Nt authority system учетная запись. Доступ к сетевой папке под NT AUTHORITY\NetworkService

Встроенные логины SQL Server 2005, BUILTIN\Администраторы , , NT AUTHORITY\SYSTEM , sa

Сразу же после установки SQL Server 2005 в контейнере Logins появляется набор логинов, которые создаются автоматически. Скорее всего, для подключения пользователей вы не будете их использовать. Тем не менее, возникают ситуации, в которых знание встроенных логинов может пригодиться (например, если будет нечаянно заблокирован ваш административный логин).

q BUILTIN\Администраторы (или BUILTIN\Administrators , в зависимости от языка операционной системы) - логину для этой группы Windows автоматически предоставляются права системного администратора SQL Server . Обратите внимание, что, если компьютер входит в домен, в эту группу автоматически попадает группа Domain Admins (Администраторы домена), и, таким образом, администраторы домена по умолчанию обладают полными правами на SQL Server . Если такая ситуация нежелательна, то этот логин можно удалить. Но и в этом случае администраторам домена получить доступ к данным SQL Server будет несложно.

q Имя_сервера 2005MSFTEUser$Имя_сервера $Имя_экземпляра , Имя_сервера 2005MSSQLUser$Имя_сервера $Имя_экземпляра ,Имя_сервера 2005SQLAgentUser$Имя_сервера $Имя_экземпляра - эти три логина для групп Windows используются для подключения соответствующих служб к SQL Server 2005. На уровне SQL Server 2005 с ними нет необходимости производить какие-то операции, поскольку все необходимые права уже предоставлены. В редких ситуациях вам может потребоваться добавить в эти группы на уровне Windows учетные записи, от имени которых работают службы SQL Server .

q NT AUTHORITY\NETWORK SERVICE - от имени этой учетной записи в Windows Server 2003 работают приложения ASP .NET , в том числе и службы Reporting Services (в Windows 2000 для этой цели используется учетная запись ASPNET ). Этот логин Windows используется для подключения к SQL Server Reporting Services . Ему автоматически предоставляются необходимые права на базы данных m aster , m sdb и на базы данных, используемые Reporting Services .

q NT AUTHORITY\SYSTEM - это локальная системная учетная запись операционной системы. Такой логин появляется в тех ситуациях, когда вы при установке настроили работу службы SQL Server от имени локальной системной учетной записи. Можно сказать, что при помощи этого логина SQL Server обращается к самому себе. Конечно же, этот логин обладает правами системного администратора SQL Server .

q sa (от System Administrator )- это единственный логин типа SQL Server , который создается по умолчанию. Он обладает правами системного администратора SQL Server , и отобрать эти права у него нельзя. Удалить этот логин также не получится. Зато его можно переименовать или отключить. Если для SQL Server 2005 будет настроена аутентификация только средствами Windows , то использовать этот логин для подключения к серверу не удастся.

В рамках одного из проектов пришлось настраивать приложение, которое должно было выполнять резервное копирование базы данных на удаленном сервере MS SQL в файловое хранилище на другом сервере. Для доступа к удаленному хранилищу используется аккаунт, под которым работает MS SQL. В нашем случае MS SQL был запущен под локальной учетной записью Network Service (NT AUTHORITY\NetworkService). Естественно, у этой локальной учетной записи нет никаких полномочий на удаленной шаре. Можно кончено было переключить MS SQL на работу под доменной учетной записью (или ), однако можно настроить удаленный доступ к шаре и под NT AUTHORITY\NetworkService.

Как разрешить доступ к другому компьютеры под учеткой NetworkService

Если нужно предоставить доступ нескольким компьютерам, проще всего объединить их одной группой и предоставлять доступ уже группе. Создайте новую группу в AD и добавьте в нее все учетные записи компьютеров, которые должны обращаться к сетевому ресурсу с правами Network Service. В свойствах папки предоставьте необходимые разрешения группе.

А что с другими локальными аккаунтами?

