0

[1]は言う:

  • 「特定のアカウントをプロセスIDとして使用するように構成すると、ASP.NETはそのアカウントを委任しようとします。リモートマシンのローカルアカウントと同じ(パスワードを含む)ローカルアカウントの場合、委任が可能です。このようなアカウントはリモートマシンには存在せず、ネットワーク上ではWindows匿名アカウント(NT AUTHORITY \ ANONYMOUS LOGON)として表示されます。さらに、アカウントがリモートマシンにアクセスできるドメインアカウントである場合は、委任も可能です。 、その場合、そのアカウントのドメインネットワークIDを使用します。」

[2]通知:

  • 「すべてのロケールでのアカウントの名前は。\LocalSystemです。名前、LocalSystemまたはComputerName\LocalSystemも使用できます。」
    • 「このサービスは、コンピューターの資格情報をリモートサーバーに提示します

また、事前定義された「NT AUTHORITY \ LOCAL SYSTEM」(またはSYSTEM [3])はすべてのWindowsに存在し、
識別に使用できるはずです(クライアント(プロセス)がワークグループWindowsからアクセスされた場合でも)。

ただし、たとえば[3]の答えの列は、反対のことを示しています。

  • 'ワークグループでは、SIDはローカルワークステーションでのみ意味を持ちます。別のワークステーションにアクセスする場合、SIDは名前だけで転送されるわけではありません。「ローカルシステム」は他のシステムにアクセスできません

LocalSystemはリモート/ターゲットマシンによって識別されていますか?そしてどうやって?

  • ComputerName \ LocalSystemとして?
    また
  • NT AUHORITY \ LOCAL SYTEMとして?

更新:
この質問は完全にWindowsワークグループの開発環境のコンテキスト内にあります...
すべての回答はWindowsドメインに逸脱しています...


引用:
[1] ASP.NET
委任
http://msdn.microsoft.com/en-us/library/aa291350.aspx[2]LocalSystem アカウントhttp://msdn.microsoft.com/en-us/library/ms684190 .aspx [3] 私の質問「WindowsLocalSystemvs.System」に対するsysadmin1138の回答https://serverfault.com/questions/168752/windows-localsystem-vs-system






私の関連する質問:

4

2 に答える 2

1

シナリオには、ローカル(「クライアント」)マシン上のWindowsのバージョンと、サービスがWindowsサービスAPIとどの程度統合されているかに応じて、2つの可能性があります。-リモートマシンは、「クライアント」マシンからの要求をNTとして認識します。 AUTHORITY \ ANONYMOUS-リモートマシンは、「クライアント」マシンからの要求をDOMAIN\COMPUTER_ACCOUNT_NAMEとして認識します。

リモートマシンは、自身のプロセスからの要求のみをSYSTEM/LocalSystemからのものとして認識します。

リモートリクエストが原因で表示されているアカウントコンテキストをテストして確認する場合は、リモートシステムの監査ポリシーで[ログオンイベントの監査(成功と失敗)]を有効にします。また、 Microsoft Network Monitorなどのプロトコルアナライザを使用して補足的な(場合によっては役立つ)情報を見つけ、「クライアント」からリモートマシンに送受信されるパケットストリームをキャプチャすることもできます。

編集:関連する詳細については、関連する/重複する質問に対する私の回答も参照してください。

于 2010-10-27T19:35:26.213 に答える
1

System/LocalSystemおよびNETWORK SERVICE同様に、すべてがコンピュータアカウントとしてリモートで認証されますDOMAIN\MACHINENAME$。別の組み込みアカウントがあり、LOCAL SERVICEこれは常にリモートで認証されますANONYMOUS LOGON(したがって、ほとんどの認証に失敗します)。

これらの概念をSIDと名前として理解しようとしても、あまり意味がありません。認証はSSPIハンドシェイクであり、その最後にオーセンティケーターが認証対象のコンテキストトークンを照会し、アクセスを検証します(承認を実行します)。また、認証対象の名前をセキュリティコンテキストから照会することもできます。SSPIハンド酒がリモート(2つの異なるLSA間)である場合、QueryContextAttributes認証シナリオが成功すると、名前はリモートマシン名を返します。domain\machine$。1つのLSAのみが関与するループバックハンドシェイクの場合、同じ呼び出しでNETWORKSERVICEまたはSystemが返されます。ワークグループの場合のように、「ANONYMOUS LOGON」を認証するハンドシェイク、ローカルアカウントの使用、またはドメインの信頼境界を越えようとする可能性もありますが、基本的にすべての認証に失敗します。

于 2010-10-28T21:17:47.483 に答える