本地系统:完全受信任的帐户,比管理员帐户更重要。单个机器上没有此帐户无法执行的任何操作,并且 它有权 作为机器访问网络(这需要 Active Directory 并授予机器帐户权限)”
http://msdn.microsoft.com/en-us/library/aa274606 (SQL.80) .aspx(准备安装 SQL Server 2000(64 位) - 创建 Windows 服务帐户)告诉:
“本地系统帐户不需要密码,没有网络访问权限,并限制您的 SQL Server 安装与其他服务器交互。 ”
http://msdn.microsoft.com/en-us/library/ms684190 (v=VS.85) .aspx(本地系统帐户,构建日期:8/5/2010)告诉:
“ LocalSystem帐户是服务控制管理器使用的预定义本地帐户。安全子系统无法识别此帐户 ,因此您无法在调用 LookupAccountName 函数时指定其名称。它在本地计算机上具有广泛的权限,并且充当网络上的计算机。它的令牌包括 NT AUTHORITY\SYSTEM 和 BUILTIN\Administrators SID;这些帐户可以访问大多数系统对象。所有语言环境中的帐户名称为 .\LocalSystem。名称,LocalSystem 或 ComputerName \LocalSystem也可以使用。这个账户没有密码。如果你指定了 LocalSystem 在调用 CreateService 函数时,您提供的任何密码信息都将被忽略”
http://technet.microsoft.com/en-us/library/ms143504.aspx (设置 Windows 服务帐户)告诉:
本地系统是一个特权非常高的内置帐户。它在本地系统上拥有广泛的特权,并充当网络上的计算机。 > 帐户的实际名称为“NT AUTHORITY\SYSTEM”。
Windows 操作系统中众所周知的安全标识符 ( http://support.microsoft.com/kb/243330 ) 根本没有任何SYSTEM …
在 Microsoft Docs 文章默认组中阅读了这两个组的描述:
域管理员
该组的成员可以完全控制域。默认情况下,该组在所有域控制器、所有域工作站和所有域成员服务器加入域时都是管理员组的成员。默认情况下,管理员帐户是该组的成员。由于该组在域中具有完全控制权,因此请谨慎添加用户。”
管理员
该组的成员可以完全控制域中的所有域控制器。默认情况下,域管理员和企业管理员组是管理员组的成员。管理员帐户也是默认成员。由于该组在域中具有完全控制权,因此请谨慎添加用户。”
并且同一篇文章指出两个组对其默认用户权限的描述完全相同:
从网络访问这台计算机;调整进程的内存配额;备份文件和目录;绕过遍历检查;更改系统时间;创建一个页面文件;调试程序;使计算机和用户帐户受信任以进行委派;从远程系统强制关闭;增加调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审计和安全日志;修改固件环境值;型材单一工艺;型材系统性能;从扩展坞中取出计算机;恢复文件和目录;关闭系统;取得文件或其他对象的所有权。
此外,Microsoft Docs 文章默认本地组包括对管理员组的以下描述:
该组的成员可以完全控制服务器,并可以根据需要为用户分配用户权限和访问控制权限。管理员帐户也是默认成员。当此服务器加入域时,Domain Admins 组会自动添加到该组中...”
[强调我的]
鉴于以上,我不明白:
此问题是问题的子问题,并在问题的上下文中提出:加入 AD 的机器的本地用户的上下文是域机器帐户还是本地机器帐户?
我是一名开发人员,很好奇如何使用 Windows 服务器机器。
在(*)定义的上下文中,在该帐户下启动的 Windows AD 加入机器由 AD DC(域控制器)识别/保护:
加入 AD 的机器显示登录屏幕,此后允许进行 2 次基本登录:
在哪种情况下 - B) 或 C) - 在 A) 之后运行以下内容,即在登录屏幕之后,进一步登录的本地用户 1)?
更新 1:
我知道流程的识别、模拟和委托是如何工作的。
这个问题是关于何时启动 Windows 机器并显示带有选项的交互式登录屏幕。
1)在任何(交互式)用户登录之前,它是在哪个机器帐户下启动的?当它显示登录屏幕?
2)
好吧,基本上我正在重写原始问题。
但是,阅读(*) 后,我无法理解为什么根本需要“计算机演示系统的机器 SID”(在表 1 中)。在将机器加入 AD 之前,它不用于访问其他机器,更不用说(将机器加入 AD 之后)似乎需要它。
更新 2:
此外,很难相信加入域之前机器的本地用户帐户与加入后相同。即使对于 AD 计算机的本地帐户,但不是工作组 1,DC 已识别计算机并保护信道。
从这个问题派生的子问题:
windows active-directory domain-controller windows-authentication user-accounts
问题 1) 和 2) 被移到单独的线程中哪些 Windows 远程连接绕过 LSA?登录与登录会话的定义是什么?
3)
我是否正确理解 Windows XP 支持多个远程 RDP 会话但需要额外(或修改)许可?
哪一个?
或者在 Windows XP 上运行多个 RDP 会话总是非法的?即使通过非 MS 商业软件?
更新1:
我已经理解我的错误——主要问题是关于定义(对于找到与他人的共同语言很重要),许可问题是附带的——但它已经得到了回答。
我将尝试将这些问题分开,留下有关 RDp 许可的问题并将其他问题迁移到单独的线程中
更新2:
试图“解决”许可条款毫无意义且浪费时间
我从不尝试“解决问题”,也从不问这样的问题,我不是许可方面的专家。我的客户/雇主为我提供工具和许可支持。他们有公司律师、计划/会计/采购部门来处理这些问题。
我问的问题是我的开发工作中的可扩展性和效率(节省我和其他人的时间)问题。
例如,仅仅因为我需要对 Windows AD 进行身份验证,使用 ADAM 而不是使用 DC + 服务器 + 其他任何东西部署成熟的 AD 可以节省时间?
没有人强迫您使用 Windows XP
我不会急于在我所有的开发机器上重新安装我的所有操作系统(在家里,在客户端),只是因为有几个人在 serverfault.com 上对与开发相关的问题进行投票很有趣。如果我这样做了,我会在我同事等人的眼里把我当成一个小丑
更新:
我没有将此问题标记为已回答,因为它甚至没有解决这个问题,至少是我的问题。
我是否应该理解允许 Windows® XP 和 Windows® Small Business Server 2003 托管多个远程桌面会话的Terminal Server PRO是非法的?
相关:
我对问题的回答Windows XP 是否一次支持多个远程登录会话 (RDP)?
SQL Server Developer Edition 与 SQL Server Standard/Enterprise 中的Rob Farley出色地总结了:
开发人员版只是企业版,没有在生产环境中使用的许可证。此外,它不需要安装在服务器操作系统上(即,您可以将其安装在 Win7、Vista、XP 上)。
此外,我的经验表明,在相同的条件下(在同一台机器上等),Developer Edition 的性能优于 Enterprise Ed。
为什么不能在生产环境中的工作站 Windows (XP/7) 上使用(或什至安装)MS SQL Server?
我对这个问题的技术方面很感兴趣。
请把许可和道德方面的问题排除在这个线程之外(如果你觉得合适,请打开你自己的
windows ×3
sql-server ×2
workgroup ×2
groups ×1
licensing ×1
login ×1
rdp ×1
runas ×1
windows-xp ×1