Windows NT のローカル システム アカウントと Null セッション

文書翻訳 文書翻訳
文書番号: 132679 - 対象製品
この記事は、以前は次の ID で公開されていました: JP132679
すべて展開する | すべて折りたたむ

目次

概要

この資料では、ローカル システム アカウントとそのセキュリティのほか、ローカル システムのセキュリティ コンテキストでアプリケーションを実行する上で便利な方法について説明します。

詳細

背景

シェル アプリケーション (通常は、PROGMAN.EXE) は、DOMAIN\USER セキュリティ コンテキストで実行されます。シェル プロセスから開始されるほとんどのプロセスは、同じセキュリティ コンテキストを継承します。

Windows NT のサービスを設定する際、サービスを開始するときに使用するセキュリティ コンテキストを選択します。この選択を行なうのは、ユーザーがサービスを開始することはほとんどないためです。サービスによって使用されているセキュリティを確認するには、次の手順を実行します。
  1. [コントロール パネル] の [サービス] アイコンをダブルクリックします。
  2. サービスを選択し、[スタートアップ] をクリックします。
サービスのセキュリティ コンテキストは、[ログオン] ウィンドウ ペインで設定されます。

システム アカウントを使用するサービス

システム アカウントを使用するサービスは、(アカウント情報を保持しない) システム コンテキストを使って開始されます。Windows NT 3.5 以降では、アカウント情報を必要としない (ドメイン名、ユーザー名、パスワードを入力しない) Windows NT サービスがネットワーク リソースに接続しようとすると、そのサービスはアクセスを拒否されます (これは、こうしたサービスがアクセス情報を保持しておらず、Null セッションを使用しているためです)。関連情報については、Microsoft Knowledge Base の次の資料を参照してください。
122702 Using the System Account as a Service in Windows NT 3.5

注 : システム アカウントと、アカウント "LocalSystem" は同じアカウントを使用します。



Null セッションが確立するのは、プロセスの開始にアカウント情報を必要としない (ユーザー名とパスワードの入力が必要ない) 場合に限られます。通常は、オペレーティング システム自身のみがシステムとして実行されます。

ローカル コンピュータでは、オペレーティング システムは次のように認識されます。
   Default Owner:   Administrators    local group
   User:            System            pseudo group - local group scope
   Groups:          Administrators    local group
                    Everyone          pseudo group - local group scope

このコンテキストが、ネットワークのアクセスに使用された場合、Null セッションが使用されます。この結果、リモート コンピュータで次のコンテキストが生成されます。
   Default Owner:   Everyone
   User:            Everyone
   Groups:          AnonymousLogon    pseudo group - local group scope
                    Network           pseudo group - local group scope

Null セッション アクセスを提供することができるのは、3 つの識別子 (Everyone、AnonymousLogon、Network) に限られます。ローカル システム コンテキストと Null セッション コンテキストは、どちらも Everyone 識別子しか持つことができません。サービスが、コンピュータ上のオブジェクトに直接アクセスしたり、ネットワーク上のオブジェクトにアクセスしたりできるように Windows NT を構成するには、Everyone 識別子を使用します。

この 2 つのコンテキストでは、デフォルトの所有者と DACL が異なります。この 2 つのコンテキストで作成したすべてのファイルは、Administrator によって所有されます。Null セッションを使って作成したファイルは、すべて Everyone によって所有されます。

詳細

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 132679 (最終更新日 2000-10-25) をもとに作成したものです。

プロパティ

文書番号: 132679 - 最終更新日: 2004年9月28日 - リビジョン: 3.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Workstation 3.1
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Workstation 3.5
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
キーワード:?
kbtshoot kbusage KB132679
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com