共用方式為


使用 LocalSystem 帳戶作為服務登入帳戶

在 LocalSystem 帳戶下執行的其中一個優點是,服務已完全不受限制地存取本機資源。 這也是 LocalSystem 的缺點,因為 LocalSystem 服務可以執行會關閉整個系統的事情。 特別是,在域控制器上以 LocalSystem 身分執行的服務對 Active Directory 網域服務 具有不受限制的存取權。 這表示服務中的 Bug 或服務的安全性攻擊可能會損毀系統,或者,如果服務位於 DC 上,就會損毀整個企業網路。

基於這些原因,敏感性安裝中的網域系統管理員會謹慎允許服務以LocalSystem身分執行。 事實上,他們可能有反對它的政策,特別是在DC上。 如果您的服務必須以 LocalSystem 身分執行,則服務的檔應該為網域系統管理員提供授與許可權以提升許可權執行的理由。 服務不應該在域控制器上以 LocalSystem 的形式執行。 如需詳細資訊及程式代碼範例,示範服務或服務安裝程式如何判斷它是否在域控制器上執行,請參閱 測試是否在域控制器上執行。

當服務在屬於網域成員之計算機上的 LocalSystem 帳戶下執行時,服務會授與電腦帳戶的任何網路存取權,或是電腦帳戶所屬的任何群組。 請注意,在 Windows 2000 中,網域電腦帳戶是服務主體,類似於用戶帳戶。 這表示計算機帳戶可以位於安全組中,而安全性描述元中的 ACE 可以授與電腦帳戶的存取權。 請注意,不建議將計算機帳戶新增至群組,原因有兩個:

  • 如果電腦離開並重新加入網域,計算機帳戶可能會遭到刪除和重新建立。
  • 如果您將計算機帳戶新增至群組,該計算機上以LocalSystem身分執行的所有服務都允許群組的訪問許可權。 這是因為所有LocalSystem服務都會共用其主機伺服器的電腦帳戶。 因此,計算機帳戶不成為任何網域系統管理員群組的成員特別重要。

計算機帳戶通常具有少數許可權,且不屬於群組。 Active Directory 網域服務 中的預設 ACL 保護允許電腦帳戶的最低存取權。 因此,在 DC 以外的電腦上,以 LocalSystem 身分執行的服務,只能存取 Active Directory 網域服務。

如果您的服務在 LocalSystem 下執行,您必須在成員伺服器上測試您的服務,以確保您的服務有足夠的許可權可讀取/寫入 Active Directory 網域 Controllers。 域控制器不應該是您測試服務的唯一 Windows 電腦。 請注意,在 Windows 域控制器上在 LocalSystem 下執行的服務可以完整存取 Active Directory 網域服務,而且成員伺服器會在具有相當少許可權的電腦帳戶內容中執行。