LocalSystem アカウントをサービス ログオン アカウントとして使用する

LocalSystem アカウントで実行する利点の 1 つは、サービスがローカル リソースに無制限にアクセスできる点です。 LocalSystem サービスではシステム全体がダウンする可能性があるため、これは LocalSystem の欠点でもあります。 特に、doメイン コントローラー (DC) で LocalSystem として実行されているサービスは、Active Directory ドメイン サービスに無制限にアクセスできます。 つまり、サービスのバグや、サービスに対するセキュリティ攻撃によってシステムが破損したり、サービスが DC 上にある場合、エンタープライズ ネットワーク全体が損傷したりする可能性があります。

このような理由から、機密性の高いインストールの管理者はメインサービスを LocalSystem として実行できるように注意してください。 実際には、特に DC に対するポリシーを持っている可能性があります。 サービスを LocalSystem として実行する必要がある場合は、サービスのドキュメントで行うことを正当化する必要がありますメイン管理者は、管理者特権で実行する権限をサービスに付与する理由を説明します。 Doメイン コントローラーでは、サービスを LocalSystem として実行しないでください。 詳細と、サービスまたはサービス インストーラーが doメイン コントローラーで実行されているかどうかを判断する方法を示すコード例については、「Doメイン コントローラーで実行されているかどうかをテストする」を参照してください。

サービスが doメイン メンバーであるコンピューター上の LocalSystem アカウントで実行されている場合、サービスには、コンピューター アカウントまたはコンピューター アカウントがメンバーである任意のグループに対して、どのネットワーク アクセスも許可されます。 Windows 2000 では、doメイン コンピューター アカウントはユーザー アカウントと同様のサービス プリンシパルであることに注意してください。 つまり、コンピューター アカウントはセキュリティ グループ内に存在でき、セキュリティ記述子の ACE はコンピューター アカウントへのアクセスを許可できます。 コンピューター アカウントをグループに追加することは、次の 2 つの理由から推奨されないことに注意してください。

• コンピューターアカウントは、コンピューターが離れ、doメインに再び参加した場合、削除と再作成の対象となります。
• コンピューター アカウントをグループに追加すると、そのコンピューターで LocalSystem として実行されているすべてのサービスに、グループのアクセス権が許可されます。 これは、すべての LocalSystem サービスがホスト サーバーのコンピューター アカウントを共有するためです。 このため、コンピューター アカウントを doメイン 管理者グループのメンバーにしないことが特に重要です。

通常、コンピューター アカウントには特権がほとんどなく、グループには属していません。 Active Directory ドメイン サービスの既定の ACL 保護では、コンピューター アカウントへの最小限のアクセスが許可されます。 そのため、DC 以外のコンピューターで LocalSystem として実行されているサービスは、Active Directory ドメイン サービスへのアクセスが最小限に抑えられます。

サービスが LocalSystem で実行されている場合は、メンバー サーバーでサービスをテストして、サービスが Active Directory ドメイン Controllers に対する読み取り/書き込み権限を持っていることを確認する必要があります。 doメイン コントローラーは、サービスをテストする唯一の Windows コンピューターではありません。 Windows 上の LocalSystem で実行されているサービスはメインコントローラーが Active Directory ドメイン サービスに完全にアクセスできること、およびメンバー サーバーがコンピューター アカウントのコンテキストで実行され、権限が大幅に少ないことに注意してください。