LocalSystem-account
Het LocalSystem-account is een vooraf gedefinieerd lokaal account dat wordt gebruikt door de servicebeheerbeheerder. Dit account wordt niet herkend door het beveiligingssubsysteem, dus u kunt de naam niet opgeven in een aanroep naar de LookupAccountName functie. Het heeft uitgebreide bevoegdheden op de lokale computer en fungeert als de computer op het netwerk. Het token bevat de NT AUTHORITY\SYSTEM en BUILTIN\Administrators SIDs; deze accounts hebben toegang tot de meeste systeemobjecten. De naam van het account in alle landinstellingen is .\LocalSystem. De naam, LocalSystem of ComputerName\LocalSystem kan ook worden gebruikt. Dit account heeft geen wachtwoord. Als u het LocalSystem-account opgeeft in een aanroep naar de CreateService of functie ChangeServiceConfig, worden alle wachtwoordgegevens die u opgeeft genegeerd.
Een service die wordt uitgevoerd in de context van het LocalSystem-account neemt de beveiligingscontext van de SCM over. De gebruikers-SID wordt gemaakt op basis van de SECURITY_LOCAL_SYSTEM_RID waarde. Het account is niet gekoppeld aan een aangemelde gebruikersaccount. Dit heeft verschillende gevolgen:
- De registersleutel HKEY_CURRENT_USER is gekoppeld aan de standaardgebruiker, niet aan de huidige gebruiker. Als u toegang wilt krijgen tot het profiel van een andere gebruiker, imiteert u de gebruiker en opent u vervolgens HKEY_CURRENT_USER.
- De service kan de registersleutel openen HKEY_LOCAL_MACHINE\SECURITY.
- De service geeft de referenties van de computer weer voor externe servers.
- Als de service een opdrachtvenster opent en een batchbestand uitvoert, kan de gebruiker op Ctrl+C drukken om het batchbestand te beƫindigen en toegang te krijgen tot een opdrachtvenster met LocalSystem-machtigingen.
Het LocalSystem-account heeft de volgende bevoegdheden:
- SE_ASSIGNPRIMARYTOKEN_NAME (uitgeschakeld)
- SE_AUDIT_NAME (ingeschakeld)
- SE_BACKUP_NAME (uitgeschakeld)
- SE_CHANGE_NOTIFY_NAME (ingeschakeld)
- SE_CREATE_GLOBAL_NAME (ingeschakeld)
- SE_CREATE_PAGEFILE_NAME (ingeschakeld)
- SE_CREATE_PERMANENT_NAME (ingeschakeld)
- SE_CREATE_TOKEN_NAME (uitgeschakeld)
- SE_DEBUG_NAME (ingeschakeld)
- SE_IMPERSONATE_NAME (ingeschakeld)
- SE_INC_BASE_PRIORITY_NAME (ingeschakeld)
- SE_INCREASE_QUOTA_NAME (uitgeschakeld)
- SE_LOAD_DRIVER_NAME (uitgeschakeld)
- SE_LOCK_MEMORY_NAME (ingeschakeld)
- SE_MANAGE_VOLUME_NAME (uitgeschakeld)
- SE_PROF_SINGLE_PROCESS_NAME (ingeschakeld)
- SE_RESTORE_NAME (uitgeschakeld)
- SE_SECURITY_NAME (uitgeschakeld)
- SE_SHUTDOWN_NAME (uitgeschakeld)
- SE_SYSTEM_ENVIRONMENT_NAME (uitgeschakeld)
- SE_SYSTEMTIME_NAME (uitgeschakeld)
- SE_TAKE_OWNERSHIP_NAME (uitgeschakeld)
- SE_TCB_NAME (ingeschakeld)
- SE_UNDOCK_NAME (uitgeschakeld)
De meeste services hebben zo'n hoog bevoegdheidsniveau niet nodig. Als uw service deze bevoegdheden niet nodig heeft en het geen interactieve service is, kunt u het LocalService-account gebruiken of het NetworkService-account. Zie Service Security and Access Rightsvoor meer informatie.