SORU
4 ŞUBAT 2009, ÇARŞAMBA


'hesabı' Yerel Sistem ve 'Şebeke Servisi' hesap arasındaki fark nedir?

Ayrı bir işlemi olarak çoğaltılır, bir Windows servisi yazdım. Bu işlem, bir COM nesnesi oluşturur. Eğer hizmet çalışır altında Yerel Sistem hesabı her şey gayet iyi çalışıyor, ama eğer hizmet çalışır altında 'Şebeke Servisi' hesabı, dış süreç başlar ama başarısız oluşturmak için COM nesnesi. Hata nesne Oluşturma Standart COM hata (COM nesnesinin oluşturulmasını özgü olduğunu düşünüyorum) değil COM dan döndü.

Nasıl nasıl iki hesap, Yerel Sistem' ve 'Şebeke Servisi' farklı? belirleyebilirim yani Bu hesaplar çok gizemli görünüyor ve kimse onlar hakkında çok şey biliyor gibi yerleşik.

CEVAP
4 ŞUBAT 2009, ÇARŞAMBA


Standart hizmet hesapları hakkında çok fazla karışıklık görüyorum, hızlı koşmak vermek için çalışacağım.

İlk gerçek hesapları:

  • LocalService account (tercih edilen)

    • Adı: NT AUTHORITY\LocalService
    • hesabının parolası (verdiğiniz şifre bilgileri göz ardı edilir)
    • HKCU SMS kullanıcı hesabını temsil eder
    • en az ayrıcalıkları, yerel bilgisayarda vardır
    • ağda sunar anonim kimlik bilgileri

    Sınırlı servis Ağ Hizmeti çok benzer ve çalıştırmak için tasarlanmıştır hesabı standart en az ayrıcalıklı hizmetleri. Ancak Şebeke Servisi aksine erişmek için bir yeteneği vardır makine olarak ağ.

  • NetworkService account

    • NT AUTHORITY\NetworkService
    • hesabının parolası (verdiğiniz şifre bilgileri göz ardı edilir)
    • HKCU Network Service kullanıcı hesabını temsil eder
    • en az ayrıcalıkları, yerel bilgisayarda vardır
    • hediyeleri uzak sunuculara bilgisayarın kimlik bilgilerini () örneğin VADER$
    • Eğer bir görev kullanarak planlamak için çalışırken, içine NETWORK SERVICE girinSeçin Kullanıcı ya da Grupiletişim

    Sınırlı hizmet standart çalıştırmak için tasarlanmıştır hesabı en az ayrıcalıklı hizmetleri. Bu hesap çok daha Yerel Sistem daha sınırlı (hatta Yönetici) ama hala makine (uyarı yukarıda) gibi ağ erişim hakkına sahiptir.

  • LocalSystem account

    • Adı: .\LocalSystem (LocalSystem ComputerName\LocalSystem kullanabilirsiniz)
    • hesabının parolası (verdiğiniz şifre bilgileri göz ardı edilir)
    • HKCU varsayılan kullanıcı temsil eder kendine ait bir profili vardır: ()
    • vardırgenişyerel bilgisayarda ayrıcalıkları
    • hediyeleri uzak sunuculara bilgisayarın kimlik bilgileri

    Tamamen yönetici hesabı daha hesabı, daha güvenilir. Var bu hesap yapamaz ve tek bir kutu üzerinde hiçbir şey ağ erişimi için makine olarak (bu Aktif gerektirir değil mi Dizin ve makine hesabı bir şey için izin verme)

Ağa erişim bahsederken yukarıda, bu sadece başka bir kimlik doğrulama mekanizması için* *16 (Pazarlık) üzerinden bağlanmak ve Kerberos için değil, anlamına gelir. Örneğin, işleme LocalService olarak çalışan hala internet erişimi.

Standart olarak çalışan genel sorunu kutusu hesabından sana bir şeyler kümesi genişletiyorsun varsayılan izinleri değiştirirseniz, her şeyin hesabı olarak çalışan yapabilir. Eğer bir veritabanı DBO verirseniz, sadece servis Hizmeti veya Yerel Ağ olarak çalışan veritabanı olabilir ama her şey bu hesapları olabilir çalışan erişim Hizmeti. Eğer her geliştirici bu yoksa bilgisayar pratik bir şey yapmak için izinleri olan bir hizmet hesabı (daha spesifik olarak farklı ek ayrıcalıklara tüm üst bu hesap için verilmiş).

Her zaman güvenlik açısından kesin bir şekilde hizmet yapar yapmanız gereken izinler ve başka bir şey olduğunu kendi servis hesabı olarak çalıştırmak için tercih edilir. Ancak, bu yaklaşımın maliyet hesabınızı kurma ve parolasını yönetme. Her uygulama yönetmek için gereken bir denge var.

Belirli bir durumda, muhtemelen bir görme sorunu olan DCOM, COM etkinleştirme hesapları, belirli bir dizi ile sınırlıdır. Windows XP SP2, Windows Server 2003 ve Aktivasyon izni yukarıda önemli ölçüde kısıtlanmış oldu. Bileşen Hizmetleri MMC ek bileşeni, belirli bir COM nesnesinin incelemek ve etkinleştirme izinleri görmek için kullanmalısınız. Eğer hesap makinesi gibi her şeyi ağda erişmek ciddi bir biçimde kullanmaya dikkat etmelisinizYerel Hizmet(temelde işletim sistemi olan Yerel Sistem) değil.


Windows Server 2003 you cannot run a scheduled task gibi

  • NT_AUTHORITY\LocalService (Yerel Hizmet hesabı aka), veya
  • 9* *(Ağ Hizmeti hesabı aka).

Bu yetenek sadece Görev eklendi sadece Windows Vista/Windows Server 2008 ve daha yeni olarak var olan Scheduler 2.0,.

Bir hizmet NetworkService olarak çalışan makine ağ üzerinde kimlik sunar. Bu bilgisayarınızı 11*, it would present as the machine account MANGO$*çağrıldı anlamına gelir:

enter image description here

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • EEVblog

    EEVblog

    4 NİSAN 2009
  • kalabrandmusic

    kalabrandmus

    25 Kasım 2009
  • Drakinen

    Drakinen

    1 EYLÜL 2008