2024年1月8日发(作者:)

内置系统账户:Local system/Network service/Local Service

LocalSystem 账户

LocalSystem是预设的拥有本机所有权限的本地账户,这个账户跟通常的用户账户没有任何关联,也没有用户名和密码之类的凭证。这个服务账户可以打开注册表的HKEY_LOCAL_MACHINESecurity键,当LocalSystem访问网络资源时,它是作为计算机的域账户使用的。

举例来说,以LocalSystem账户运行的服务主要有:WindowsUpdate Client、 Clipbook、Com+、DHCP Client、Messenger Service、Task Scheduler、Server Service、Workstation Service,还有Windows Installer。

Network Service 账户

Network Service账户是预设的拥有本机部分权限的本地账户,它能够以计算机的名义访问网络资源。但是他没有Local System 那么多的权限,以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。Network Service账户通常可以访问Network Service、Everyone组,还有认证用户有权限访问的资源。

举例来说,以Network Service账户运行的服务主要有:Distributed Transaction Coordinator、DNS Client、Performance Logs and Alerts,还有RPC Locator。

Local Service 账户

Local Service账户是预设的拥有最小权限的本地账户,并在网络凭证中具有匿名的身份。Local Service账户通常可以访问Local Service、Everyone组还有认证用户有权限访问的资源。

举例来说,以Local Service账户运行的服务主要有:Alerter、Remote Registry、Smart Card、SSDP,还有WebClient。

System (本地系统):

该账户具有相当高的权限。

首先,该账户也隶属于本地Administrators 用户组,因此所有本地Administrators用户能够进行的操作该账户也能够进行,

其次,该账户还能够控制文件的权限(NTFS 文件系统)和注册表权限,甚至占据所有者权限来取得访问资格。

如果机器处于域中,那么运行于Local System 账户下的服务还可以使用机器账户在同一个森林中得到其他机器的自动认证,

最后一点就是运行于Local System 下的进程能够使用空会话(null session)去访问网络资源。

而且,其他一些Windows 用户模式下的核心组件也运行于该账户下,例如 等。

需要注意的是,运行于此账户下的进程使用的是HKEY_t 账户配置,因此它不能够访问其他账户的配置。

举例来说,以LocalSystem账户运行的服务主要有:WindowsUpdate Client、 Clipbook、Com+、DHCP Client、Messenger

Service、Task Scheduler、Server Service、Workstation Service,还有Windows Installer。

k Service(网路服务):

该账户也是为了使用机器账户在网络上的其他计算机上认证而设定的。但是他没有Local System 那么多的权限。

它能够以计算机的名义访问网络资源。以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。

运行于此账户下的进程使用网络账户配置文件HKEY_USERSS-1-5-20和Documents and SettingsNetworkService。

举例来说,以Network Service账户运行的服务主要有:Distributed Transaction Coordinator、DNS Client、

Performance Logs and Alerts,还有RPC Locator。

Service(本地服务):

Local Service账户是预设的拥有最小权限的本地账户,并在网络凭证中具有匿名的身份。

运行于此账户下的进程和运行于Network Service 账户下的进程的区别

在于运行于Local Service 账户下的进程只能访问允许匿名访问的网络资源。

运行于Local Service 下的账户使用的配置文件是HKUS-1-5-19 和Documents and SettingsLocalService。

举例来说,以Local Service账户运行的服务主要有:Alerter、Remote Registry、Smart Card、SSDP,还有WebClient。

IIS 和内置帐户

以下是 IIS 使用的内置帐户、IIS 特定的帐户及其关联的用户权限的列表。

本地系统

内置帐户,该帐户具有较高的访问权限级别。如果工作进程标识作为“本地系统”帐户运行,则该工作进程具有整个系统的完全访问权限。

网络服务

内置帐户,该帐户的系统访问权限比“本地系统”帐户少,但仍能通过网络与计算机帐户的凭据进行交互。对于 IIS 6.0,建议以“网络服务”帐户的身份运行为应用程序池定义的工作进程标识。默认情况下,该工作进程标识以“网络服务”帐户的身份运行。

默认用户权限:

替换进程级令牌 (SeAssignPrimaryTokenPrivilege)

调整进程的内存配额 (SeIncreaseQuotaPrivilege)

生成安全审核 (SeAuditPrivilege)

忽略遍历检查 (SeChangeNotifyPrivilege)

从网络访问此计算机 (SeNetworkLogonRight)

作为批处理作业登录 (SeBatchLogonRight)

作为服务登录 (SeInteractiveLogonRight)

允许本地登录 (SeInteractiveLogonRight)

本地服务

内置帐户,该帐户的计算机访问权限比“网络服务”帐户少,并且该帐户的用户权限仅限于本地计算机。如果工作进程不需要访问所在服务器之外的地方,则可以使用“本地服务”帐户。

默认用户权限:

替换进程级令牌 (SeAssignPrimaryTokenPrivilege)

调整进程的内存配额 (SeIncreaseQuotaPrivilege)

生成安全审核 (SeAuditPrivilege)

忽略遍历检查 (SeChangeNotifyPrivilege)

从网络访问此计算机 (SeNetworkLogonRight)

作为批处理作业登录 (SeBatchLogonRight)

IIS_WPG

IIS 组帐户,只给该帐户指派了在 Web 服务器上启动和运行工作进程所需的最低权限和用户权限。

默认用户权限:

忽略遍历检查 (SeChangeNotifyPrivilege)

作为批处理作业登录 (SeBatchLogonRight)

从网络访问此计算机 (SeNetworkLogonRight)

IUSR_computername

具有 IIS 匿名访问权限的 IIS 帐户。默认情况下,当用户访问一个设置为匿名验证的网站时,就会将该用户映射到 IUSR_comptername 帐户。用户具有与该帐户完全相同的用户权限。

默认用户权限:

从网络访问此计算机 (SeNetworkLogonRight)

忽略遍历检查 (SeChangeNotifyPrivilege)

作为批处理作业登录 (SeBatchLogonRight)

允许本地登录 (SeInteractiveLogonRight)

IWAM_computername

可在 IIS 5.0 隔离模式下启动进程外应用程序的 IIS 帐户。

默认用户权限:

替换进程级令牌 (SeAssignPrimaryTokenPrivilege)

调整进程的内存配额 (SeIncreaseQuotaPrivilege)

忽略遍历检查 (SeChangeNotifyPrivilege)

从网络访问此计算机 (SeNetworkLogonRight)

作为批处理作业登录 (SeBatchLogonRight)

ASPNET

用于在 IIS 5.0 隔离模式下运行 Microsoft 工作进程的内置帐户。

默认用户权限:

从网络访问此计算机 (SeNetworkLogonRight)

作为批处理作业登录 (SeBatchLogonRight)

作为服务登录 (SeInteractiveLogonRight)

拒绝本地登录 (SeDenyInteractiveLogonRight)

拒绝通过终端服务登录 (SeDenyRemoteInteractiveLogonRight)