Поделиться через

Использование учетной записи LocalSystem в качестве учетной записи входа в службу

  • Статья

Одним из преимуществ выполнения в учетной записи LocalSystem является то, что служба имеет неограниченный доступ к локальным ресурсам. Это также недостаток LocalSystem, так как служба LocalSystem может сделать все, что приведет ко всей системе. В частности, служба, запущенная как LocalSystem на контроллере домена (DC), имеет неограниченный доступ к службам домен Active Directory. Это означает, что ошибки в службе или атаки системы безопасности могут повредить систему или, если служба находится на контроллере домена, повредить всю корпоративную сеть.

По этим причинам администраторы домена в конфиденциальных установках будут осторожны в том, чтобы службы могли запускаться как LocalSystem. На самом деле, они могут иметь политику против нее, особенно на контроллерах домена. Если служба должна выполняться как LocalSystem, документация для службы должна оправдать администраторов домена причинами предоставления службе права на выполнение с повышенными привилегиями. Службы никогда не должны выполняться как LocalSystem на контроллере домена. Дополнительные сведения и пример кода, в котором показано, как служба или установщик служб могут определить, работает ли он на контроллере домена, см. в разделе "Тестирование выполнения на контроллере домена".

Если служба выполняется под учетной записью LocalSystem на компьютере, который является членом домена, служба имеет любой сетевой доступ к учетной записи компьютера или к любым группам, в которых является учетная запись компьютера. Помните, что в Windows 2000 учетная запись компьютера домена — это субъект-служба, аналогичная учетной записи пользователя. Это означает, что учетная запись компьютера может находиться в группе безопасности, а ACE в дескрипторе безопасности может предоставить доступ к учетной записи компьютера.

Обратите внимание, что добавление учетных записей компьютеров в группы не рекомендуется по двум причинам:

  • Учетные записи компьютеров подлежат удалению и повторному созданию, если компьютер покидает, а затем повторно присоединится к домену.
  • При добавлении учетной записи компьютера в группу все службы, работающие как LocalSystem на этом компьютере, разрешены права доступа группы. Это связано с тем, что все службы LocalSystem совместно используют учетную запись компьютера сервера узла. По этой причине особенно важно, чтобы учетные записи компьютеров не были сделаны членами каких-либо групп администраторов домена.

Учетные записи компьютеров обычно имеют несколько привилегий и не принадлежат группам. Защита ACL по умолчанию в службах домен Active Directory (AD DS) обеспечивает минимальный доступ для учетных записей компьютеров. Следовательно, службы, работающие как LocalSystem, на компьютерах, отличных от контроллеров домена, имеют только минимальный доступ к AD DS.

Если служба выполняется в LocalSystem, необходимо протестировать службу на сервере-члене, чтобы убедиться, что служба имеет достаточные права на чтение и запись в контроллеры домен Active Directory. Контроллер домена не должен быть единственным компьютером Windows, на котором вы тестируете службу. Помните, что служба, запущенная под управлением LocalSystem на контроллере домена Windows, имеет полный доступ к AD DS и что сервер-член выполняется в контексте учетной записи компьютера, которая имеет значительно меньше прав.