Windows LocalSystem по сравнению с системой
У меня есть подобная установка. Корень обрабатывается mod_python, который выполняет экземпляр trac, и / документы обрабатывается dokuwiki, который использует php.
Единственный способ сделать эту работу состоял в том, чтобы использовать a LocationMatch директива, чтобы я должен был инвертировать, потому что trac использует вполне numer псевдокаталогов:
<LocationMatch "^/(?!docs)">
SetHandler mod_python
</LocationMatch>
[вытертый большой ответ, подводящий итог для ясности. См. историю редактирования для противного рассказа.]
Существует единственный известный SID для локальной системы. Это - S-1-5-18, когда Вы нашли из той статьи KB. Этот SID возвращает несколько имен при выяснении быть разыменованным. 'cacls' команда командной строки (XP) показывает это как"NT Authority\SYSTEM". 'icacls' команда (Vista/Win7) командной строки также показывает это как"NT Authority\SYSTEM". Инструменты GUI в Windows Explorer показывают это как"SYSTEM". При конфигурировании Сервиса для выполнения, это показывают как"Local System".
Три имени, один SID.
В Рабочих группах SID только имеет значение на локальной рабочей станции. При доступе к другой рабочей станции SID не передается просто имя. 'Локальная Система' не может получить доступ ни к каким другим системам.
В Доменах Относительный идентификатор - то, что позволяет Доступ к счету Машины ресурсам, не локальным для той одной машины. Это - идентификатор, сохраненный в Active Directory, и используется в качестве принципа защиты всеми соединенными с доменом машинами. Этот идентификатор не является S-1-5-18. Это в форме S-1-5-21[domainSID] - [случайно].
При конфигурировании сервиса, поскольку "Локальная служба" говорит сервису входить в систему локально рабочей станции как S-1-5-18. Это не будет иметь никаких Доменных учетных данных никакого вида.
Конфигурирование сервиса как "Сетевая служба" или "NT Authority\NetworkService" говорит сервису входить в систему домена как учетная запись домена той машины и будет иметь доступ к Доменным ресурсам. Сервисный Конфигуратор Windows XP не имеет способности выбрать "Сетевую службу" как тип входа в систему. Программа установки SQL могла бы.
"Сетевая служба" может сделать, все "Локальная Система" может, а также ресурсы домена доступа.
"Сетевая служба" не имеет никакого значения в контексте Рабочей группы.
Короче говоря:
NT Authority\System = Local System = SYSTEM = S-1-5-18
При необходимости в сервисе для доступа к ресурсам, не расположенным на той машине, Вы должны также:
- Настройте его как услуга использование преданного зарегистрированного пользователя
- Настройте его как услуга использующий "Сетевую службу" и принадлежите домену
-
1На самом деле Сетевая служба является учетной записью низкого полномочия. Это не имеет тех же полномочий как Локальная Система. Кроме того, в домене Локальная Система имеет тот же доступ к доменным ресурсам как Сетевая служба, т.е. это может войти в систему с помощью учетной записи компьютера. – Harry Johnston 20 October 2014 в 00:15
"Большинство сервисов, выполненных в контексте защиты локальной системной учетной записи (отображаемый иногда как СИСТЕМА и другие времена как LocalSystem)".
"... Локальная системная учетная запись является той же учетной записью в который базовые выполненные компоненты операционной системы непривилегированного режима Windows, включая Менеджер сеансов (smss.exe), процесс подсистемы Windows (csrss.exe), процесс полномочий Локальной защиты (lsass.exe) и процесс Входа в систему (winlogon.exe)".
"... С точки зрения безопасности локальная системная учетная запись чрезвычайно мощна - более мощный, чем какая-либо доменная или локальная учетная запись".
- Windows Internals, 5-й выпуск (страница 288 - 289).
Обратите внимание, что при конфигурировании сервиса для вхождения в систему как.\LocalSystem, это все еще появится, как вошел в систему как NT AUTHORITY\SYSTEM в Проводнике Процесса или Система в Диспетчере задач.
В Windows 7 сервис установил для Вхождения в систему как: "Локальная Система" учетная запись имеет Имя пользователя "СИСТЕМА" на вкладке Task Manager Processes.