При предоставлении доступа к ресурсу через учетную запись компьютера, предоставляется ли доступ всем остальным локальным учетным записям? Нет – доступ будет возможен только для учетных записей System и Network Service . Всем локальным учетным записям, которыми нужно разрешить доступ к сетевому ресурсу, придется предоставлять доступ индивидуально.

One only has to "Run as administrator" a program to see in the Task Manager that its user is oneself and not Administrator, and this miracle is achieved just by the modification of the access token, not by replacing the SID.

Second, NT-AUTHORITY and SYSTEM are neither accounts nor groups, in spite of what say various other sources (even inside Microsoft). An SID usually has a name that is displayed whenever required. A user account will contribute its SID as principal SID to the access token, which will also determine the name displayed by various utilities. But the access token may contain additional SIDs, for example for all the groups to which belongs that user account. When checking permissions, Windows will look for any SID in the access token that has that permission.

Some well-known Windows SIDs will have names reported by Windows, although they do not really belong to any account.

The LocalSystem account is a predefined local account used by the service control manager. [...] Its token includes the NT AUTHORITY\SYSTEM and BUILTIN\Administrators SIDs; these accounts have access to most system objects.

One can already see in the above text the confusion that reigns even in Microsoft documentation as regarding system SIDs, which are not exactly accounts nor groups - which are just a set of permissions. This confusion further extends to other utilities and articles, so any returned information should be carefully examined.

The Microsoft article Well-known security identifiers in Windows operating systems details all system SIDs, some of whom I include below:

Conclusion : NT-AUTHORITY\SYSTEM is the name of a Security ID, which is neither a group nor an account. It is displayed in Task Manager as SYSTEM when it is the principal SID of a program. The most I would call it is "a pseudo account".

ВНИМАНИЕ!!! ВНИМАНИЕ!!! ВНИМАНИЕ!!!
ОПАСНЫЙ ЧЕРВЬ!!!

Симптомы: При работе в сети внезапно выскакивает мессадж, сообщающий о том, что необходимо завершить все программы с сохранениями данных т.к. через 60 сек. произойдет перезагрузка.

Диагноз: Сетевой червь w32.Blaster.worm.Червь эксплуатирует найденную 16 июля уязвимость в сервисе RPC DCOM, присутствующую во всех операционных системах семейств Windows 2000, Windows XP и Windows 2003. Эта уязвимость - переполнение буфера, которое вызывается соответствующим образом составленным TCP/IP пакетом, пришедшим на порт 135, 139 или 445 атакуемого компьютера. Она позволяет как минимум провести DoS-атаку (DoS означает "Denial of Service", или "отказ в обслуживании", в данном случае - атакуемый компьютер перезагружается), а как максимум - выполнить в памяти атакуемого компьютера любой код. Новый червь при своем распространении проводит атаку на 135-й порт, и, в случае успеха, запускает программу TFTP.exe, с помощью которой скачивает на атакуемый компьютер свой исполняемый файл. При этом пользователю выдается сообщение об остановке сервиса RPC и последующей перезагрузке. После перезагрузки червь автоматически запускается и начинает сканировать доступные с компьютера сети на предмет компьютеров с открытым 135-м портом. При обнаружении таковых червь проводит атаку, и все повторяется сначала. Причем, судя по темпам распространения на данный момент, скоро червь выйдет на первое место в списках антивирусных компаний.

Лекарство: Существуют три способа защиты от червя. Во-первых, в бюллетене Microsoft приведены ссылки на патчи для всех уязвимых версий Windows, закрывающие брешь в RPC (эти патчи были выпущены еще 16 июля, поэтому тем, кто регулярно обновляет систему, беспокоиться не стоит). Во-вторых, если 135-й порт закрыт файрволлом - червь не сможет проникнуть на компьютер. В-третьих, в качестве крайней меры помогает отключение DCOM (подробно эта процедура описана в бюллетене от Microsoft). Таким образом, если вы еще не подверглись атаке червя - настоятельно рекомендуется как можно скорее скачать патч для вашей ОС с сервера Microsoft (например, воспользуйтесь службами Windows Update), либо настроить блокировку портов 135, 139 и 445 в файрволле. Если же ваш компьютер уже заражен (а появление сообщения об ошибке RPC однозначно означает, что он заражен), то необходимо выключить DCOM (иначе каждая следующая атака будет вызывать перезагрузку), после чего скачать и установить патч. Для уничтожения червя необходимо удалить из ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись "windows auto update"="msblast.exe", после чего найти и стереть файл msblast.exe - это и есть тело червя. Более подробно о процедуре удаления червя можно прочитать на сайте Symantec.

На данный момент не все антивирусы обнаруживают червя - надеяться на защиту с их стороны можно будет только после выхода обновлений.

Если такое сообщение у вас пока не появлялось качайте патчи от Дяди Билла:

Тут линки на лекарство для NT 4.0 и 2000, 2003 Server

Недавно, точнее недельку назад хватанул червя, причем сроду такого не было за все мое чайничество! Время ночь - мастера не вызовешь, да и деньги только на карточке - в кормане рублей 200. Что делать, комп нужен до зарезу!

Через телефон лезу в поисковики и забиваю написанное в заголовке темы название - мама моя, что я узнаю - эта тварь живет в инете с 1993 года, причем корпорация microsoft знает о ней, создатель проинформировал их специально. На сегодняшний день этот червь попадая в ваш комп приобретает права админа и способен вытворять любые фокусы.

Исследовав несколько десятков форумов, перечитав за сутки сотни советов я не зная сна лезу в недра своей системы и трясущимися руками начинаю открывать папки и файлы, о которых прочитал.С упорством голодного волка я ищу причину, но... я слишком малоопытен для этого.Опять через телефон я лезу к нам на сайт и пишу одному из наших модераторов... Проблема очень каверзная и чтобы не мучить меня человек советует снести систему и установить новую, но я никогда самостоятельно этого не делал! Он рассказывает мне по телефону (не жалея денег на междугородние переговоры) как шаг за шагом это сделать, а я сижу и записываю. После этого он ждет результата, а я сижу и понимаю, что мне очень жаль накопленной информации... и я принимаю решение, если сносить - успею всегда, а сейчас поборюсь своими силами.

В любом случае я знал, что со мной рядом наши гуру и они посоветуют что сделать и как. Пока же на свой страх и риск я делаю следующее:

1) Баннер отключает комп на перезагрузку через 60 секунд - значит надо это время увеличить и я по совету одного форумчанина успеваю перевести часы на год назад !

2) уже спокойно и не торопясь просматриваю весь реестр и программы через AnvirTaskManager - он единственный спрашивал о появлении новой программы, но я как лох разрешил пропустить.

3) ничего не поняв там, я запускаю полное сканирование AVASTом, предварительно установив в настройках все расширения.

через 3,5 часа он выдал мне 6 зараженных файлов - вот они

win32 malware-gen(2 штуки)

Fakeinst-T (2шт)

Этих вредителей я просто удаляю, даже не пытаясь лечить.

4)Затем иду в Revo Unystailer и удаляю все что устанавливал за последние несколько дней, вместе с AnvirTaskManager и Reg Organizier.

5) Гружу AVZ и запускаю.

И тут возникает проблема - у меня диск разделен на два С и Н. С сканируется нормально и ничего не находит, только начинает сканировать Н весь комп впадает в ступор. Перезагружаю- баннер уже не выскакивает и я успокаиваюсь, инет работает, но не открывается мозила, иду через гуглхром.

Проверяю Н в on-line режиме. Чисто! Открываю Н, пытаюсь выделить папку - опять комп зависает намертво! После нескольких попыток открыть, сканирую еще раз AVASTом и не найдя ничего решаю - копировать все на С.

После копирования на С очищаю весь Н и лезу в копию - все работает!!!

Час назад скачал и обновил Мозилу теперь Радуюсь жизни. Проверил все и теперь обновлю доктора W curellt и поставлю на ночь -уже для успокоения совести! Так что имейте ввиду дорогие коллеги - не все так страшно. Для безопасности ваших компов сделайте как указано в прикрепленном файле!!!

Да будет здоровье у наших PCюков!!!

С уважением ко всем читателям Алексей!