Запутан в учетных записях LocalSystem и LocalService

Question

Я новичок в программировании служб Windows. У меня есть путаница о том, что установить тип учетной записи при написании служб Windows.

Как выбрать или как определить, какой тип учетной записи нам нужно установить при написании услуги?

Answer 1

Обычно мы создаем специальные учетные записи Windows (локальные для локального доступа или учетную запись домена для вещей, которые должны проходить проверку подлинности в сети) для запуска пользовательских служб. Таким образом, мы можем ограничить и заблокировать разрешения, чтобы обеспечить доступ только к тому, что нам нужно. Вы также можете увидеть, какие именно пользователи являются преступниками или занимающимися ресурсом с мониторингом на общем сервере.

Что касается встроенных учетных записей ...

Локальная система: Встроенная учетная запись пользователя LocalSystem имеет высокий уровень прав доступа; входит в группу администраторов.

Сетевой сервис: Встроенная учетная запись пользователя сетевой службы имеет меньше прав доступа в системе, чем учетная запись пользователя LocalSystem, но учетная запись пользователя сетевой службы по-прежнему может взаимодействовать во всей сети с учетными данными учетной записи компьютера.

Местное обслуживание: Встроенная учетная запись пользователя локальной службы имеет меньше прав доступа к компьютеру, чем учетная запись пользователя сетевой службы, и эти права пользователя ограничены локальным компьютером. Используйте учетную запись пользователя локальной службы, если рабочий процесс не требует доступа вне сервера, на котором он запущен. Источник (ы): Microsoft Technet

Answer 2

LocalSystem

Учетная запись LocalSystem является предопределенной локальной учетной записью, используемой диспетчером управления службами. Эта учетная запись не распознается подсистемой безопасности, поэтому вы не можете указать ее имя при вызове функции LookupAccountName.

Он имеет широкие привилегии на локальном компьютере и действует как компьютер в сети. Его токен включает идентификаторы NT AUTHORITY \ SYSTEM и BUILTIN \ Administrators; эти учетные записи имеют доступ к большинству системных объектов. Имя учетной записи во всех локалях -. \ LocalSystem. Имя, LocalSystem или ComputerName \ LocalSystem также могут быть использованы. Эта учетная запись не имеет пароля. Если вы укажете учетную запись LocalSystem в вызове функции CreateService или ChangeServiceConfig, любая предоставленная вами информация о пароле игнорируется.

NetworkService

Учетная запись NetworkService является предопределенной локальной учетной записью, используемой диспетчером управления службами. Эта учетная запись не распознается подсистемой безопасности, поэтому вы не можете указать ее имя при вызове функции LookupAccountName. Он имеет минимальные привилегии на локальном компьютере и действует как компьютер в сети.

Эта учетная запись может быть указана при вызове функций CreateService и ChangeServiceConfig. Обратите внимание, что эта учетная запись не имеет пароля, поэтому любая информация о пароле, которую вы предоставляете в этом вызове, игнорируется. Хотя подсистема безопасности локализует это имя учетной записи, SCM не поддерживает локализованные имена. Следовательно, вы получите локализованное имя для этой учетной записи из функции LookupAccountSid, но имя учетной записи должно быть NT AUTHORITY \ NetworkService, когда вы вызываете CreateService или ChangeServiceConfig, независимо от локали, иначе могут возникнуть непредвиденные результаты.

Служба, которая работает в контексте учетной записи NetworkService, представляет учетные данные компьютера удаленным серверам. По умолчанию удаленный токен содержит SID для групп «Все» и «Прошедшие проверку». SID пользователя создается из значения SECURITY_NETWORK_SERVICE_RID.

У учетной записи NetworkService есть собственный подраздел в разделе реестра HKEY_USERS. Поэтому ключ реестра HKEY_CURRENT_USER связан с учетной записью NetworkService.