Bagaimana cara memberikan akses jaringan ke akun LocalSystem?

65

Bagaimana Anda memberikan akses ke sumber daya jaringan ke LocalSystemakun (NT AUTHORITY \ SYSTEM)?


Latar Belakang

Saat mengakses jaringan, akun LocalSystem bertindak sebagai komputer di jaringan :

Akun Sistem Lokal

Akun LocalSystem adalah akun lokal yang telah ditentukan yang digunakan oleh manajer kontrol layanan.

... dan bertindak sebagai komputer di jaringan.

Atau untuk mengatakan hal yang sama lagi: Akun LocalSystem bertindak sebagai komputer di jaringan :

Ketika sebuah layanan berjalan di bawah akun LocalSystem di komputer yang merupakan anggota domain, layanan memiliki akses jaringan apa pun yang diberikan ke akun komputer, atau ke grup mana pun yang menjadi anggota akun komputer tersebut.

Bagaimana cara memberi " komputer " akses ke folder dan file bersama?


Catatan :

Akun komputer biasanya memiliki sedikit hak istimewa dan bukan milik grup.

Jadi bagaimana saya akan memberikan akses komputer ke salah satu bagian saya; mengingat " Semua Orang " sudah memiliki akses?

Catatan : workgroup

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |
Ian Boyd
sumber
Pertanyaan ini sedikit terkait dengan pertanyaan sebelumnya terkait dengan mengaktifkan akses anonim ke share - setidaknya sepertinya dapat diselesaikan dengan share yang dapat diakses secara anonim.
CodeFox

Jawaban:

59

Dalam lingkungan domain, Anda dapat memberikan hak akses ke akun komputer; ini berlaku untuk proses yang berjalan di komputer tersebut sebagai LocalSystematau NetworkService(tetapi tidak LocalService, yang menghadirkan kredensial anonim di jaringan) ketika mereka terhubung ke sistem jarak jauh.

Jadi, jika Anda memiliki komputer yang dipanggil MANGO, Anda akan memiliki akun komputer Direktori Aktif yang dipanggil MANGO$, yang dapat Anda berikan izin.

masukkan deskripsi gambar di sini

Catatan : Anda tidak dapat melakukan semua ini di lingkungan kelompok kerja; ini hanya berlaku untuk domain.

Massimo
sumber
6
+1 dan diterima. Tetapi: LocalService dapat mengakses jaringan, itu hanya "menyajikan kredensial anonim di jaringan" ( msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx )
Ian Boyd
Sebagai tambahan, setelah menghabiskan waktu yang tidak sedikit untuk mencoba agar ini berfungsi untuk banyak domain, saya rasa itu tidak mungkin. yaitu \\ DOMAIN2 \ MANGO $ tampaknya tidak memberikan akses.
BennyB
Ini hanya berfungsi jika domain berada dalam hubungan saling percaya; jika tidak, Anda benar, itu tidak berhasil.
Massimo
Saya pikir grup sehari-hari termasuk pengguna terotentikasi serta akun local_service dan local_system?
kakacii
Catatan yang LocalSystemjuga dapat mengakses apa pun yang proses lain bisa. Dengan demikian dapat mencuri kredensial pengguna yang masuk.
Demi
4

Kamu tidak. Jika Anda memerlukan layanan untuk menyambungkan file jarak jauh atau layanan jaringan lainnya, maka Anda ingin agar layanan dijalankan sebagai akun bernama, dan pada mesin jarak jauh, tetapkan hak untuk akun tersebut.

Akan sangat baik jika Anda menjelaskan sepenuhnya apa yang Anda coba lakukan - dengan cara itu Anda akan mendapatkan jawaban terbaik.

mfinni
sumber
6
Benar-benar salah. Anda dapat memberikan izin ke akun mesin (dan dengan demikian untuk layanan yang menjalankannya) persis dengan cara yang sama Anda dapat memberikannya ke akun pengguna. Tentu saja ada skenario di mana ini mungkin bukan solusi terbaik, tapi itu bisa dilakukan.
Massimo
1
Jawabannya tampak persis seperti itu, ini adalah alasan untuk downvote saya; juga, poster aslinya tampaknya tahu betul perbedaan antara akun pengguna dan akun komputer, jadi menjawab pertanyaannya dengan "jangan lakukan itu" sepertinya tidak tepat bagi saya.
Massimo
1
Selain itu, ada skenario yang sangat sah di mana pemberian izin untuk akun mesin akan dibutuhkan. Pikirkan saja skrip startup komputer, atau penyebaran perangkat lunak GPO, atau layanan yang hanya ingin dijalankan sebagai LocalSystem dan Anda tidak dapat melakukan apa-apa tentang itu. Saya tidak mengatakan ini adalah praktik terbaik atau "solusi" yang tepat, tentu saja; tetapi jika seseorang bertanya "bagaimana melakukan ini?" Saya pikir "jangan lakukan itu" jelas bukan jawaban yang benar.
Massimo
1
Dalam lingkungan kelompok kerja, Anda tidak dapat menetapkan hak pada MachineB ke akun pengguna yang ditentukan pada MachineA ... selain itu, ia ditanya secara khusus bagaimana cara menetapkan hak ke akun maschine , jadi itulah yang saya jawab; dan saya juga mengatakan bahwa ini tidak mungkin tanpa domain.
Massimo
2
Ian - jika itu yang Anda cari, biasanya ide yang lebih baik untuk menggunakan SQL Server Agent dan akunnya, atau menggunakan Layanan Integrasi. Anda bisa mendapatkan lebih detail ketika Anda mengajukan pertanyaan terperinci, dan itu masih bisa sangat berlaku untuk situasi pembaca lain.
mfinni
-1

Sederhana:

Masukkan Akun AD Mesin ke dalam Grup Admin lokal dan kemudian Mesin ini (atau Akun Admin Lokalnya) dapat sepenuhnya mengakses tujuan OVER the Network. Diuji hari ini, berfungsi dengan baik.

Frank Wolf
sumber
2
Meskipun ini fungsional, BUKAN direkomendasikan atau praktik terbaik. The Local Systemakun disebut lokal karena suatu alasan. Jika Anda ingin sesuatu memiliki akses jaringan, layanan atau yang lain harus diubah untuk dijalankan sebagai pengguna lain. Ini seperti memberikan guestakun pada akses administrator mesin. Itu akan berhasil, tetapi itu mengalahkan tujuan dari apa ia dibangun untuk.
Cory Knutson