Condividi tramite

Uso dell'account localSystem come account di accesso al servizio

  • Articolo

Uno dei vantaggi dell'esecuzione con l'account LocalSystem è che il servizio ha accesso illimitato alle risorse locali. Si tratta anche di uno svantaggio di LocalSystem perché un servizio LocalSystem può eseguire operazioni che porterebbe l'intero sistema inattivo. In particolare, un servizio in esecuzione come LocalSystem in un controller di dominio (DC) ha accesso illimitato ai servizi di Dominio di Active Directory. Ciò significa che i bug nel servizio o gli attacchi alla sicurezza sul servizio possono danneggiare il sistema o, se il servizio si trova in un controller di dominio, danneggiare l'intera rete aziendale.

Per questi motivi, gli amministratori di dominio nelle installazioni sensibili saranno cauti per consentire l'esecuzione dei servizi come LocalSystem. Infatti, potrebbero avere criteri contro di esso, soprattutto nei controller di dominio. Se il servizio deve essere eseguito come LocalSystem, la documentazione per il servizio deve giustificare agli amministratori di dominio i motivi per concedere al servizio il diritto di esecuzione con privilegi elevati. I servizi non devono mai essere eseguiti come LocalSystem in un controller di dominio. Per altre informazioni e un esempio di codice che illustra come un servizio o un programma di installazione del servizio può determinare se è in esecuzione in un controller di dominio, vedere Testing Whether Running on a Domain Controller.For more information and a code example that shows how a service or service installer can determine if it is running on a domain controller, see Testing Whether Running on a Domain Controller.

Quando un servizio viene eseguito con l'account LocalSystem in un computer membro di dominio, il servizio dispone di qualsiasi accesso di rete concesso all'account computer o a qualsiasi gruppo di cui l'account computer è membro. Tenere presente che, in Windows 2000, un account computer di dominio è un'entità servizio, simile a un account utente. Ciò significa che un account computer può trovarsi in un gruppo di sicurezza e un ace in un descrittore di sicurezza può concedere l'accesso a un account computer.

Tenere presente che l'aggiunta di account computer a gruppi non è consigliata per due motivi:

  • Gli account computer sono soggetti a eliminazione e ricreazione se il computer esce e quindi rielabora il dominio.
  • Se si aggiunge un account computer a un gruppo, tutti i servizi in esecuzione come LocalSystem in tale computer sono autorizzati ai diritti di accesso del gruppo. Ciò è dovuto al fatto che tutti i servizi LocalSystem condividono l'account computer del server host. Per questo motivo, è particolarmente importante che gli account computer non siano membri di alcun gruppo di amministratori di dominio.

Gli account computer hanno in genere pochi privilegi e non appartengono ai gruppi. La protezione ACL predefinita in Dominio di Active Directory Services (AD DS) consente l'accesso minimo per gli account computer. Di conseguenza, i servizi in esecuzione come LocalSystem, in computer diversi dai controller di dominio, hanno solo accesso minimo ad Active Directory Domain Services.

Se il servizio viene eseguito in LocalSystem, è necessario testare il servizio in un server membro per assicurarsi che il servizio disponga di diritti sufficienti per la lettura/scrittura nei controller di Dominio di Active Directory. Un controller di dominio non deve essere l'unico computer Windows in cui si testa il servizio. Tenere presente che un servizio in esecuzione in LocalSystem in un controller di dominio Windows ha accesso completo ad Active Directory Domain Services e che un server membro viene eseguito nel contesto dell'account computer che dispone di diritti notevolmente minori.