Tenga en cuenta que, en Windows 2000, una cuenta de equipo de dominio es una entidad de servicio, similar a una cuenta de usuario. Esto significa que una cuenta de equipo puede estar en un grupo de seguridad y una ACE en un descriptor de seguridad puede conceder acceso a una cuenta de equipo.

Tenga en cuenta que no se recomienda agregar cuentas de equipo a grupos por dos motivos:

  • Las cuentas de equipo están sujetas a eliminación y re-creación si el equipo deja y, a continuación, vuelve a unir el dominio.
  • Si agrega una cuenta de equipo a un grupo, todos los servicios que se ejecutan como LocalSystem en ese equipo tienen permitidos los derechos de acceso del grupo. Esto se debe a que todos los servicios LocalSystem comparten la cuenta de equipo de su servidor host. Por este motivo, es especialmente importante que las cuentas de equipo no sean miembros de ningún grupo de administradores de dominio.

Las cuentas de equipo suelen tener pocos privilegios y no pertenecen a grupos. La protección predeterminada de ACL en Servicios de dominio de Active Directory (AD DS) permite un acceso mínimo para las cuentas de equipo. Por lo tanto, los servicios que se ejecutan como LocalSystem, en equipos distintos de los controladores de dominio, solo tienen acceso mínimo a AD DS.

Si el servicio se ejecuta en LocalSystem, debe probar el servicio en un servidor miembro para asegurarse de que el servicio tiene derechos suficientes para leer y escribir en controladores de Dominio de Active Directory. Un controlador de dominio no debe ser el único equipo Windows en el que pruebe el servicio. Tenga en cuenta que un servicio que se ejecuta en LocalSystem en un controlador de dominio de Windows tiene acceso completo a AD DS y que un servidor miembro se ejecuta en el contexto de la cuenta de equipo que tiene considerablemente menos derechos.