系统账户

Local

Service

、

Everyone

组还有认证用户有权限访

问的资源。

举例来说，以

Local

Service

账户运行的服务主要有：

Al erter

、

Remote

Registry

、

Smart

Card

、

SSDP

，还有

WebClient

。

System (

本地系统

):

该账户具有相当高的权限。

首先，< /p>

该账户也隶属于本地

Administrators

用户组，

因此所有本地

Administra tors

用户能够进行的操作该账户也能够进行，

其次，该账户还能够控制文件的权限（

NTFS

文件系统）和注册表权限，甚至占据所有者权限来取得访问资格。

如果机器处于域中，那么运行于

Local System

账户下的服务还可以使用机器账户在同一个森林中得到其他机器的自动认

证，

最后一点就是运行于

Local System

下的进程能够使用空会话（

null session

）去访问网络资源。

而且，其他一些

Windows

用户模式下的核心组件也运行于该账户下，例如

等。

需要注意的是，运行于此账户下的进程使用的是

HKEY_t

账户配置，因此它不能够访问其他账户的配置。

举例来说，

以

LocalSystem

账户运行的服务主要有：

WindowsUpdate Client

、

Clipbook

、

Com+

、

DHCP Client

、

Messenger

Service

、

Task Scheduler

、

Server Service

、

Workstation Service

，还有

Windows Installer

。

k Se rvice(

网路服务

)

：

该账户也是为了使用机器账户在网络上的其他计算机上认证而设定的。但 是他没有

Local System

那么多的权限。

它能够以计算机的名 义访问网络资源。以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。

运行于此账户下的进程使用网络账户配置文件

HKEY_U SERSS-1-5-20

和

Documents and SettingsNetworkService

。

举例来说，以

Network Service

账户运行的服务主要有：

Distribute d Transaction Coordinator

、

DNS Client

、

Performance Logs and Alerts

，还有

RPC Locator

。

Service(

本地服务

):

Local Service

账户是预设的拥有最小权限的 本地账户，并在网络凭证中具有匿名的身份。

运行于此账户下的进程和运行于

Network Service

账户下的进程的区别

在于运行于

Local Service

账户下的进程只能访问允许匿名访问的网络资源。

运行于

Local Service

下的账户使用的配置文件是

HKUS-1-5-19

和

Documents and SettingsLocalService

。

举例来说，

以

Local Ser vice

账户运行的服务主要有：

Alerter

、

Remote Registry

、

Smart Card

、

SSDP

，

还有

。

IIS

和内置帐户

以下是

IIS

使用的内置帐户、

IIS

特定的帐户及其关联的用户权限的列表。

本地系统

内置帐户，该帐户具有较高的访问权限级别。如果工作进程标识作为“本地系

统”帐户运 行，则该工作进程具有整个系统的完全访问权限。

网络服务

内置帐户，该帐户的系统访 问权限比“本地系统”帐户少，但仍能通过网络与

计算机帐户的凭据进行交互。对于

IIS 6.0

，建议以“网络服务”帐户的身份

运行为应用程序池定义的工作进程标识。默认情况下，该工作进程标识以“网

络 服务”帐户的身份运行。

默认用户权限：

?

?

?

替换进程级令牌

(SeAssignPrimaryTokenPrivilege)

调整进程的内存配额

(SeIncreaseQuotaPrivilege)

生成安全审核

(SeAuditPrivilege)