客户端 LocalSystem (SYSTEM) 是否由目标/服务器计算机识别？在什么情况下？

发布于 2024-09-24 13:39:39 字数 3245 浏览 5 评论 0原文

[1] 讲述：

“当您配置使用特定帐户作为进程身份时，ASP.NET 会尝试委派该帐户。如果它是与本地帐户相同（包括密码）的本地帐户，如果远程计算机上不存在这样的帐户，则它在网络上显示为 Windows 匿名帐户 (NT AUTHORITY\ANONYMOUS LOGON)。帐户是有权访问远程计算机的域帐户，在这种情况下，它使用该帐户的域网络身份。”

[2] 通知：

“所有区域设置中的帐户名称都是 .\LocalSystem。也可以使用名称 LocalSystem 或 ComputerName\LocalSystem”
- “该服务向远程服务器提供计算机的凭据

此外，预定义的“NT AUTHORITY\LOCAL SYSTEM”（或 SYSTEM [3]）存在于任何 Windows 中
并且应该可用于识别（即使客户端（进程）从工作组 Windows 访问），不应该吗？

不过，例如，[3] 的一排答案说明了相反的情况：

“在工作组中，SID 仅在本地工作站上有意义。”当访问另一个工作站时，SID 不会仅传输名称。 “本地系统”无法访问任何其他系统'

LocalSystem 是否被远程/目标计算机识别？又如何呢？

作为计算机名\本地系统？
或者
作为 NT AUHORITY\LOCAL SYSTEM ？

更新：
这个问题完全在Windows工作组开发环境的范围内......
尽管所有答案都偏离了 Windows 域...

引用：
[1]
ASP.NET 委托
http://msdn.microsoft.com/en-us/library/aa291350。 .aspx
[2]
本地系统帐户
http://msdn.microsoft.com/en-us/library/ms684190。 .aspx
[3]
sysadmin1138 对我的问题“Windows LocalSystem 与 System”的回答
https://serverfault.com/questions/168752/windows-localsystem-vs-system

我的相关问题：

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

孤云独去闲 2024-10-01 13:39:39

您的场景有两种可能性，具体取决于本地（“客户端”）计算机上的 Windows 版本以及服务与 Windows 服务 API 的集成程度：
- 远程计算机将把来自“客户端”计算机的请求视为 NT AUTHORITY\ANONYMOUS
- 远程计算机会将来自“客户端”计算机的请求视为 DOMAIN\COMPUTER_ACCOUNT_NAME

远程计算机将仅将来自其自己进程的请求视为来自 SYSTEM/LocalSystem。

如果您想通过测试找出由于远程请求而看到的帐户上下文，请在远程系统上的审核策略中启用审核登录事件（成功和失败）。您还可以使用 Microsoft 网络监视器，并捕获从“客户端”发送到远程计算机并返回的数据包流。

编辑：另请参阅我对此处相关/重叠问题的回答以获取相关详细信息。

回复收藏 0 原文

眉目亦如画i 2024-10-01 13:39:39

System/LocalSystem 和 NETWORK SERVICE 也都将作为计算机帐户 DOMAIN\MACHINENAME$ 进行远程身份验证。还有另一个内置帐户，LOCAL SERVICE，它将始终以ANONYMOUS LOGON 进行远程身份验证（因此大多数授权都会失败）。

试图将这些概念理解为 SID 和名称并没有多大意义。身份验证是在结束时的 SSPI 握手验证者将查询被验证者的上下文令牌并验证访问（执行授权），并且也可以从安全上下文中查询被验证者的名称。如果 SSPI 握手是远程的（在两个不同的 LSA 之间），则名称 QueryContextAttributes 将返回远程计算机名称 domain\machine$。如果这是一次仅涉及一个 LSA 的环回握手，则同一调用将返回 NETWORK SERVICE 或 System.握手也有可能验证“匿名登录”，例如工作组案例、使用本地帐户或尝试跨域信任边界，但基本上都会出现身份验证失败的情况。