78 votes

Ian Boyd avatar

Comment accorder l'accès au réseau au compte LocalSystem?

Demandé el 26 de Avril, 2010
Quand la question a-t-elle été
256485 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Comment accorder l'accès aux ressources réseau au compte LocalSystem (NT AUTHORITY\SYSTEM) ?

Contexte

Lors de l'accès au réseau, le compte LocalSystem agit comme l'ordinateur sur le réseau :

Compte LocalSystem

Le compte LocalSystem est un compte local prédéfini utilisé par le gestionnaire de services.

... et agit comme l'ordinateur sur le réseau.

Ou pour dire la même chose encore une fois: le compte LocalSystem agit comme l'ordinateur sur le réseau :

Lorsqu'un service s'exécute sous le compte LocalSystem sur un ordinateur qui est membre d'un domaine, le service a accès au réseau qui est accordé au compte de l'ordinateur, ou à tout groupe dont le compte de l'ordinateur est membre.

Comment accorder à un "ordinateur" l'accès à un dossier partagé et des fichiers ?

Remarque :

Les comptes d'ordinateur ont généralement peu de privilèges et n'appartiennent pas à des groupes.

Comment pourrais-je accorder l'accès à un ordinateur à l'un de mes partages; en considérant que "Tout le monde" a déjà accès ?

Remarque : groupe de travail

| Compte         | Présente des informations d'identification |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonyme            |
| NetworkService | Machine$             |
Demandé el 26 de Avril, 2010 par Ian Boyd

0 votes

Avatar de manugupt1

Cette question est légèrement liée à la question concernant l'activation de l'accès anonyme à un partage posée précédemment - du moins il semble que cela puisse être résolu avec un partage accessible de manière anonyme.

Commenté el 26 de Août, 2015 par manugupt1

Réponses

Trop de publicités?

70voto

Massimo avatar
Massimo Points 67633

Dans un environnement de domaine, vous pouvez accorder des droits d'accès aux comptes d'ordinateur; cela s'applique aux processus s'exécutant sur ces ordinateurs en tant que LocalSystem ou NetworkService (mais pas LocalService, qui présente des informations d'identification anonymes sur le réseau) lorsqu'ils se connectent à des systèmes distants.

Donc, si vous avez un ordinateur appelé MANGO, cette machine aura un compte ordinateur dans Active Directory appelé MANGO$, auquel vous pouvez accorder des autorisations.

entrer la description de l'image ici

Remarque: Vous ne pouvez pas faire cela dans un environnement de groupe de travail; cela s'applique uniquement aux domaines.

Répondu el 26 de Avril, 2010 par Massimo (67633 Points )

7 votes

Avatar de Ian Boyd

+1 et accepté. Mais : LocalService peut accéder au réseau, il "présente simplement des informations d'identification anonymes sur le réseau" (msdn.microsoft.com/en-us/library/ms684188(VS.85).aspx)

Commenté el 27 de Avril, 2010 par Ian Boyd

1 votes

Avatar de BennyB

Juste pour mentionner, après avoir passé un temps non négligeable à essayer de faire fonctionner cela pour plusieurs domaines, je ne pense pas que ce soit possible. c'est-à-dire \\DOMAIN2\MANGO$ ne semble pas accorder l'accès.

Commenté el 9 de Juillet, 2013 par BennyB

0 votes

Avatar de Massimo

Cela fonctionne uniquement si les domaines sont en relation de confiance; sinon, vous avez raison, cela ne fonctionne pas.

Commenté el 9 de Juillet, 2013 par Massimo
Afficher 3 autres commentaires

5voto

Sandra avatar
Sandra Points 251

Il est utile de noter que les comptes d'ordinateur font également partie des Utilisateurs Authentifiés. Ainsi, vous n'avez pas à accorder des comptes individualisés computerName$ sur votre ressource réseau, vous pouvez couvrir tous vos ordinateurs en accordant des droits aux Utilisateurs Authentifiés, si tel est votre scénario souhaité.

Vous pouvez également utiliser VotreDomaine\Ordinateurs du Domaine

Répondu el 29 de Avril, 2020 par Sandra (251 Points )

0 votes

Avatar de mfinni

Le OP était un groupe de travail, donc cela ne fonctionnera pas pour la question telle qu'elle a été posée.

Commenté el 29 de Avril, 2020 par mfinni

0 votes

Avatar de Ian Boyd

D'autre part, stackexchange est un mélange de Wikipédia et de Reddit, et c'est une information utile à avoir dans cette entrée de wiki.

Commenté el 1 de Mai, 2020 par Ian Boyd

3voto

mfinni avatar
mfinni Points 35332

Vous ne le faites pas. Si vous avez besoin d'un service pour vous connecter à des fichiers distants ou à d'autres services réseau, alors vous voulez que le service s'exécute sous un compte nommé, et sur la machine distante, attribuez des droits à ce compte nommé.

Il serait vraiment préférable que vous expliquiez entièrement ce que vous essayez de faire - de cette façon, vous obtiendrez les meilleures réponses.

Répondu el 26 de Avril, 2010 par mfinni (35332 Points )

8 votes

Avatar de Massimo

Totalement incorrect. Vous pouvez accorder des autorisations aux comptes machine (et donc aux services s'exécutant en leur nom) exactement de la même manière que vous pouvez les accorder aux comptes utilisateur. Il y a bien sûr des scénarios où cela pourrait ne pas être la meilleure solution, mais c'est parfaitement réalisable.

Commenté el 26 de Avril, 2010 par Massimo

0 votes

Avatar de eyelidlessness

@Massimo : mfinni ne dit pas que vous ne pouvez pas techniquement le faire, mais que vous ne voulez pas le faire - Il est préférable de faire fonctionner le service en tant que compte nommé.

Commenté el 26 de Avril, 2010 par eyelidlessness

1 votes

Avatar de Massimo

La réponse ressemblait exactement à ça, c'est la raison de mon vote négatif ; de plus, l'auteur original semble bien connaître la différence entre un compte utilisateur et un compte informatique, donc répondre à sa question par "ne fais pas ça" ne me semblait pas correct.

Commenté el 26 de Avril, 2010 par Massimo
Afficher 7 autres commentaires

-1voto

Frank Wolf avatar
Frank Wolf Points 1

C'est simple :

Placez le compte AD de la machine dans le groupe Administrateurs local et ensuite cette machine (ou son compte administrateur local) peut accéder pleinement à la destination VIA le réseau. Testé aujourd'hui, fonctionne bien.

Répondu el 28 de Août, 2018 par Frank Wolf (1 Points )

5 votes

Avatar de Cory Knutson

Bien que cela soit fonctionnel, ce n'est PAS recommandé ou la meilleure pratique. Le compte Local System est appelé local pour une raison. Si vous souhaitez accorder un accès réseau à quelque chose, le service ou autre doit être modifié pour s'exécuter en tant qu'un autre utilisateur. Ce serait comme accorder l'accès administrateur au compte invité sur une machine. Cela fonctionnerait, mais cela va à l'encontre de l'objectif pour lequel il a été construit.

Commenté el 28 de Août, 2018 par Cory Knutson

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X