LocalSystem-konto
LocalSystem-kontot är ett fördefinierat lokalt konto som används av tjänstkontrollhanteraren. Det här kontot känns inte igen av säkerhetsundersystemet, så du kan inte ange dess namn i ett anrop till funktionen LookupAccountName. Den har omfattande behörigheter på den lokala datorn och fungerar som datorn i nätverket. Dess token innehåller SID:erna NT AUTHORITY\SYSTEM och BUILTIN\Administrators; dessa konton har åtkomst till de flesta systemobjekt. Namnet på kontot i alla nationella inställningar är .\LocalSystem. Namnet LocalSystem eller ComputerName\LocalSystem kan också användas. Det här kontot har inget lösenord. Om du anger LocalSystem-kontot i ett anrop till funktionen CreateService eller ChangeServiceConfig ignoreras all lösenordsinformation som du anger.
En tjänst som körs i kontexten för LocalSystem-kontot ärver SCM:s säkerhetskontext. Användar-SID skapas från värdet SECURITY_LOCAL_SYSTEM_RID. Kontot är inte associerat med något loggat användarkonto. Detta har flera konsekvenser:
- Registernyckeln HKEY_CURRENT_USER är associerad med standardanvändaren, inte den aktuella användaren. Om du vill komma åt en annan användares profil personifierar du användaren och kommer sedan åt HKEY_CURRENT_USER.
- Tjänsten kan öppna registernyckeln HKEY_LOCAL_MACHINE\SECURITY.
- Tjänsten visar datorns autentiseringsuppgifter för fjärrservrar.
- Om tjänsten öppnar ett kommandofönster och kör en batchfil kan användaren trycka på CTRL+C för att avsluta batchfilen och få åtkomst till ett kommandofönster med LocalSystem-behörigheter.
LocalSystem-kontot har följande behörigheter:
- SE_ASSIGNPRIMARYTOKEN_NAME (inaktiverad)
- SE_AUDIT_NAME (aktiverad)
- SE_BACKUP_NAME (inaktiverad)
- SE_CHANGE_NOTIFY_NAME (aktiverad)
- SE_CREATE_GLOBAL_NAME (aktiverad)
- SE_CREATE_PAGEFILE_NAME (aktiverad)
- SE_CREATE_PERMANENT_NAME (aktiverad)
- SE_CREATE_TOKEN_NAME (inaktiverad)
- SE_DEBUG_NAME (aktiverad)
- SE_IMPERSONATE_NAME (aktiverad)
- SE_INC_BASE_PRIORITY_NAME (aktiverad)
- SE_INCREASE_QUOTA_NAME (inaktiverad)
- SE_LOAD_DRIVER_NAME (inaktiverad)
- SE_LOCK_MEMORY_NAME (aktiverad)
- SE_MANAGE_VOLUME_NAME (inaktiverad)
- SE_PROF_SINGLE_PROCESS_NAME (aktiverad)
- SE_RESTORE_NAME (inaktiverad)
- SE_SECURITY_NAME (inaktiverad)
- SE_SHUTDOWN_NAME (inaktiverad)
- SE_SYSTEM_ENVIRONMENT_NAME (inaktiverad)
- SE_SYSTEMTIME_NAME (inaktiverad)
- SE_TAKE_OWNERSHIP_NAME (inaktiverad)
- SE_TCB_NAME (aktiverad)
- SE_UNDOCK_NAME (inaktiverad)
De flesta tjänster behöver inte en så hög behörighetsnivå. Om tjänsten inte behöver dessa privilegier och den inte är en interaktiv tjänst kan du överväga att använda LocalService-kontot eller NetworkService-kontot. Mer information finns i Service Security and Access Rights.