Dela via


LocalSystem-konto

LocalSystem-kontot är ett fördefinierat lokalt konto som används av tjänstkontrollhanteraren. Det här kontot känns inte igen av säkerhetsundersystemet, så du kan inte ange dess namn i ett anrop till funktionen LookupAccountName. Den har omfattande behörigheter på den lokala datorn och fungerar som datorn i nätverket. Dess token innehåller SID:erna NT AUTHORITY\SYSTEM och BUILTIN\Administrators; dessa konton har åtkomst till de flesta systemobjekt. Namnet på kontot i alla nationella inställningar är .\LocalSystem. Namnet LocalSystem eller ComputerName\LocalSystem kan också användas. Det här kontot har inget lösenord. Om du anger LocalSystem-kontot i ett anrop till funktionen CreateService eller ChangeServiceConfig ignoreras all lösenordsinformation som du anger.

En tjänst som körs i kontexten för LocalSystem-kontot ärver SCM:s säkerhetskontext. Användar-SID skapas från värdet SECURITY_LOCAL_SYSTEM_RID. Kontot är inte associerat med något loggat användarkonto. Detta har flera konsekvenser:

  • Registernyckeln HKEY_CURRENT_USER är associerad med standardanvändaren, inte den aktuella användaren. Om du vill komma åt en annan användares profil personifierar du användaren och kommer sedan åt HKEY_CURRENT_USER.
  • Tjänsten kan öppna registernyckeln HKEY_LOCAL_MACHINE\SECURITY.
  • Tjänsten visar datorns autentiseringsuppgifter för fjärrservrar.
  • Om tjänsten öppnar ett kommandofönster och kör en batchfil kan användaren trycka på CTRL+C för att avsluta batchfilen och få åtkomst till ett kommandofönster med LocalSystem-behörigheter.

LocalSystem-kontot har följande behörigheter:

  • SE_ASSIGNPRIMARYTOKEN_NAME (inaktiverad)
  • SE_AUDIT_NAME (aktiverad)
  • SE_BACKUP_NAME (inaktiverad)
  • SE_CHANGE_NOTIFY_NAME (aktiverad)
  • SE_CREATE_GLOBAL_NAME (aktiverad)
  • SE_CREATE_PAGEFILE_NAME (aktiverad)
  • SE_CREATE_PERMANENT_NAME (aktiverad)
  • SE_CREATE_TOKEN_NAME (inaktiverad)
  • SE_DEBUG_NAME (aktiverad)
  • SE_IMPERSONATE_NAME (aktiverad)
  • SE_INC_BASE_PRIORITY_NAME (aktiverad)
  • SE_INCREASE_QUOTA_NAME (inaktiverad)
  • SE_LOAD_DRIVER_NAME (inaktiverad)
  • SE_LOCK_MEMORY_NAME (aktiverad)
  • SE_MANAGE_VOLUME_NAME (inaktiverad)
  • SE_PROF_SINGLE_PROCESS_NAME (aktiverad)
  • SE_RESTORE_NAME (inaktiverad)
  • SE_SECURITY_NAME (inaktiverad)
  • SE_SHUTDOWN_NAME (inaktiverad)
  • SE_SYSTEM_ENVIRONMENT_NAME (inaktiverad)
  • SE_SYSTEMTIME_NAME (inaktiverad)
  • SE_TAKE_OWNERSHIP_NAME (inaktiverad)
  • SE_TCB_NAME (aktiverad)
  • SE_UNDOCK_NAME (inaktiverad)

De flesta tjänster behöver inte en så hög behörighetsnivå. Om tjänsten inte behöver dessa privilegier och den inte är en interaktiv tjänst kan du överväga att använda LocalService-kontot eller NetworkService-kontot. Mer information finns i Service Security and Access Rights.