LocalSystem 帳戶

  • 發行項

LocalSystem 帳戶是服務控制管理員所使用的預先定義本機帳戶。 安全性子系統無法辨識此帳戶,因此您無法在 LookupAccountName 函式的呼叫中指定其名稱。 它在本機電腦上具有廣泛的許可權,並作為網路上的電腦。 其權杖包含 NT AUTHORITY\SYSTEM 和 BUILTIN\Administrators SID;這些帳戶可以存取大部分的系統物件。 所有地區設定中的帳戶名稱都是 .\LocalSystem。 您也可以使用 Name、LocalSystem 或 ComputerName\LocalSystem。 此帳戶沒有密碼。 如果您在 呼叫 CreateServiceChangeServiceConfig 函式時指定 LocalSystem 帳戶,則會忽略您提供的任何密碼資訊。

在 LocalSystem 帳戶的內容中執行的服務會繼承 SCM 的安全性內容。 使用者 SID 是從 SECURITY_LOCAL_SYSTEM_RID 值建立。 此帳戶未與任何登入的使用者帳戶相關聯。 這有下列幾個含意:

  • 登錄機碼HKEY_CURRENT_USER與預設使用者相關聯,而不是目前使用者。 若要存取其他使用者的設定檔,請模擬使用者,然後存取 HKEY_CURRENT_USER
  • 服務可以在HKEY_LOCAL_MACHINE\SECURITY開啟登錄機
  • 服務會將電腦的認證呈現給遠端伺服器。
  • 如果服務開啟命令視窗並執行批次檔,使用者可能會按 CTRL+C 來終止批次檔,並使用 LocalSystem 許可權取得命令視窗的存取權。

LocalSystem 帳戶具有下列許可權:

  • 已停用SE_ASSIGNPRIMARYTOKEN_NAME ()
  • SE_AUDIT_NAME啟用 ()
  • 停用SE_BACKUP_NAME ()
  • 啟用SE_CHANGE_NOTIFY_NAME ()
  • ) 啟用SE_CREATE_GLOBAL_NAME (
  • ) 啟用SE_CREATE_PAGEFILE_NAME (
  • 已啟用SE_CREATE_PERMANENT_NAME ()
  • 停用SE_CREATE_TOKEN_NAME ()
  • 啟用SE_DEBUG_NAME ()
  • 啟用SE_IMPERSONATE_NAME ()
  • 啟用SE_INC_BASE_PRIORITY_NAME ()
  • 已停用SE_INCREASE_QUOTA_NAME ()
  • SE_LOAD_DRIVER_NAME (停用)
  • 啟用SE_LOCK_MEMORY_NAME ()
  • 停用SE_MANAGE_VOLUME_NAME ()
  • 已啟用SE_PROF_SINGLE_PROCESS_NAME ()
  • 停用SE_RESTORE_NAME ()
  • 停用SE_SECURITY_NAME ()
  • SE_SHUTDOWN_NAME (停用)
  • 停用SE_SYSTEM_ENVIRONMENT_NAME ()
  • 已停用SE_SYSTEMTIME_NAME ()
  • 已停用SE_TAKE_OWNERSHIP_NAME ()
  • 已啟用SE_TCB_NAME ()
  • 停用SE_UNDOCK_NAME ()

大部分的服務不需要這樣的高許可權等級。 如果您的服務不需要這些許可權,而且不是互動式服務,請考慮使用 LocalService 帳戶NetworkService 帳戶。 如需詳細資訊,請參閱 服務安全性和存取權限