Что на самом деле означает сервисный аккаунт и какое влияние он оказывает на сам сервис?
Так сервис "входит" в ОС.
В сервисах он в основном существует в целях безопасности, но все равно означает то же, что и обычные учетные записи пользователей для программ: он определяет, какой доступ к системе вы будете иметь.
Например, папка C:\Users\Ringger81 имеет "списки контроля доступа", в которых говорится, что пользователь Ringger81 может читать и изменять эти файлы, но другие пользователи не могут. Таким образом, если вы войдете в Windows как Ringger81 вы получите доступ к этим файлам, но другие учетные записи (например, семейство) не будут иметь никаких.
Если служба работает как пользователь Ringger81 , она работает точно так же.
(Не только файлы имеют списки ACL, но также процессы, устройства, ключи реестра, принтеры, ... многие другие объекты. Вот почему в Windows есть пользователи и администраторы, а также приглашение "Разрешить этому приложению вносить изменения".)
Каков синтаксис поля "Этот аккаунт"? Для чего означает NT AUTHORITY\LocalService?
Во всех сериях Windows NT учетные записи пользователей именуются как <DOMAIN>\<username> . Домен описывает, откуда исходит учетная запись, и может быть:
- На автономных ПК (рабочих группах) это имя компьютера, поскольку у каждого компьютера есть свои учетные записи.
- На компьютерах, подключенных к домену (Active Directory), локальные учетные записи такие же, как указано выше, но учетные записи домена , конечно, имеют префикс AD с "коротким доменным именем". Таким образом, один и тот же компьютер может иметь
JOES-PC\Joe (локальный) и MYCOMPANY\Joe (из AD).
- Специальный домен
NT AUTHORITY предназначен для различных встроенных учетных записей, которые поставляются с каждой установкой Windows. Например, NT AUTHORITY\SYSTEM является самой привилегированной учетной записью (даже выше администраторов) и используется основными службами Windows. NT AUTHORITY\LocalService похож, но немного ограничен.
. .\Joe) означает локальную учетную запись на этом компьютере; точка заменяется именем компьютера.
Можете ли вы привести пример случая для настройки Вход в систему как учетную запись указанного пользователя (например, "Пометить пользователя") вместо учетной записи локальной системы по умолчанию?
Предоставление услуг в качестве "Локальной системы" может быть рискованным. У них полный неограниченный доступ к компьютеру (опять же даже больше, чем у администраторов).
Допустим, вы устанавливаете веб-сервер Apache (через XAMPP или любой другой) и настраиваете его для размещения небольшого веб-сайта. В прошлом как у самого Apache, так и у популярных платформ веб-сайтов (таких как Wordpress) было множество ошибок, позволяющих посетителю изменять файлы, которые он не должен, или даже обманывать сайт в запуск программ / команд на сервере.
Если бы Apache работал на своей собственной выделенной учетной записи, ущерб был бы ограничен тем, что может сделать его учетная запись: хакер может удалить файлы сайта или полностью отключить Apache, но не более того. Если бы они установили вредоносное ПО, его было бы легко очистить.
Но если бы Apache работал как "Локальная система", хакер, обнаруживший дыру в безопасности, мог сделать с сервером все что угодно , например, украсть ваши личные файлы, полностью заблокировать вас или даже удалить все содержимое диска.
Обратите внимание, что в приведенном выше примере есть выделенная учетная запись, поскольку она обеспечивает максимальную защиту. Позволять сервисам работать под "человеческим" аккаунтом не очень полезно.
