1.Local System (本地系統):
該賬戶具有相當高的權限。
首先,該賬戶也隸屬於本地Administrators 用戶組,因此所有本地Administrators用戶能夠進行的操作該賬戶也能夠進行,
其次,該賬戶還能夠控制文件的權限(NTFS 文件系統)和註冊表權限,甚至佔據所有者權限來取得訪問資格。
如果機器處於域中,那麼運行於Local System 賬戶下的服務還可以使用機器賬戶在同一個森林中得到其他機器的自動認證,
最後一點就是運行於Local System 下的進程能夠使用空會話(null session)去訪問網絡資源。
而且,其他一些Windows 用戶模式下的核心組件也運行於該賬戶下,例如system32\Smss.exe 等。
需要注意的是,運行於此賬戶下的進程使用的是HKEY_USERS\.Default 賬戶配置,因此它不能夠訪問其他賬戶的配置。
舉例來說,以LocalSystem賬戶運行的服務主要有:WindowsUpdate Client、 Clipbook、Com+、DHCP Client、Messenger
Service、Task Scheduler、Server Service、Workstation Service,還有Windows Installer。
2.Network Service(網路服務):
該賬戶也是爲了使用機器賬戶在網絡上的其他計算機上認證而設定的。但是他沒有Local System 那麼多的權限。
它能夠以計算機的名義訪問網絡資源。以這個賬戶運行的服務會根據實際環境把訪問憑據提交給遠程的計算機。
運行於此賬戶下的進程使用網絡賬戶配置文件HKEY_USERS\S-1-5-20和Documents and Settings\NetworkService。
舉例來說,以Network Service賬戶運行的服務主要有:Distributed Transaction Coordinator、DNS Client、
Performance Logs and Alerts,還有RPC Locator。
我之前的Sql 2005 因爲這個原因,只能附加FAT32(File Allocation Table)格式下的 mdf,ldf,不能附加NTFS(new Technology file system)格式下的文件。
在 SQL Configuration Manager 中將登錄身份改爲 Local System 即可訪問。
3.Local Service(本地服務):
Local Service賬戶是預設的擁有最小權限的本地賬戶,並在網絡憑證中具有匿名的身份。
運行於此賬戶下的進程和運行於Network Service 賬戶下的進程的區別
在於運行於Local Service 賬戶下的進程只能訪問允許匿名訪問的網絡資源。
運行於Local Service 下的賬戶使用的配置文件是HKU\S-1-5-19 和Documents and Settings\LocalService。
舉例來說,以Local Service賬戶運行的服務主要有:Alerter、Remote Registry、Smart Card、SSDP,還有WebClient。
IIS 和內置帳戶
以下是 IIS 使用的內置帳戶、IIS 特定的帳戶及其關聯的用戶權限的列表。
本地系統 |
|
---|---|
內置帳戶,該帳戶具有較高的訪問權限級別。如果工作進程標識作爲“本地系統”帳戶運行,則該工作進程具有整個系統的完全訪問權限。 網絡服務 |
|
內置帳戶,該帳戶的系統訪問權限比“本地系統”帳戶少,但仍能通過網絡與計算機帳戶的憑據進行交互。對於 IIS 6.0,建議以“網絡服務”帳戶的身份運行爲應用程序池定義的工作進程標識。默認情況下,該工作進程標識以“網絡服務”帳戶的身份運行。 默認用戶權限:
本地服務 |
|
內置帳戶,該帳戶的計算機訪問權限比“網絡服務”帳戶少,並且該帳戶的用戶權限僅限於本地計算機。如果工作進程不需要訪問所在服務器之外的地方,則可以使用“本地服務”帳戶。
默認用戶權限:
IIS_WPG |
|
IIS 組帳戶,只給該帳戶指派了在 Web 服務器上啓動和運行工作進程所需的最低權限和用戶權限。
默認用戶權限:
IUSR_computername |
|
具有 IIS 匿名訪問權限的 IIS 帳戶。默認情況下,當用戶訪問一個設置爲匿名驗證的網站時,就會將該用戶映射到 IUSR_comptername 帳戶。用戶具有與該帳戶完全相同的用戶權限。 默認用戶權限:
IWAM_computername |
|
可在 IIS 5.0 隔離模式下啓動進程外應用程序的 IIS 帳戶。
默認用戶權限:
ASPNET |
|
用於在 IIS 5.0 隔離模式下運行 Microsoft ASP.NET 工作進程的內置帳戶。 默認用戶權限:
|