現在オフラインです。再接続するためにインターネットの接続を待っています

Windows NT のローカル システム アカウントと Null セッション

この記事は、以前は次の ID で公開されていました: JP132679
概要
この資料では、ローカル システム アカウントとそのセキュリティのほか、ローカル システムのセキュリティ コンテキストでアプリケーションを実行する上で便利な方法について説明します。
詳細

背景

シェル アプリケーション (通常は、PROGMAN.EXE) は、DOMAIN\USER セキュリティ コンテキストで実行されます。シェル プロセスから開始されるほとんどのプロセスは、同じセキュリティ コンテキストを継承します。

Windows NT のサービスを設定する際、サービスを開始するときに使用するセキュリティ コンテキストを選択します。この選択を行なうのは、ユーザーがサービスを開始することはほとんどないためです。サービスによって使用されているセキュリティを確認するには、次の手順を実行します。
  1. [コントロール パネル] の [サービス] アイコンをダブルクリックします。
  2. サービスを選択し、[スタートアップ] をクリックします。
サービスのセキュリティ コンテキストは、[ログオン] ウィンドウ ペインで設定されます。

システム アカウントを使用するサービス

システム アカウントを使用するサービスは、(アカウント情報を保持しない) システム コンテキストを使って開始されます。Windows NT 3.5 以降では、アカウント情報を必要としない (ドメイン名、ユーザー名、パスワードを入力しない) Windows NT サービスがネットワーク リソースに接続しようとすると、そのサービスはアクセスを拒否されます (これは、こうしたサービスがアクセス情報を保持しておらず、Null セッションを使用しているためです)。関連情報については、Microsoft Knowledge Base の次の資料を参照してください。
122702Using the System Account as a Service in Windows NT 3.5

注 : システム アカウントと、アカウント "LocalSystem" は同じアカウントを使用します。



Null セッションが確立するのは、プロセスの開始にアカウント情報を必要としない (ユーザー名とパスワードの入力が必要ない) 場合に限られます。通常は、オペレーティング システム自身のみがシステムとして実行されます。

ローカル コンピュータでは、オペレーティング システムは次のように認識されます。
   Default Owner:   Administrators    local group   User:            System            pseudo group - local group scope   Groups:          Administrators    local group                    Everyone          pseudo group - local group scope

このコンテキストが、ネットワークのアクセスに使用された場合、Null セッションが使用されます。この結果、リモート コンピュータで次のコンテキストが生成されます。
   Default Owner:   Everyone   User:            Everyone   Groups:          AnonymousLogon    pseudo group - local group scope                    Network           pseudo group - local group scope

Null セッション アクセスを提供することができるのは、3 つの識別子 (Everyone、AnonymousLogon、Network) に限られます。ローカル システム コンテキストと Null セッション コンテキストは、どちらも Everyone 識別子しか持つことができません。サービスが、コンピュータ上のオブジェクトに直接アクセスしたり、ネットワーク上のオブジェクトにアクセスしたりできるように Windows NT を構成するには、Everyone 識別子を使用します。

この 2 つのコンテキストでは、デフォルトの所有者と DACL が異なります。この 2 つのコンテキストで作成したすべてのファイルは、Administrator によって所有されます。Null セッションを使って作成したファイルは、すべて Everyone によって所有されます。

詳細
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 132679(最終更新日 2000-10-25) をもとに作成したものです。

prodnt localsystem username
プロパティ

文書番号:132679 - 最終更新日: 09/28/2004 04:18:00 - リビジョン: 3.1

  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Workstation 3.1
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Workstation 3.5
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • kbtshoot kbusage KB132679
フィードバック