Local System/ Local service /network service 權限解析

1.Local   System (本地系統):
該賬戶具有相當高的權限。
首先，該賬戶也隸屬於本地Administrators   用戶組，因此所有本地Administrators用戶能夠進行的操作該賬戶也能夠進行，
其次，該賬戶還能夠控制文件的權限（NTFS   文件系統）和註冊表權限，甚至佔據所有者權限來取得訪問資格。
如果機器處於域中，那麼運行於Local   System   賬戶下的服務還可以使用機器賬戶在同一個森林中得到其他機器的自動認證，
最後一點就是運行於Local   System   下的進程能夠使用空會話（null   session）去訪問網絡資源。
而且，其他一些Windows 用戶模式下的核心組件也運行於該賬戶下，例如system32\Smss.exe 等。
需要注意的是，運行於此賬戶下的進程使用的是HKEY_USERS\.Default 賬戶配置，因此它不能夠訪問其他賬戶的配置。

舉例來說，以LocalSystem賬戶運行的服務主要有：WindowsUpdate   Client、   Clipbook、Com+、DHCP   Client、Messenger  

Service、Task   Scheduler、Server   Service、Workstation   Service，還有Windows   Installer。

2.Network   Service(網路服務)：
該賬戶也是爲了使用機器賬戶在網絡上的其他計算機上認證而設定的。但是他沒有Local   System   那麼多的權限。
它能夠以計算機的名義訪問網絡資源。以這個賬戶運行的服務會根據實際環境把訪問憑據提交給遠程的計算機。
運行於此賬戶下的進程使用網絡賬戶配置文件HKEY_USERS\S-1-5-20和Documents and Settings\NetworkService。 

舉例來說，以Network   Service賬戶運行的服務主要有：Distributed   Transaction   Coordinator、DNS   Client、

Performance   Logs   and   Alerts，還有RPC   Locator。

我之前的Sql 2005 因爲這個原因，只能附加FAT32（File Allocation Table）格式下的 mdf,ldf，不能附加NTFS（new Technology  file system）格式下的文件。

在 SQL Configuration Manager 中將登錄身份改爲 Local System 即可訪問。

3.Local   Service(本地服務):
Local   Service賬戶是預設的擁有最小權限的本地賬戶，並在網絡憑證中具有匿名的身份。
運行於此賬戶下的進程和運行於Network   Service   賬戶下的進程的區別
在於運行於Local   Service   賬戶下的進程只能訪問允許匿名訪問的網絡資源。
運行於Local   Service   下的賬戶使用的配置文件是HKU\S-1-5-19   和Documents   and   Settings\LocalService。

舉例來說，以Local   Service賬戶運行的服務主要有：Alerter、Remote   Registry、Smart   Card、SSDP，還有WebClient。

IIS 和內置帳戶

以下是 IIS 使用的內置帳戶、IIS 特定的帳戶及其關聯的用戶權限的列表。

	本地系統
	內置帳戶，該帳戶具有較高的訪問權限級別。如果工作進程標識作爲“本地系統”帳戶運行，則該工作進程具有整個系統的完全訪問權限。 網絡服務
	內置帳戶，該帳戶的系統訪問權限比“本地系統”帳戶少，但仍能通過網絡與計算機帳戶的憑據進行交互。對於 IIS 6.0，建議以“網絡服務”帳戶的身份運行爲應用程序池定義的工作進程標識。默認情況下，該工作進程標識以“網絡服務”帳戶的身份運行。 默認用戶權限： 替換進程級令牌 (SeAssignPrimaryTokenPrivilege) 調整進程的內存配額 (SeIncreaseQuotaPrivilege) 生成安全審覈 (SeAuditPrivilege) 忽略遍歷檢查 (SeChangeNotifyPrivilege) 從網絡訪問此計算機 (SeNetworkLogonRight) 作爲批處理作業登錄 (SeBatchLogonRight) 作爲服務登錄 (SeInteractiveLogonRight) 允許本地登錄 (SeInteractiveLogonRight) 本地服務
	內置帳戶，該帳戶的計算機訪問權限比“網絡服務”帳戶少，並且該帳戶的用戶權限僅限於本地計算機。如果工作進程不需要訪問所在服務器之外的地方，則可以使用“本地服務”帳戶。 默認用戶權限： 替換進程級令牌 (SeAssignPrimaryTokenPrivilege) 調整進程的內存配額 (SeIncreaseQuotaPrivilege) 生成安全審覈 (SeAuditPrivilege) 忽略遍歷檢查 (SeChangeNotifyPrivilege) 從網絡訪問此計算機 (SeNetworkLogonRight) 作爲批處理作業登錄 (SeBatchLogonRight) IIS_WPG
	IIS 組帳戶，只給該帳戶指派了在 Web 服務器上啓動和運行工作進程所需的最低權限和用戶權限。 默認用戶權限： 忽略遍歷檢查 (SeChangeNotifyPrivilege) 作爲批處理作業登錄 (SeBatchLogonRight) 從網絡訪問此計算機 (SeNetworkLogonRight) IUSR_computername
	具有 IIS 匿名訪問權限的 IIS 帳戶。默認情況下，當用戶訪問一個設置爲匿名驗證的網站時，就會將該用戶映射到 IUSR_comptername 帳戶。用戶具有與該帳戶完全相同的用戶權限。 默認用戶權限： 從網絡訪問此計算機 (SeNetworkLogonRight) 忽略遍歷檢查 (SeChangeNotifyPrivilege) 作爲批處理作業登錄 (SeBatchLogonRight) 允許本地登錄 (SeInteractiveLogonRight) IWAM_computername
	可在 IIS 5.0 隔離模式下啓動進程外應用程序的 IIS 帳戶。 默認用戶權限： 替換進程級令牌 (SeAssignPrimaryTokenPrivilege) 調整進程的內存配額 (SeIncreaseQuotaPrivilege) 忽略遍歷檢查 (SeChangeNotifyPrivilege) 從網絡訪問此計算機 (SeNetworkLogonRight) 作爲批處理作業登錄 (SeBatchLogonRight) ASPNET
	用於在 IIS 5.0 隔離模式下運行 Microsoft ASP.NET 工作進程的內置帳戶。 默認用戶權限： 從網絡訪問此計算機 (SeNetworkLogonRight) 作爲批處理作業登錄 (SeBatchLogonRight) 作爲服務登錄 (SeInteractiveLogonRight) 拒絕本地登錄 (SeDenyInteractiveLogonRight) 拒絕通過終端服務登錄 (SeDenyRemoteInteractiveLogonRight)