-
内置系统账
户
:Local
system/Network service/Local Service
LocalSystem
账户
LocalSystem
是预设的拥
有本机所有权限的本地账户,这个账户跟通常的用户账户没有
任
何
关
联
,
也<
/p>
没
有
用
户
名
和
密
码
之
类
的
凭
证
。
这
个
服
务
账
户
可
以
打
开
注<
/p>
册
表
的
HKEY
_LOCAL_MACHINESecurity
键,当
Loc
alSystem
访问网络资源时,它是作为计算机
的域账户使
用的。
举
例
来
说
p>
,
以
LocalSystem
账
户
运
行
< br>的
服
务
主
要
有
:
WindowsUpdate
Client
、
Clipbook
、
Com+
、
DHCP
Client
、
Messenger
Service
、
Task
Scheduler
、
Server
Service
、
Workstation
Service
,还有
Windows
Installer
。
Network
Service
账户
Network
Service
账户是预设的拥有
本机部分权限的本地账户,
它能够以计算机的名义
访问网络资源
。
但是他没有
Local
System
那么多的权限,<
/p>
以这个账户运行的服务会根据
实
际
环
境
把
访
问
凭
据
提
交
给
远
程
的
计
算
机
。
Network
Servic
e
账
户
通
常<
/p>
可
以
访
问
Network
Service
、
Everyone
组,还有认证用户有权限
访问的资源。
举
例
来
p>
说
,
以
Netwo
rk
Service
账
户
运
行
的
服
务
主
要
< br>有
:
Distributed
Transaction
Coordinator
、
DNS
Client
、
< br>Performance
Logs
and
Alerts
,
还有
RPC
Locator
。
Local
Service
账户
Local
Service
账户是预设的拥有
最小权限的本地账户,
并在网络凭证中具有匿名的身
份。
Local
Service
账户通常可以访问
Local
Service
、
Everyone
组还有认证用户有权限访
问的资源。
举例来说,以
Local
Service
账户运行的服务主要有:
Al
erter
、
Remote
Registry
、
Smart
Card
、
SSDP
,还有
WebClient
。
System
(
本地系统
):
该账户具有相当高的权限。
首先,<
/p>
该账户也隶属于本地
Administrators
用户组,
因此所有本地
Administra
tors
用户能够进行的操作该账户也能够进行,
其次,该账户还能够控制文件的权限(
NTFS
文件系统)和注册表权限,甚至占据所有者权限来取得访问资格。
如果机器处于域中,那么运行于
Local System
账户下的服务还可以使用机器账户在同一个森林中得到其他机器的自动认
证,
最后一点就是运行于
Local System
下的进程能够使用空会话(
null
session
)去访问网络资源。
而且,其他一些
Windows
用户模式下的核心组件也运行于该账户下,例如
等。
需要注意的是,运行于此账户下的进程使用的是
HKEY_t
账户配置,因此它不能够访问其他账户的配置。
举例来说,
以
LocalSystem
账户运行的服务主要有:
WindowsUpdate
Client
、
Clipbook
、
Com+
、
DHCP
Client
、
Messenger
Service
、
Task
Scheduler
、
Server
Service
、
Workstation
Service
,还有
Windows
Installer
。
k Se
rvice(
网路服务
)
:
该账户也是为了使用机器账户在网络上的其他计算机上认证而设定的。但
是他没有
Local System
那么多的权限。
它能够以计算机的名
义访问网络资源。以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。
运行于此账户下的进程使用网络账户配置文件
HKEY_U
SERSS-1-5-20
和
Documents and
SettingsNetworkService
。
举例来说,以
Network
Service
账户运行的服务主要有:
Distribute
d Transaction
Coordinator
、
DNS
Client
、
Performance Logs and
Alerts
,还有
RPC
Locator
。
Service(
本地服务
):
Local Service
账户是预设的拥有最小权限的
本地账户,并在网络凭证中具有匿名的身份。
运行于此账户下的进程和运行于
Network
Service
账户下的进程的区别
在于运行于
Local Service
账户下的进程只能访问允许匿名访问的网络资源。
运行于
Local Service
下的账户使用的配置文件是
HKUS-1-5-19
和
Documents and
SettingsLocalService
。
举例来说,
以
Local Ser
vice
账户运行的服务主要有:
Alerter
、
Remote
Registry
、
Smart Card
、
SSDP
,
还有
WebClient
。
IIS
和内置帐户
以下是
IIS
使用的内置帐户、
IIS
特定的帐户及其关联的用户权限的列表。
本地系统
内置帐户,该帐户具有较高的访问权限级别。如果工作进程标识作为“本地系
统”帐户运
行,则该工作进程具有整个系统的完全访问权限。
网络服务
内置帐户,该帐户的系统访
问权限比“本地系统”帐户少,但仍能通过网络与
计算机帐户的凭据进行交互。对于
p>
IIS 6.0
,建议以“网络服务”帐户的身份
运行为应用程序池定义的工作进程标识。默认情况下,该工作进程标识以“网
络
服务”帐户的身份运行。
默认用户权限:
?
?
?
替换进程级令牌
(SeAssignPrimaryTokenPrivilege)
调整进程的内存配额
(SeIncreaseQuotaPrivilege)
生成安全审核
(SeAuditPrivilege)
-
-
-
-
-
-
-
-
-
上一篇:进入tar包解压路径(targz
下一篇:广域网负载均衡原理简单介绍