Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Учетная запись компьютера или учетная запись LocalSystem имеет высокий уровень привилегий с доступом к почти всем ресурсам на локальном компьютере. Учетная запись не связана с учетными записями пользователей, вошедшего в систему. Службы, работающие под учетной записью LocalSystem, получают доступ к сетевым ресурсам, представляя учетные данные компьютера удаленным серверам в формате <domain_name>\\<computer_name>$. Предопределенное имя учетной записи компьютера — это NT AUTHORITY\SYSTEM. Вы можете запустить службу и предоставить контекст безопасности для этой службы.
Преимущества использования учетной записи компьютера
Учетная запись компьютера имеет следующие преимущества:
- Неограниченный локальный доступ — учетная запись компьютера обеспечивает полный доступ к локальным ресурсам компьютера
- Автоматическое управление паролями — удаляет необходимость вручную измененных паролей. Учетная запись является членом Active Directory, и его пароль изменяется автоматически. При использовании учетной записи компьютера не требуется регистрировать имя главного объекта службы.
- Ограниченные права доступа на компьютере — список управления доступом по умолчанию в доменных службах Active Directory (AD DS) обеспечивает минимальный доступ к учетным записям компьютеров. Во время доступа неавторизованного пользователя служба имеет ограниченный доступ к сетевым ресурсам.
Оценка состояния безопасности учетной записи компьютера
Используйте следующую таблицу для проверки потенциальных проблем с учетной записью компьютера и их смягчения.
| Проблема с учетной записью компьютера | Смягчение последствий |
|---|---|
| Учетные записи компьютеров подлежат удалению и повторному созданию при выходе компьютера из домена и повторном подключении к домену. | Подтвердите требование, чтобы добавить компьютер в группу Active Directory. Чтобы проверить учетные записи компьютеров, добавленные в группу, используйте скрипты в следующем разделе. |
| При добавлении учетной записи компьютера в группу, службы, которые работают как LocalSystem на этом компьютере, получают права доступа к группе. | Будьте разборчивы в отношении членства учетных записей компьютеров в группах. Не делайте учетную запись компьютера членом группы администраторов домена. Связанная служба имеет полный доступ к AD DS. |
| Неточные значения сети по умолчанию для LocalSystem. | Не предполагайте, что учетная запись компьютера имеет ограниченный доступ к сетевым ресурсам по умолчанию. Вместо этого подтвердите членство в группах для учетной записи. |
| Неизвестные службы, которые выполняются как LocalSystem. | Убедитесь, что службы, выполняемые под учетной записью LocalSystem, являются службами Майкрософт или доверенными службами. |
Поиск служб и учетных записей компьютера
Чтобы найти службы, выполняемые под учетной записью компьютера, используйте следующий командлет PowerShell:
Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}
Чтобы найти учетные записи компьютера, которые являются членами определенной группы, выполните следующий командлет PowerShell:
Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf
Чтобы найти учетные записи компьютера, являющиеся членами групп администраторов идентификации (администраторы домена, администраторы предприятия и администраторы), выполните следующий командлет PowerShell:
Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"
Рекомендации по учетной записи компьютера
Это важно
Учетные записи компьютерной системы обладают высоким уровнем привилегий, поэтому используйте их, если вашей службе требуется неограниченный доступ к локальным ресурсам на этом компьютере и вы не можете воспользоваться управляемой учетной записью службы (MSA).
- Подтвердите, что служба владельца работает с MSA
- Используйте учетную запись управляемой группы службы (gMSA) или управляемую автономную учетную запись службы (sMSA), если служба поддерживает их.
- Использование учетной записи пользователя домена с разрешениями, необходимыми для запуска службы
Дальнейшие шаги
Дополнительные сведения о защите учетных записей служб см. в следующих статьях: