Windows NT のローカル システム アカウントと Null セッション

この記事は、以前は次の ID で公開されていました: JP132679
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
この資料では、ローカル システム アカウントとそのセキュリティのほか、ローカル システムのセキュリティ コンテキストでアプリケーションを実行する上で便利な方法について説明します。
詳細

背景

シェル アプリケーション (通常は、PROGMAN.EXE) は、DOMAIN\USER セキュリティ コンテキストで実行されます。シェル プロセスから開始されるほとんどのプロセスは、同じセキュリティ コンテキストを継承します。

Windows NT のサービスを設定する際、サービスを開始するときに使用するセキュリティ コンテキストを選択します。この選択を行なうのは、ユーザーがサービスを開始することはほとんどないためです。サービスによって使用されているセキュリティを確認するには、次の手順を実行します。
  1. [コントロール パネル] の [サービス] アイコンをダブルクリックします。
  2. サービスを選択し、[スタートアップ] をクリックします。
サービスのセキュリティ コンテキストは、[ログオン] ウィンドウ ペインで設定されます。

システム アカウントを使用するサービス

システム アカウントを使用するサービスは、(アカウント情報を保持しない) システム コンテキストを使って開始されます。Windows NT 3.5 以降では、アカウント情報を必要としない (ドメイン名、ユーザー名、パスワードを入力しない) Windows NT サービスがネットワーク リソースに接続しようとすると、そのサービスはアクセスを拒否されます (これは、こうしたサービスがアクセス情報を保持しておらず、Null セッションを使用しているためです)。関連情報については、Microsoft Knowledge Base の次の資料を参照してください。
122702Using the System Account as a Service in Windows NT 3.5

注 : システム アカウントと、アカウント "LocalSystem" は同じアカウントを使用します。



Null セッションが確立するのは、プロセスの開始にアカウント情報を必要としない (ユーザー名とパスワードの入力が必要ない) 場合に限られます。通常は、オペレーティング システム自身のみがシステムとして実行されます。

ローカル コンピュータでは、オペレーティング システムは次のように認識されます。
   Default Owner:   Administrators    local group   User:            System            pseudo group - local group scope   Groups:          Administrators    local group                    Everyone          pseudo group - local group scope

このコンテキストが、ネットワークのアクセスに使用された場合、Null セッションが使用されます。この結果、リモート コンピュータで次のコンテキストが生成されます。
   Default Owner:   Everyone   User:            Everyone   Groups:          AnonymousLogon    pseudo group - local group scope                    Network           pseudo group - local group scope

Null セッション アクセスを提供することができるのは、3 つの識別子 (Everyone、AnonymousLogon、Network) に限られます。ローカル システム コンテキストと Null セッション コンテキストは、どちらも Everyone 識別子しか持つことができません。サービスが、コンピュータ上のオブジェクトに直接アクセスしたり、ネットワーク上のオブジェクトにアクセスしたりできるように Windows NT を構成するには、Everyone 識別子を使用します。

この 2 つのコンテキストでは、デフォルトの所有者と DACL が異なります。この 2 つのコンテキストで作成したすべてのファイルは、Administrator によって所有されます。Null セッションを使って作成したファイルは、すべて Everyone によって所有されます。

詳細
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 132679(最終更新日 2000-10-25) をもとに作成したものです。

prodnt localsystem username
プロパティ

文書番号:132679 - 最終更新日: 12/04/2015 11:39:22 - リビジョン: 3.1

Microsoft Windows NT Advanced Server 3.1, Microsoft Windows NT Workstation 3.1, Microsoft Windows NT Advanced Server 3.1, Microsoft Windows NT Workstation 3.5, Microsoft Windows NT Workstation 3.51, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows NT Server 3.5, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbtshoot kbusage KB132679
フィードバック