Nt authority system учетная запись. Доступ к сетевой папке под NT AUTHORITY\NetworkService
Встроенные логины SQL Server 2005, BUILTIN\Администраторы , , NT AUTHORITY\SYSTEM , sa
Сразу же после установки SQL Server 2005 в контейнере Logins появляется набор логинов, которые создаются автоматически. Скорее всего, для подключения пользователей вы не будете их использовать. Тем не менее, возникают ситуации, в которых знание встроенных логинов может пригодиться (например, если будет нечаянно заблокирован ваш административный логин).
q BUILTIN\Администраторы (или BUILTIN\Administrators , в зависимости от языка операционной системы) - логину для этой группы Windows автоматически предоставляются права системного администратора SQL Server . Обратите внимание, что, если компьютер входит в домен, в эту группу автоматически попадает группа Domain Admins (Администраторы домена), и, таким образом, администраторы домена по умолчанию обладают полными правами на SQL Server . Если такая ситуация нежелательна, то этот логин можно удалить. Но и в этом случае администраторам домена получить доступ к данным SQL Server будет несложно.
q Имя_сервера 2005MSFTEUser$Имя_сервера $Имя_экземпляра , Имя_сервера 2005MSSQLUser$Имя_сервера $Имя_экземпляра ,Имя_сервера 2005SQLAgentUser$Имя_сервера $Имя_экземпляра - эти три логина для групп Windows используются для подключения соответствующих служб к SQL Server 2005. На уровне SQL Server 2005 с ними нет необходимости производить какие-то операции, поскольку все необходимые права уже предоставлены. В редких ситуациях вам может потребоваться добавить в эти группы на уровне Windows учетные записи, от имени которых работают службы SQL Server .
q NT AUTHORITY\NETWORK SERVICE - от имени этой учетной записи в Windows Server 2003 работают приложения ASP .NET , в том числе и службы Reporting Services (в Windows 2000 для этой цели используется учетная запись ASPNET ). Этот логин Windows используется для подключения к SQL Server Reporting Services . Ему автоматически предоставляются необходимые права на базы данных m aster , m sdb и на базы данных, используемые Reporting Services .
q NT AUTHORITY\SYSTEM - это локальная системная учетная запись операционной системы. Такой логин появляется в тех ситуациях, когда вы при установке настроили работу службы SQL Server от имени локальной системной учетной записи. Можно сказать, что при помощи этого логина SQL Server обращается к самому себе. Конечно же, этот логин обладает правами системного администратора SQL Server .
q sa (от System Administrator )- это единственный логин типа SQL Server , который создается по умолчанию. Он обладает правами системного администратора SQL Server , и отобрать эти права у него нельзя. Удалить этот логин также не получится. Зато его можно переименовать или отключить. Если для SQL Server 2005 будет настроена аутентификация только средствами Windows , то использовать этот логин для подключения к серверу не удастся.
В рамках одного из проектов пришлось настраивать приложение, которое должно было выполнять резервное копирование базы данных на удаленном сервере MS SQL в файловое хранилище на другом сервере. Для доступа к удаленному хранилищу используется аккаунт, под которым работает MS SQL. В нашем случае MS SQL был запущен под локальной учетной записью Network Service (NT AUTHORITY\NetworkService). Естественно, у этой локальной учетной записи нет никаких полномочий на удаленной шаре. Можно кончено было переключить MS SQL на работу под доменной учетной записью (или ), однако можно настроить удаленный доступ к шаре и под NT AUTHORITY\NetworkService.
Как разрешить доступ к другому компьютеры под учеткой NetworkService
Если нужно предоставить доступ нескольким компьютерам, проще всего объединить их одной группой и предоставлять доступ уже группе. Создайте новую группу в AD и добавьте в нее все учетные записи компьютеров, которые должны обращаться к сетевому ресурсу с правами Network Service. В свойствах папки предоставьте необходимые разрешения группе.
А что с другими локальными аккаунтами?
При предоставлении доступа к ресурсу через учетную запись компьютера, предоставляется ли доступ всем остальным локальным учетным записям? Нет – доступ будет возможен только для учетных записей System и Network Service . Всем локальным учетным записям, которыми нужно разрешить доступ к сетевому ресурсу, придется предоставлять доступ индивидуально.
One only has to "Run as administrator" a program to see in the Task Manager that its user is oneself and not Administrator, and this miracle is achieved just by the modification of the access token, not by replacing the SID.
Second, NT-AUTHORITY and SYSTEM are neither accounts nor groups, in spite of what say various other sources (even inside Microsoft). An SID usually has a name that is displayed whenever required. A user account will contribute its SID as principal SID to the access token, which will also determine the name displayed by various utilities. But the access token may contain additional SIDs, for example for all the groups to which belongs that user account. When checking permissions, Windows will look for any SID in the access token that has that permission.
Some well-known Windows SIDs will have names reported by Windows, although they do not really belong to any account.
The LocalSystem account is a predefined local account used by the service control manager. [...] Its token includes the NT AUTHORITY\SYSTEM and BUILTIN\Administrators SIDs; these accounts have access to most system objects.
One can already see in the above text the confusion that reigns even in Microsoft documentation as regarding system SIDs, which are not exactly accounts nor groups - which are just a set of permissions. This confusion further extends to other utilities and articles, so any returned information should be carefully examined.
The Microsoft article Well-known security identifiers in Windows operating systems details all system SIDs, some of whom I include below:
Conclusion : NT-AUTHORITY\SYSTEM is the name of a Security ID, which is neither a group nor an account. It is displayed in Task Manager as SYSTEM when it is the principal SID of a program. The most I would call it is "a pseudo account".