¿Cómo otorgar acceso de red a la cuenta LocalSystem?

65

¿Cómo concede acceso a los recursos de red a la cuenta LocalSystem(NT AUTHORITY \ SYSTEM)?


Antecedentes

Al acceder a la red, la cuenta LocalSystem actúa como la computadora en la red :

Cuenta de sistema local

La cuenta LocalSystem es una cuenta local predefinida utilizada por el administrador de control de servicios.

... y actúa como la computadora en la red.

O para decir lo mismo otra vez: la cuenta LocalSystem actúa como la computadora en la red :

Cuando un servicio se ejecuta bajo la cuenta LocalSystem en una computadora que es miembro del dominio, el servicio tiene cualquier acceso de red otorgado a la cuenta de la computadora, o a cualquier grupo del que la cuenta de la computadora sea miembro.

¿Cómo se otorga acceso a una " computadora " a una carpeta y archivos compartidos?


Nota :

Las cuentas de computadora generalmente tienen pocos privilegios y no pertenecen a grupos.

Entonces, ¿cómo le concedería a una computadora acceso a una de mis acciones? considerando que " Todos " ya tienen acceso?

Nota : grupo de trabajo

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |
Ian Boyd
fuente
Esta pregunta está ligeramente relacionada con la pregunta anterior relacionada con habilitar el acceso anónimo a un recurso compartido , al menos parece que se puede resolver con un recurso compartido accesible de forma anónima.
CodeFox

Respuestas:

59

En un entorno de dominio, puede otorgar derechos de acceso a cuentas de computadora; esto se aplica a los procesos que se ejecutan en esas computadoras como LocalSystemo NetworkService(pero no LocalService, que presenta credenciales anónimas en la red) cuando se conectan a sistemas remotos.

Entonces, si tiene una computadora llamada MANGO, tendrá una cuenta de computadora de Active Directory llamada MANGO$, a la que puede otorgar permisos.

ingrese la descripción de la imagen aquí

Nota : No puede hacer nada de esto en un entorno de grupo de trabajo; esto se aplica solo a los dominios.

Massimo
fuente
66
+1 y aceptado. Pero: LocalService puede acceder a la red, simplemente "presenta credenciales anónimas en la red" ( msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx )
Ian Boyd
Solo para mencionar, después de haber pasado una cantidad de tiempo no despreciable tratando de hacer que esto funcione para múltiples dominios, no creo que sea posible. es decir, \\ DOMAIN2 \ MANGO $ no parece otorgar acceso.
BennyB
Esto solo funciona si los dominios están en una relación de confianza; de lo contrario, tienes razón, no funciona.
Massimo
¿Pensé que los grupos cotidianos incluyen usuarios autenticados, así como la cuenta local_service y local_system?
kakacii
Tenga en cuenta que LocalSystemtambién puede acceder a cualquier cosa que cualquier otro proceso pueda. Por lo tanto, puede robar credenciales de usuarios conectados.
Demi
4

Usted no Si necesita un servicio para conectarse a archivos remotos u otros servicios de red, entonces desea que el servicio se ejecute como una cuenta con nombre y, en la máquina remota, asigne derechos a esa cuenta con nombre.

Realmente sería mejor si explicaras por completo lo que estás tratando de hacer, de esa manera obtendrás las mejores respuestas.

mfinni
fuente
66
Totalmente incorrecto Puede otorgar permisos a las cuentas de la máquina (y, por lo tanto, a los servicios que se ejecutan como ellos) exactamente de la misma manera que puede otorgarlos a las cuentas de usuario. Por supuesto, hay escenarios en los que esta podría no ser la mejor solución, pero es perfectamente factible.
Massimo
1
La respuesta se veía exactamente así, esta es la razón de mi voto negativo; Además, el póster original parece saber bastante bien la diferencia entre una cuenta de usuario y una de computadora, por lo que responder a su pregunta con "no haga eso" simplemente no me pareció correcto.
Massimo
1
Además, hay escenarios muy legítimos en los que sería necesario otorgar permisos a cuentas de máquinas. Solo piense en los scripts de inicio de la computadora, o la implementación del software GPO, o los servicios que solo quieren ejecutarse como LocalSystem y no puede hacer nada al respecto. No estoy diciendo que esta sea una mejor práctica o "la" solución correcta, por supuesto; pero si alguien pregunta "¿cómo hacer esto?" Creo que "no lo hagas" definitivamente no es una respuesta correcta.
Massimo
1
En un entorno de grupo de trabajo, no puede asignar derechos en MachineB a una cuenta de usuario definida en MachineA ... además, se le preguntó específicamente cómo asignar derechos a una cuenta de maschine , así que eso fue lo que respondí; y también dije que esto no sería posible sin un dominio.
Massimo
2
Ian: si eso es lo que buscas, generalmente es una mejor idea usar el Agente SQL Server y su cuenta, o usar Integration Services. Puede obtener más detalles cuando hace una pregunta detallada, y aún puede ser muy aplicable a las situaciones de otros lectores.
mfinni
-1

Es simple:

Coloque la cuenta AD de la máquina en el grupo de administradores locales y luego esta máquina (o su cuenta de administrador local) puede acceder completamente al destino a través de la red. Probado hoy, funciona bien.

Frank Wolf
fuente
2
Si bien esto es funcional, NO se recomienda ni es la mejor práctica. La Local Systemcuenta se llama local por una razón. Si desea que algo tenga acceso a la red, el servicio o de otro modo debe cambiarse para ejecutarse como otro usuario. Esto sería como otorgar guestacceso a la cuenta en un administrador de máquina. Funcionaría, pero eso frustra el propósito de para qué fue construido.
Cory Knutson