Compartilhar via

Usando a conta LocalSystem como uma conta de logon de serviço

  • Artigo

Uma vantagem da execução na conta LocalSystem é que o serviço tem acesso irrestrito completo aos recursos locais. Essa também é a desvantagem do LocalSystem porque um serviço LocalSystem pode fazer coisas que derrubariam todo o sistema. Em particular, um serviço executado como LocalSystem em um controlador de domínio (DC) tem acesso irrestrito aos Serviços de Domínio Active Directory. Isso significa que bugs no serviço, ou ataques de segurança no serviço, podem danificar o sistema ou, se o serviço estiver em um DC, danificar toda a rede corporativa.

Por esses motivos, os administradores de domínio em instalações confidenciais serão cautelosos ao permitir que os serviços sejam executados como LocalSystem. Na verdade, eles podem ter políticas contra isso, especialmente em CDs. Se o serviço tiver de ser executado como LocalSystem, a documentação do serviço deverá justificar aos administradores de domínio as razões para conceder ao serviço o direito de ser executado com privilégios elevados. Os serviços nunca devem ser executados como LocalSystem em um controlador de domínio. Para obter mais informações e um exemplo de código que mostra como um instalador de serviço ou serviço pode determinar se ele está sendo executado em um controlador de domínio, consulte Testando se está sendo executado em um controlador de domínio.

Quando um serviço é executado sob a conta LocalSystem em um computador que é um membro do domínio, o serviço tem qualquer acesso de rede concedido à conta de computador ou a qualquer grupo do qual a conta de computador é membro. Lembre-se de que, no Windows 2000, uma conta de computador de domínio é uma entidade de serviço, semelhante a uma conta de usuário. Isso significa que uma conta de computador pode estar em um grupo de segurança e uma ACE em um descritor de segurança pode conceder acesso a uma conta de computador. Lembre-se de que adicionar contas de computador a grupos não é recomendado por dois motivos:

  • As contas de computador estão sujeitas à exclusão e recriação se o computador sair e, em seguida, ingressar novamente no domínio.
  • Se você adicionar uma conta de computador a um grupo, todos os serviços executados como LocalSystem nesse computador terão direito aos direitos de acesso do grupo. Isso ocorre porque todos os serviços LocalSystem compartilham a conta de computador de seu servidor host. Por esse motivo, é particularmente importante que as contas de computador não se tornem membros de nenhum grupo de administradores de domínio.

As contas de computador normalmente têm poucos privilégios e não pertencem a grupos. A proteção ACL padrão nos Serviços de Domínio Active Directory permite acesso mínimo para contas de computador. Consequentemente, os serviços executados como LocalSystem, em computadores que não sejam DCs, têm apenas acesso mínimo aos Serviços de Domínio Active Directory.

Se o serviço for executado em LocalSystem, você deverá testar o serviço em um servidor membro para garantir que o serviço tenha direitos suficientes para leitura/gravação em Controladores de Domínio do Active Directory. Um controlador de domínio não deve ser o único computador Windows no qual você testa seu serviço. Lembre-se de que um serviço executado em LocalSystem em um controlador de domínio do Windows tem acesso completo aos Serviços de Domínio Active Directory e que um servidor membro é executado no contexto da conta de computador que tem substancialmente menos direitos.