Local System/Network Service/Local Service

Local System/Network Service/Local Service權限介紹

1.Local   System (本地系統):
該賬戶具有相當高的權限。
首先，該賬戶也隸屬於本地Administrators   用戶組，因此所有本地Administrators用戶能夠進行的操作該賬戶也能夠進行，
其次，該賬戶還能夠控制文件的權限（NTFS   文件系統）和注冊表權限，甚至占據所有者權限來取得訪問資格。
如果機器處於域中，那么運行於Local   System   賬戶下的服務還可以使用機器賬戶在同一個森林中得到其他機器的自動認證，
最后一點就是運行於Local   System   下的進程能夠使用空會話（null   session）去訪問網絡資源。
而且，其他一些Windows 用戶模式下的核心組件也運行於該賬戶下，例如system32\Smss.exe 等。
需要注意的是，運行於此賬戶下的進程使用的是HKEY_USERS\.Default 賬戶配置，因此它不能夠訪問其他賬戶的配置。

舉例來說，以LocalSystem賬戶運行的服務主要有：WindowsUpdate   Client、   Clipbook、Com+、DHCP   Client、Messenger  

Service、Task   Scheduler、Server   Service、Workstation   Service，還有Windows   Installer。

2.Network   Service(網路服務)：
該賬戶也是為了使用機器賬戶在網絡上的其他計算機上認證而設定的。但是他沒有Local   System   那么多的權限。
它能夠以計算機的名義訪問網絡資源。以這個賬戶運行的服務會根據實際環境把訪問憑據提交給遠程的計算機。
運行於此賬戶下的進程使用網絡賬戶配置文件HKEY_USERS\S-1-5-20和Documents and Settings\NetworkService。 
舉例來說，以Network   Service賬戶運行的服務主要有：Distributed   Transaction   Coordinator、DNS   Client、

Performance   Logs   and   Alerts，還有RPC   Locator。

 

3.Local   Service(本地服務):
Local   Service賬戶是預設的擁有最小權限的本地賬戶，並在網絡憑證中具有匿名的身份。
運行於此賬戶下的進程和運行於Network   Service   賬戶下的進程的區別
在於運行於Local   Service   賬戶下的進程只能訪問允許匿名訪問的網絡資源。
運行於Local   Service   下的賬戶使用的配置文件是HKU\S-1-5-19   和Documents   and   Settings\LocalService。

舉例來說，以Local   Service賬戶運行的服務主要有：Alerter、Remote   Registry、Smart   Card、SSDP，還有WebClient。

 

 Local System/Network Service/Local Service權限列表 

 1、本地系統:

內置帳戶，該帳戶具有較高的訪問權限級別。如果工作進程標識作為“本地系統”帳戶運行，則該工作進程具有整個系統的完全訪問權限

 

2、網絡服務

 

內置帳戶，該帳戶的系統訪問權限比“本地系統”帳戶少，但仍能通過網絡與計算機帳戶的憑據進行交互。對於 IIS 6.0，建議以“網絡服務”帳戶的身份運行為應用程序池定義的工作進程標識。默認情況下，該工作進程標識以“網絡服務”帳戶的身份運行。

默認的用戶權限:

• 替換進程級令牌 (SeAssignPrimaryTokenPrivilege)
• 調整進程的內存配額 (SeIncreaseQuotaPrivilege)
• 生成安全審核 (SeAuditPrivilege)
• 忽略遍歷檢查 (SeChangeNotifyPrivilege)
• 從網絡訪問此計算機 (SeNetworkLogonRight)
• 作為批處理作業登錄 (SeBatchLogonRight)
• 作為服務登錄 (SeInteractiveLogonRight)
• 允許本地登錄 (SeInteractiveLogonRight)  

 

3、本地服務

內置帳戶，該帳戶的計算機訪問權限比“網絡服務”帳戶少，並且該帳戶的用戶權限僅限於本地計算機。如果工作進程不需要訪問所在服務器之外的地方，則可以使用“本地服務”帳戶。 默認用戶權限：

• 替換進程級令牌 (SeAssignPrimaryTokenPrivilege)
• 調整進程的內存配額 (SeIncreaseQuotaPrivilege)
• 生成安全審核 (SeAuditPrivilege)
• 忽略遍歷檢查 (SeChangeNotifyPrivilege)
• 從網絡訪問此計算機 (SeNetworkLogonRight)

• 作為批處理作業登錄 (SeBatchLogonRight)