由于标准服务帐户的功能存在很多混淆,我会尝试快速运行。
首先是实际账户:
的
本地服务
</强>
帐户
(优选的)
有限的服务帐户,与网络服务非常相似,用于运行标准的最低权限服务。但是,与网络服务不同
<击>
无法作为机器访问网络
</击>
以网络形式访问网络
匿名
用户。
名称:
NT AUTHORITY\LocalService
该帐户没有密码(您提供的任何密码信息都会被忽略)
HKCU代表
的
本地服务
</强>
用户帐号
具有
最小
本地计算机上的权限
礼物
匿名
网络上的凭据
的
SID
</强>
:S-1-5-19
有自己的个人资料
的
HKEY_USERS
</强>
注册表项(
HKEY_USERS\S-1-5-19
)
?
用于运行标准特权服务的有限服务帐户。此帐户比本地系统(甚至管理员)更受限制,但仍有权作为计算机访问网络(请参阅上面的警告)。
NT AUTHORITY\NetworkService
该帐户没有密码(您提供的任何密码信息都会被忽略)
HKCU代表
的
网络服务
</强>
用户帐号
具有
最小
本地计算机上的权限
显示计算机的凭据(例如
MANGO$
)到远程服务器
的
SID
</强>
:S-1-5-20
有自己的个人资料
的
HKEY_USERS
</强>
注册表项(
HKEY_USERS\S-1-5-20
)
如果尝试使用它安排任务,请输入
NETWORK SERVICE
进入
选择用户或组
对话
?
的
本地系统
</强>
帐户
(危险,请勿使用!)
完全信任的帐户,比管理员帐户更多。此帐户无法在单个框中执行任何操作,并且它有权作为计算机访问网络(这需要Active Directory并授予计算机帐户权限)
名称:
.\LocalSystem
(也可以使用
LocalSystem
要么
ComputerName\LocalSystem
)
该帐户没有密码(您提供的任何密码信息都会被忽略)
的
SID
</强>
:S-1-5-18
没有任何自己的个人资料(
HKCU
代表着
的
默认
</强>
用户)
具有
广泛
本地计算机上的权限
显示计算机的凭据(例如
MANGO$
)到远程服务器
?
在谈到访问网络时,这仅仅是指
SPNEGO
(协商),NTLM和Kerberos,而不是任何其他身份验证机制。例如,处理运行为
LocalService
仍然可以访问互联网。
作为标准开箱即用帐户运行的一般问题是,如果您修改任何默认权限,那么您正在扩展所有以该帐户运行的所有内容。因此,如果您将DBO授予数据库,则作为本地服务或网络服务运行的服务不仅可以访问该数据库,还可以访问作为这些帐户运行的所有其他服务。如果每个开发人员都这样做,那么计算机将拥有一个服务帐户,该帐户具有执行任何操作的权限(更具体地说,是授予该帐户的所有不同附加权限的超集)。
从安全角度来看,始终最好以您自己的服务帐户身份运行,该帐户具有您执行服务所需的权限,而不是其他任何权限。但是,此方法的成本是设置您的服务帐户和管理密码。这是每个应用程序需要管理的平衡行为。
在您的特定情况下,您可能看到的问题是DCOM或COM +激活仅限于给定的一组帐户。在Windows XP SP2,Windows Server 2003及更高版本中,激活权限受到严重限制。您应该使用组件服务MMC管理单元检查您的特定COM对象并查看激活权限。如果您不是作为计算机帐户访问网络上的任何内容,则应认真考虑使用
的
本地服务
</强>
(不是本地系统,基本上是操作系统)。
在Windows Server 2003中
您
的
不能
</强>
运行计划任务
如
NT_AUTHORITY\LocalService
(也称为本地服务帐户),或
NT AUTHORITY\NetworkService
(又名网络服务帐户)。
该功能仅与Task一起添加
调度程序2.0
,仅存在于Windows Vista / Windows Server 2008及更高版本中。
运行为的服务
NetworkService
在网络上显示机器凭据。这意味着如果您的计算机被调用
mango
,
它将作为机器帐户出现
MANGO$
:
