Verwenden des LocalSystem-Kontos als Dienstanmeldungskonto
Ein Vorteil der Ausführung unter dem LocalSystem-Konto besteht darin, dass der Dienst uneingeschränkten Zugriff auf lokale Ressourcen hat. Dies ist auch der Nachteil von LocalSystem, da ein LocalSystem-Dienst Dinge ausführen kann, die das gesamte System heruntergefahren würden. Insbesondere ein Dienst, der als LocalSystem auf einem Domänencontroller (DC) ausgeführt wird, hat uneingeschränkten Zugriff auf Active Directory Domain Services. Dies bedeutet, dass Fehler im Dienst oder Sicherheitsangriffe auf den Dienst das System beschädigen oder, wenn sich der Dienst auf einem DC befindet, das gesamte Unternehmensnetzwerk beschädigen können.
Aus diesen Gründen sind Domänenadministratoren bei sensiblen Installationen vorsichtig, wenn es darum geht, Dienste als LocalSystem auszuführen. In der Tat können sie Richtlinien dagegen haben, insbesondere in Bezug auf DCs. Wenn Ihr Dienst als LocalSystem ausgeführt werden muss, sollte die Dokumentation für Ihren Dienst domänenadministratoren die Gründe dafür rechtfertigen, dass dem Dienst das Recht gewährt wird, mit erhöhten Berechtigungen auszuführen. Dienste sollten niemals als LocalSystem auf einem Domänencontroller ausgeführt werden. Weitere Informationen und ein Codebeispiel, das zeigt, wie ein Dienst- oder Dienstinstallationsprogramm bestimmen kann, ob er auf einem Domänencontroller ausgeführt wird, finden Sie unter Testen, ob auf einem Domänencontroller ausgeführt wird.
Wenn ein Dienst unter dem LocalSystem-Konto auf einem Computer ausgeführt wird, der ein Domänenmitglied ist, hat der Dienst den Netzwerkzugriff, der dem Computerkonto oder allen Gruppen gewährt wird, denen das Computerkonto angehört. Beachten Sie, dass in Windows 2000 ein Domänencomputerkonto ein Dienstprinzipal ist, ähnlich wie bei einem Benutzerkonto. Dies bedeutet, dass sich ein Computerkonto in einer Sicherheitsgruppe befinden kann und ein ACE in einem Sicherheitsdeskriptor Zugriff auf ein Computerkonto gewähren kann. Beachten Sie, dass das Hinzufügen von Computerkonten zu Gruppen aus zwei Gründen nicht empfohlen wird:
- Computerkonten müssen gelöscht und neu erstellt werden, wenn der Computer die Domäne verlässt und dann wieder beisteht.
- Wenn Sie einer Gruppe ein Computerkonto hinzufügen, werden allen Diensten, die als LocalSystem auf diesem Computer ausgeführt werden, die Zugriffsrechte der Gruppe gewährt. Dies liegt daran, dass alle LocalSystem-Dienste das Computerkonto ihres Hostservers gemeinsam nutzen. Aus diesem Grund ist es besonders wichtig, dass Computerkonten nicht zu Mitgliedern von Domänenadministratorgruppen gemacht werden.
Computerkonten verfügen in der Regel über wenige Berechtigungen und gehören nicht zu Gruppen. Der Standardmäßige ACL-Schutz in Active Directory Domain Services ermöglicht einen minimalen Zugriff für Computerkonten. Folglich haben Dienste, die als LocalSystem auf anderen Computern als DCs ausgeführt werden, nur minimalen Zugriff auf Active Directory Domain Services.
Wenn Ihr Dienst unter LocalSystem ausgeführt wird, müssen Sie Ihren Dienst auf einem Mitgliedsserver testen, um sicherzustellen, dass Ihr Dienst über ausreichende Lese-/Schreibberechtigungen für Active Directory-Domäne Controller verfügt. Ein Domänencontroller sollte nicht der einzige Windows-Computer sein, auf dem Sie Ihren Dienst testen. Beachten Sie, dass ein Dienst, der unter LocalSystem auf einem Windows-Domänencontroller ausgeführt wird, vollständigen Zugriff auf Active Directory Domain Services hat und dass ein Mitgliedsserver im Kontext des Computerkontos ausgeführt wird, das wesentlich weniger Rechte hat.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für