187 ответов в этой теме

[VVS]

на сайте майкрософта не удалось увидеть того, что нет доступа по сети у system, там в 1 месте только несколько размыто написано, но прямого запрета, без оговорок не видел.

Повторяю цитату с MS:

используется локальная системная учетная запись, но она не предоставляет доступ к сетевым ресурсам.

[basid]

от отрицания того что system имеет доступ к сети перешли к вариантам когда он все таки имеет доступ к сети.

Угу. И вариантов таких - есть.
Скажем, WS2k8 (и, вероятно, Win7) вне домена "не пускают" system'у в сеть.

[temporary]

Ешли пошли по форумам, то http://p10903.clients.m-10.ru/viewtopic.php?id=3703 system имеет доступ к сети если стоят разрешения на нужном компьютере.
очень часто встречается формулировка, что NT AUTHORITY\System имеет ограничения по доступу к сети, но доступ как таковой имеет.
Кто-то может проверит в разных условиях это?
Интересно что ещё может зависеть и от ОС. нужно как-то проверить.

Сообщение было изменено temporary: 08 Октябрь 2010 - 17:37

[VVS]

Ешли пошли по форумам, то http://p10903.clients.m-10.ru/viewtopic.php?id=3703 system имеет доступ к сети если стоят разрешения на нужном компьютере.
очень часто встречается формулировка, что NT AUTHORITY\System имеет ограничения по доступу к сети, но доступ как таковой имеет.

Лучше не по форумам, а обратиться к первоисточнику.

http://technet.microsoft.com/en-us/library/bb680595.aspx

The Local System account does not have any rights to access the network.

http://technet.microsoft.com/en-us/library/bb680398.aspx

Local System cannot access network resources

http://technet.microsoft.com/en-us/library/bb632397.aspx

LocalSystem cannot access network resources

Так что IMHO будет логичнее, если Вы будете доказывать обратное на сайте MS, объясняя им, что они плохо разбираются в своей OS.

[temporary]

В рабочей группе учетная запись Local System может подключиться к сетевому ресурсу, если на целевом сервере разрешен анонимный доступ (управляется политиками безопасности Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам и Сетевой доступ: разрешать анонимный доступ к общим ресурсам). Разумеется, ни о какой безопасности и разграничении доступа речи здесь не идет.

В домене учетная запись Local System способна подключаться к сетевым ресурсам под учетной записью доменного компьютера, типа COMPUTERNAME$. В этом случае для организации доступа целевой папке на сервере должны быть назначены Sharing Permissions для группы Authenticated Users и NTFS Permissions для группы Authenticated Users (или Domain Computers или для группы, в которую входит учетная запись доменного компьютера). Обратите внимание, что группа Everyone не подходит.

Ну спросит. А что дальше? Пользователь, от имени которого обновлялка запущена, доступа в сеть не имеет. Хоть десять паролей спросите - всё равно не получит.

а кто мешает спросить имня и праоль джля пользователя окторый имеет право выхода в сеть? Написать нетолько имя и пароль ведь можно.

[pig]

Ну спрошу я имя и пароль. Мне скажут. И что? Я-то не тот, кто к столу допущен.
Хотя процесс, запущенный от локальной системы, может себя олицетворить. А если от кого-то другого запущен?

[temporary]

если к столу не допущены, то маловероятно что и устанавливать будете.

[pig]

"Я" в данном случае == процесс, запущенный планировщиком от Local System.