LocalSystem アカウントをサービス ログオン アカウントとして使用する

LocalSystem アカウントで実行する利点の 1 つは、サービスがローカル リソースに無制限にアクセスできるという点です。 LocalSystem サービスではシステム全体がダウンする可能性があるため、これは LocalSystem の欠点でもあります。 特に、ドメイン コントローラー (DC) で LocalSystem として実行されているサービスは、Active Directory ドメイン サービスに無制限にアクセスできます。 つまり、サービスのバグや、サービスに対するセキュリティ攻撃によってシステムが破損したり、サービスが DC 上にある場合、エンタープライズ ネットワーク全体が損傷したりする可能性があります。

このような理由から、機密性の高いインストールの管理者はサービスが LocalSystem として実行されることへの許可を慎重に行ってください。 実際、特に DC に関しては、それを禁止するポリシーがある可能性があります。 サービスを LocalSystem として実行する必要がある場合は、サービスのドキュメントで、ドメイン管理者に昇格された特権で実行する権利をサービスに与える理由を正当化する必要があります。 ドメイン コントローラーでは、サービスを LocalSystem として実行しないでください。 詳細と、サービスまたはサービス インストーラーがドメイン コントローラー上で実行されているかどうかを判断する方法を示すコード例については、「ドメイン コントローラーで実行されているかどうかをテストする」を参照してください。

ドメイン メンバーであるコンピューター上の LocalSystem アカウントで サービスが実行される場合、そのサービスは、そのコンピューター アカウント、 またはそのコンピューター アカウントがメンバーであるグループに付与されているネットワーク アクセス権を持ちます。 Windows 2000 では、ドメイン コンピューター アカウントはユーザー アカウントと同様のサービス プリンシパルであることに注意してください。 つまり、コンピューター アカウントはセキュリティ グループ内に存在でき、セキュリティ記述子の ACE はコンピューター アカウントへのアクセスを許可できます。

コンピューター アカウントをグループに追加することは、次の 2 つの理由から推奨されません。

• コンピューターがドメインから離脱し、再度参加すると、コンピューター アカウントが削除され、再作成される可能性がある。
• コンピューター アカウントをグループに追加すると、そのコンピューターで LocalSystem として実行されているすべてのサービスに、そのグループのアクセス権が付与される。 これは、すべての LocalSystem サービスがホスト サーバーのコンピューター アカウントを共有するためです。 このため、コンピューター アカウントをドメイン管理者グループのメンバーにしないことが特に重要です。

通常、コンピューター アカウントには特権がほとんどなく、グループには属していません。 Active Directory ドメイン サービス (AD DS) の既定の ACL 保護では、コンピューター アカウントへの最小限のアクセスが許可されます。 そのため、DC 以外のコンピューターで LocalSystem として実行されているサービスは、AD DS へのアクセスが最小限に抑えられます。

サービスが LocalSystem で実行されている場合は、メンバー サーバーでサービスをテストして、サービスが Active Directory ドメイン コントローラーに対する読み取り/書き込み権限を持っていることを確認する必要があります。 ドメイン コントローラーは、サービスをテストする唯一の Windows コンピューターではありません。 Windows ドメイン コントローラー上の LocalSystem で実行されているサービスは、AD DS への完全なアクセス権を持ち、メンバー サーバーは、権限が大幅に少ないコンピューター アカウントのコンテキストで実行されていることに注意してください。