Local System/Network Service/Local Service权限介绍

2018-03-29 09:11:00
六月
来源:
https://www.cnblogs.com/wbydoc/archive/2013/03/20/2970675.html
转贴 1524

1.Local   System (本地系统):
该账户具有相当高的权限。
首先,该账户也隶属于本地Administrators   用户组,因此所有本地Administrators用户能够进行的操作该账户也能够进行,
其次,该账户还能够控制文件的权限(NTFS   文件系统)和注册表权限,甚至占据所有者权限来取得访问资格。
如果机器处于域中,那么运行于Local   System   账户下的服务还可以使用机器账户在同一个森林中得到其他机器的自动认证,
最后一点就是运行于Local   System   下的进程能够使用空会话(null   session)去访问网络资源。
而且,其他一些Windows 用户模式下的核心组件也运行于该账户下,例如system32Smss.exe 等。
需要注意的是,运行于此账户下的进程使用的是HKEY_USERS.Default 账户配置,因此它不能够访问其他账户的配置。

举例来说,以LocalSystem账户运行的服务主要有:WindowsUpdate   Client、   Clipbook、Com+、DHCP   Client、Messenger  

Service、Task   Scheduler、Server   Service、Workstation   Service,还有Windows   Installer。

2.Network   Service(网路服务):
该账户也是为了使用机器账户在网络上的其他计算机上认证而设定的。但是他没有Local   System   那么多的权限。
它能够以计算机的名义访问网络资源。以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。
运行于此账户下的进程使用网络账户配置文件HKEY_USERSS-1-5-20和Documents and SettingsNetworkService。 
举例来说,以Network   Service账户运行的服务主要有:Distributed   Transaction   Coordinator、DNS   Client、

Performance   Logs   and   Alerts,还有RPC   Locator。

 

3.Local   Service(本地服务):
Local   Service账户是预设的拥有最小权限的本地账户,并在网络凭证中具有匿名的身份。
运行于此账户下的进程和运行于Network   Service   账户下的进程的区别
在于运行于Local   Service   账户下的进程只能访问允许匿名访问的网络资源。
运行于Local   Service   下的账户使用的配置文件是HKUS-1-5-19   和Documents   and   SettingsLocalService。

举例来说,以Local   Service账户运行的服务主要有:Alerter、Remote   Registry、Smart   Card、SSDP,还有WebClient。

 

  Local System/Network Service/Local Service权限列表 

  1、 本地系统:

内置帐户,该帐户具有较高的访问权限级别。如果工作进程标识作为“本地系统”帐户运行,则该工作进程具有整个系统的完全访问权限

 

2、网络服务

 

内置帐户,该帐户的系统访问权限比“本地系统”帐户少,但仍能通过网络与计算机帐户的凭据进行交互。对于 IIS 6.0,建议以“网络服务”帐户的身份运行为应用程序池定义的工作进程标识。默认情况下,该工作进程标识以“网络服务”帐户的身份运行。

默认的用户权限:

  • 替换进程级令牌 (SeAssignPrimaryTokenPrivilege)
  • 调整进程的内存配额 (SeIncreaseQuotaPrivilege)
  • 生成安全审核 (SeAuditPrivilege)
  • 忽略遍历检查 (SeChangeNotifyPrivilege)
  • 从网络访问此计算机 (SeNetworkLogonRight)
  • 作为批处理作业登录 (SeBatchLogonRight)
  • 作为服务登录 (SeInteractiveLogonRight)
  • 允许本地登录 (SeInteractiveLogonRight)  

 

3、本地服务

内置帐户,该帐户的计算机访问权限比“网络服务”帐户少,并且该帐户的用户权限仅限于本地计算机。如果工作进程不需要访问所在服务器之外的地方,则可以使用“本地服务”帐户。 默认用户权限:

  • 替换进程级令牌 (SeAssignPrimaryTokenPrivilege)
  • 调整进程的内存配额 (SeIncreaseQuotaPrivilege)
  • 生成安全审核 (SeAuditPrivilege)
  • 忽略遍历检查 (SeChangeNotifyPrivilege)
  • 从网络访问此计算机 (SeNetworkLogonRight)
    • 作为批处理作业登录 (SeBatchLogonRight)

