smw*_*dia 2 windows iis windows-server-2008
我从这里读到:
在本地计算机上,管理员可以将应用程序配置为作为本地服务、网络服务或本地系统运行。这些服务帐户易于配置和使用,但通常在多个应用程序和服务之间共享,并且无法在域级别进行管理。
我只是不明白为什么不能在域级别管理这些帐户,因为它们都有众所周知的 SID?
谢谢你的时间。
这些是“普遍知名的 SID”;它们对于每台机器都是相同的,并且没有“域标识符”组件,因此它们不能与任何特定域相关联。(如果他们这样做了,将机器加入域会破坏很多东西,尤其是 ACL。)
例如,一个普通的用户 SID 看起来像S-1-5-21-2814603912-1974576649-1524133500-1001。
这里,21是 SECURITY_NT_NON_UNIQUE,2814603912-1974576649-1524133500是域标识符,1013是相对 ID。
相比之下,LOCAL SYSTEM有 SID S-1-5-18。
FWIW,这三个帐户甚至都不是 SAM 中的真实帐户。它们是在 Windows 本身中预定义的。
| 归档时间: |
|
| 查看次数: |
292 次 |
| 最近记录: |