Учетная запись NetworkService
Учетная запись NetworkService — это предопределенная локальная учетная запись, используемая диспетчером управления службами. Эта учетная запись не распознается подсистемой безопасности, поэтому вы не можете указать ее имя в вызове функции LookupAccountName . Он имеет минимальные привилегии на локальном компьютере и действует как компьютер в сети.
Эту учетную запись можно указать в вызове функций CreateService и ChangeServiceConfig . Обратите внимание, что у этой учетной записи нет пароля, поэтому любые сведения о пароле, указанные в этом вызове, игнорируются. Хотя подсистема безопасности локализует это имя учетной записи, SCM не поддерживает локализованные имена. Таким образом, вы получите локализованное имя для этой учетной записи из функции LookupAccountSid , но при вызове CreateService или ChangeServiceConfig имя учетной записи должно быть NT AUTHORITY\NetworkService, независимо от языкового стандарта, иначе могут возникнуть непредвиденные результаты.
Служба, которая выполняется в контексте учетной записи NetworkService, предоставляет учетные данные компьютера удаленным серверам. По умолчанию удаленный маркер содержит идентификаторы безопасности для групп Все и Пользователи, прошедшие проверку подлинности. Идентификатор безопасности пользователя создается на основе значения SECURITY_NETWORK_SERVICE_RID .
Учетная запись NetworkService имеет собственный подраздел в разделе реестра HKEY_USERS . Поэтому раздел реестра HKEY_CURRENT_USER связан с учетной записью NetworkService.
Учетная запись NetworkService имеет следующие привилегии:
- SE_ASSIGNPRIMARYTOKEN_NAME (отключено)
- SE_AUDIT_NAME (отключено)
- SE_CHANGE_NOTIFY_NAME (включено)
- SE_CREATE_GLOBAL_NAME (включено)
- SE_IMPERSONATE_NAME (включено)
- SE_INCREASE_QUOTA_NAME (отключено)
- SE_SHUTDOWN_NAME (отключено)
- SE_UNDOCK_NAME (отключено)
- Все привилегии, назначенные пользователям и пользователям, прошедшим проверку подлинности
Дополнительные сведения см. в разделе Безопасность службы и права доступа.
Network service что это за пользователь
Учетная запись NetworkService
Учетная запись NetworkService — предопределенная локальная учетная запись. Она имеет минимальные привилегии на локальном компьютере и действует как компьютер в сети. Имя учетной записи во всех местах действия — AUTHORITY\NetworkService . Эта учетная запись не имеет пароля. Если Вы определяете учетную запись NetworkService при вызове к функции CreateService, любая информация о пароле, которую Вы предоставляете, игнорируется.
Служба, которая запускается в контексте учетной записи NetworkService , представляет мандат компьютера как удаленного сервера. По умолчанию, удаленный маркер прав доступа включает в себя идентификаторы безопасности (SID) для Everyone (Каждой) и Authenticated (Прошедшей контроль доступа) групп пользователей. Пользовательский идентификатор безопасности (SID) создается из значения SECURITY_NETWORK_SERVICE_RID .
Учетная запись NetworkService имеет свой собственный подключ в ключе реестра HKEY_USERS. Поэтому, ключ реестра HKEY_CURRENT_USER связан с учетной записью NetworkService .
- SE_AUDIT_NAME
- SE_CHANGE_NOTIFY_NAME
- SE_UNDOCK_NAME
- Любые привилегии, назначенные для пользователей и прошедших контроль доступа пользователей
Windows 2000 и Windows NT: Эта учетная запись не поддерживается.
| Назад в оглавление |
| На главную страницу |
Sysadminium
Из этой статьи вы узнаете про ещё один компонент безопасности операционной системы Windows, а именно про виртуальные учетные записи для запуска служб.
Оглавление скрыть
Основы
Без этого механизма службы запускались от имени специальных учетных записей Local Service или Network Service. Или могли использовать обычные локальные или доменные учетки.
Однако первое не обеспечивало полной изоляции, ведь службы запущенные от имени одной учетной записи имеют почти одинаковые права и привилегии.
А создавать для каждой службы обычную локальную учетную запись тоже не правильно. Ведь для обычной учетки нужно задать пароль, периодически его менять и где-то хранить.
В итоге разработчики Microsoft придумали виртуальные учетные записи, которые они впервые внедрили в Windows Server 2008 R2 и Windows 7.
При использовании виртуальных учеток каждая служба запускается под своей собственной учетной записью. Это значит, что и со своим собственным SID. Имя такой учетной записи всегда начинается с префикса NT SERVICE\, за которым следует имя службы.
Виртуальные учетки имеют некоторые отличия от обычных:
- они не могут быть созданы или удалены с использованием обычных инструментов управления;
- они не могут входить в группы;
- система автоматически устанавливает и периодически изменяет пароль для такой учетной записи службы, при этом пароль не известен системным администраторам.
Также про эти учетки вы можете почитать на сайте miсrosoft.
Виртуальную учетную запись может создать администратор для любой службы в системе. Главное, затем нужно дать необходимые права для созданной учетки, чтобы служба смогла работать. А разработчики могут использовать в своём приложении специальное API для динамического создания и использования виртуальных учётных записей.
При перезапуске службы виртуальная учётная запись пересоздается. Таким образом к ней невозможно подобрать пароль.
Виртуальные учетные записи на практике
Теперь разберёмся, как использовать виртуальные учетки. Так как они предназначены для служб, то нужно открыть оснастку «Службы«:
Затем откройте свойства службы для которой вы хотите создать виртуальную учетную запись и перейдите на вкладку «Вход в систему«. Переключите флажок на «С учетной записью» и введите NT SERVICE\ , затем удалите оба пароля:
После чего примените изменения и перезапустите службу.
Я выше изменил службу «TeamViewer«, теперь она работает от имени «NT SERVICE\TeamViewer» и такой пользователь появился в системе. Его теперь можно использовать при назначении прав к файлам и каталогам. Только нужно не забывать что это локальная учетная запись, а не доменная.
Ниже на рисунке я показываю как можно разрешить доступ к файлу для созданной учетной записи TeamViewer:
Запуск сервера базы данных Navision как службы
Служба сервера приложений Navision по умолчанию работает от имени учетной записи NT Authority\Network Service, и это обеспечивает ей доступ к серверу базы данных, если оба сервера установлены на одном и том же компьютере. Но в сети, если требуется обеспечить доступ сервера приложений Navision к серверу базы данных Navision, необходимо гарантировать, что служба сервера приложений Navision будет выполняться от имени учетной записи домена Windows, опознаваемой сервером. Эта учетная запись не должна быть учетной записью администратора ни в домене, ни на одном локальном компьютере.