Pada Windows pengguna System
ditampilkan dengan simbol kelompok:
.
(Menggunakan Win32 API LookupAccountSid internal juga mengungkapkan bahwa itu tampaknya menjadi grup SidTypeGroup .)
Di sisi lain proses dapat berjalan system context
seperti di a user context
. Juga dokumen Microsoft menggambarkannya sebagai "pengguna sistem" atau "akun sistem", dan bukan sebagai "kelompok sistem".
Apakah pengguna yang untuk tujuan lama ditampilkan sebagai grup?
(Atau itu sesuatu yang Werner Heisenberg akan tertarik?)
Catatan: Apakah pengguna NT AUTHORITY \ SYSTEM? serupa tetapi tidak menjawab pertanyaan mengapa ditampilkan sebagai grup dan berperilaku seperti pengguna.
windows
user-accounts
local-groups
rawa-goyang
sumber
sumber
Jawaban:
Pertama, token akses mengandung lebih dari pengidentifikasi keamanan (SID) . Kita hanya perlu "Menjalankan sebagai administrator" program untuk melihat di dalam Task Manager bahwa penggunanya adalah diri sendiri dan bukan Administrator, dan keajaiban ini dicapai hanya dengan modifikasi token akses, bukan dengan mengganti SID.
Kedua, NT-AUTHORITY dan SYSTEM bukanlah akun atau grup, terlepas dari apa yang dikatakan berbagai sumber lain (bahkan di dalam Microsoft). SID biasanya memiliki nama yang ditampilkan kapan pun diperlukan. Akun pengguna akan berkontribusi SID sebagai SID utama ke token akses, yang juga akan menentukan nama yang ditampilkan oleh berbagai utilitas. Tetapi token akses dapat berisi SID tambahan, misalnya untuk semua grup yang dimiliki akun pengguna itu. Saat memeriksa izin, Windows akan mencari SID di token akses yang memiliki izin itu.
Beberapa Windows SID terkenal akan memiliki nama yang dilaporkan oleh Windows, meskipun mereka tidak benar-benar milik akun mana pun.
Sebuah Keamanan Identifier didefinisikan oleh Wikipedia sebagai:
SID bahkan tidak perlu mendefinisikan akun pengguna atau grup. Itu hanya mendefinisikan satu set izin. Artikel Wikipedia di atas menambahkan:
SID
NT-AUTHORITY\SYSTEM
dapat ditambahkan ke akun lain. Sebagai contoh, ini dikatakan tentang Akun LocalSystem :Kita sudah dapat melihat dalam teks di atas kebingungan yang berkuasa bahkan dalam dokumentasi Microsoft mengenai SID sistem, yang tidak persis akun atau grup - yang hanya seperangkat izin. Kebingungan ini semakin meluas ke utilitas dan artikel lain, sehingga informasi yang dikembalikan harus diperiksa dengan cermat.
Artikel Microsoft Pengidentifikasi keamanan terkenal di sistem operasi Windows merinci semua SID sistem, beberapa di antaranya saya sertakan di bawah ini:
Kesimpulan : NT-AUTHORITY \ SYSTEM adalah nama ID Keamanan, yang bukan grup atau akun. Ini ditampilkan di Task Manager sebagai SISTEM ketika itu adalah SID utama dari suatu program. Yang paling saya sebut itu adalah "akun palsu".
sumber
- which are just a set of permissions
: apakah yang merujuk ke ID Sistem atau ke akun atau grup ?IMHO pengamatan Anda benar.
NT-AUTHORITY\SYSTEM
adalah grup, jadi Anda bisa menyebutnya sebagai grup sistem . Grup ini ada sejak Windows NT 4 setidaknya dan telah menjadi grup di sana:Ada juga akun yang disebut LocalSystem yang
sehingga Anda dapat menyebut ini pengguna sistem yang merupakan anggota dari grup SYSTEM.
SysInternals PsGetSid mendukung teori grup untuk SISTEM:
Mengenai awal suatu proses sebagai sebuah kelompok:
Untuk mengelola keamanan, suatu proses mendapat token akses . Token akses hanya mengandung SID. Saya tidak yakin apakah ada tanda centang apakah SID pengguna benar-benar pengguna atau grup. Pada prinsipnya tidak masalah: SID menentukan apa yang dapat diakses. Mungkin artikel CodeProject dapat membantu implementasi
sumber