Vraag Hoe kan ik netwerktoegang verlenen tot een LocalSystem-account?


Hoe verleent u toegang tot netwerkbronnen aan de LocalSystem (NT AUTHORITY \ SYSTEM) account?


Achtergrond

Bij toegang tot het netwerk, het LocalSystem-account fungeert als de computer op het netwerk:

LocalSystem Account

De LocalSystem-account is een vooraf gedefinieerde lokale account die wordt gebruikt door de servicebesturingsbeheerder.

... en fungeert als de computer op de   netwerk.

Of om hetzelfde nog een keer te zeggen: het LocalSystem-account fungeert als de computer op het netwerk:

Wanneer een service wordt uitgevoerd onder de   LocalSystem-account op een computer die   is een domeinlid, de service heeft   welke netwerktoegang ook wordt verleend   het computeraccount of groepen   waarvan het computeraccount een is   lid.

Hoe kan iemand een "computer"toegang tot een gedeelde map en bestanden?


Notitie:

Computeraccounts hebben meestal weinig   privileges en behoren niet toe aan   groepen.

Dus hoe zou ik een computer toegang geven tot een van mijn aandelen; gezien dat "Iedereen"heeft al toegang?

Notitie: werkgroep

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |

56
2018-04-26 14:19


oorsprong


Deze vraag is enigszins gerelateerd aan de eerdere vraag met betrekking tot het inschakelen van anonieme toegang tot een share - het lijkt tenminste op te lossen met een anoniem toegankelijk aandeel. - CodeFox


antwoorden:


In een domeinomgeving kunt u toegangsrechten verlenen voor computeraccounts; dit is van toepassing op processen die op die computers worden uitgevoerd LocalSystem of NetworkService (maar niet LocalService, welke heeft helemaal geen toegang tot het netwerk presenteert anonieme inloggegevens op het netwerk) wanneer ze verbinding maken met externe systemen.

Dus als je een computer hebt die is genoemd MANGO, je hebt een Active Directory-computeraccount genaamd MANGO$, waaraan u toestemmingen kunt verlenen.

enter image description here

Notitie: U kunt dit niet doen in een werkgroepomgeving; dit is alleen van toepassing op domeinen.


54
2018-04-26 14:34



+1 en geaccepteerd. Maar: Plaatselijke dienst kan toegang krijgen tot het netwerk, het "geeft alleen anonieme inloggegevens op het netwerk weer" (msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx) - Ian Boyd
Wist dat niet, bedankt. - Massimo
Om maar te zwijgen: na een niet te verwaarlozen hoeveelheid tijd geprobeerd te hebben om dit voor meerdere domeinen te laten werken, denk ik niet dat het mogelijk is. d.w.z. \\ DOMAIN2 \ MANGO $ lijkt geen toegang te verlenen. - BennyB
Dit werkt alleen als de domeinen zich in een vertrouwensrelatie bevinden; anders heb je gelijk, het werkt niet. - Massimo
Ik dacht dat alledaagse groepen zowel geverifieerde gebruikers als local_service en local_system account bevatten? - kakacii


Jij niet. Als u een service nodig hebt om verbinding te maken met externe bestanden of andere netwerkservices, moet u de service laten uitvoeren als een benoemd account en op het externe apparaat rechten toewijzen aan dat benoemde account.

Het zou echt het beste zijn als je volledig uitlegt wat je probeert te doen - op die manier krijg je de beste antwoorden.


4
2018-04-26 14:40



Helemaal niet juist. U kunt machtigingen verlenen aan computeraccounts (en dus aan services die als deze worden uitgevoerd) op dezelfde manier als u ze aan gebruikersaccounts kunt verlenen. Er zijn natuurlijk scenario's waar dit misschien niet de beste oplossing is, maar het is perfect te doen. - Massimo
@Massimo: mfinni wil niet zeggen dat je dit technisch niet kunt doen, maar dat je het niet wilt doen. Het is het beste om de service als een benoemd account uit te voeren. - Josh Brower
Het antwoord zag er precies zo uit, dit is de reden voor mijn downvote; Ook lijkt de originele poster heel goed het verschil te kennen tussen een gebruikersaccount en een computer, dus het beantwoorden van zijn vraag met "doe dat niet" leek me gewoon niet goed. - Massimo
In een werkgroepomgeving kunt u geen rechten op MachineB toewijzen aan een gebruikersaccount die in MachineA is gedefinieerd ... daarnaast is hem specifiek gevraagd hoe rechten aan een gebruiker worden toegewezen maschine account, dus dat is waar ik op antwoordde; en ik zei ook dat dit niet mogelijk was zonder een domein. - Massimo
Ian - als dat is wat u zoekt, is het meestal een beter idee om de SQL Server Agent en het bijbehorende account te gebruiken of gebruik Integratieservices. U kunt meer detail krijgen wanneer u een gedetailleerde vraag stelt en deze kan nog steeds erg van toepassing zijn op situaties van andere lezers. - mfinni


Het is simpel:

Plaats het AD-account van het apparaat in de lokale beheerdersgroep en dan deze Machine (of zijn Lokale Admin Account) kan volledig toegang tot de bestemming OVER het netwerk. Vandaag getest, werkt prima.


0
2017-08-28 09:39



Hoewel dit functioneel is, wordt het NIET aanbevolen of de beste werkwijze. De Local System account wordt om een ​​reden lokaal genoemd. Als u wilt dat iets netwerktoegang heeft, moet de service of anderszins worden gewijzigd om als een andere gebruiker te worden uitgevoerd. Dit zou hetzelfde zijn als het verlenen van de guest account op toegang van een machinebeheerder. Het zou werken, maar dat verslaat het doel waarvoor het is gebouwd. - Cory Knutson