      1.Local   System (本地系统):
      该账户具有相当高的权限。
      首先,该账户也隶属于本地Administrators   用户组,因此所有本地Administrators用户能够进行的操作该账户也能够进行,
      其次,该账户还能够控制文件的权限(NTFS   文件系统)和注册表权限,甚至占据所有者权限来取得访问资格。
      如果机器处于域中,那么运行于Local   System   账户下的服务还可以使用机器账户在同一个森林中得到其他机器的自动认证,
      最后一点就是运行于Local   System   下的进程能够使用空会话(null   session)去访问网络资源。
      而且,其他一些Windows 用户模式下的核心组件也运行于该账户下,例如system32Smss.exe 等。
      需要注意的是,运行于此账户下的进程使用的是HKEY_USERS.Default 账户配置,因此它不能够访问其他账户的配置。

      举例来说,以LocalSystem账户运行的服务主要有:WindowsUpdate   Client、   Clipbook、Com+、DHCP   Client、Messenger  

      Service、Task   Scheduler、Server   Service、Workstation   Service,还有Windows   Installer。

      2.Network   Service(网路服务):
      该账户也是为了使用机器账户在网络上的其他计算机上认证而设定的。但是他没有Local   System   那么多的权限。
      它能够以计算机的名义访问网络资源。以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。
      运行于此账户下的进程使用网络账户配置文件HKEY_USERSS-1-5-20和Documents and SettingsNetworkService。 
      举例来说,以Network   Service账户运行的服务主要有:Distributed   Transaction   Coordinator、DNS   Client、

      Performance   Logs   and   Alerts,还有RPC   Locator。

       

      3.Local   Service(本地服务):
      Local   Service账户是预设的拥有最小权限的本地账户,并在网络凭证中具有匿名的身份。
      运行于此账户下的进程和运行于Network   Service   账户下的进程的区别
      在于运行于Local   Service   账户下的进程只能访问允许匿名访问的网络资源。
      运行于Local   Service   下的账户使用的配置文件是HKUS-1-5-19   和Documents   and   SettingsLocalService。

      举例来说,以Local   Service账户运行的服务主要有:Alerter、Remote   Registry、Smart   Card、SSDP,还有WebClient。

       

        Local System/Network Service/Local Service权限列表 

        1、 本地系统:

      内置帐户,该帐户具有较高的访问权限级别。如果工作进程标识作为“本地系统”帐户运行,则该工作进程具有整个系统的完全访问权限

       

      2、网络服务

       

      内置帐户,该帐户的系统访问权限比“本地系统”帐户少,但仍能通过网络与计算机帐户的凭据进行交互。对于 IIS 6.0,建议以“网络服务”帐户的身份运行为应用程序池定义的工作进程标识。默认情况下,该工作进程标识以“网络服务”帐户的身份运行。

      默认的用户权限:

    • 替换进程级令牌 (SeAssignPrimaryTokenPrivilege)
    • 调整进程的内存配额 (SeIncreaseQuotaPrivilege)
    • 生成安全审核 (SeAuditPrivilege)
    • 忽略遍历检查 (SeChangeNotifyPrivilege)
    • 从网络访问此计算机 (SeNetworkLogonRight)
    • 作为批处理作业登录 (SeBatchLogonRight)
    • 作为服务登录 (SeInteractiveLogonRight)
    • 允许本地登录 (SeInteractiveLogonRight)  

 

3、本地服务

内置帐户,该帐户的计算机访问权限比“网络服务”帐户少,并且该帐户的用户权限仅限于本地计算机。如果工作进程不需要访问所在服务器之外的地方,则可以使用“本地服务”帐户。 默认用户权限:

  • 替换进程级令牌 (SeAssignPrimaryTokenPrivilege)
  • 调整进程的内存配额 (SeIncreaseQuotaPrivilege)
  • 生成安全审核 (SeAuditPrivilege)
  • 忽略遍历检查 (SeChangeNotifyPrivilege)
  • 从网络访问此计算机 (SeNetworkLogonRight)
    • 作为批处理作业登录 (SeBatchLogonRight)
发表评论
评论通过审核后显示。
订阅博客
博客分类