asp.net - 客户端 LocalSystem (SYSTEM) 是否由目标/服务器机器识别？在什么情况下？

Question

[1] 告诉：

• “当您配置使用特定帐户作为进程标识时，ASP.NET 会尝试委派该帐户。如果它是与远程计算机上的本地帐户相同（包括密码）的本地帐户，则可以进行委派。如果远程机器上不存在这样的帐户，在网络上它显示为 Windows 匿名帐户 (NT AUTHORITY\ANONYMOUS LOGON)。此外，如果该帐户是可以访问远程机器的域帐户，也可以进行委派，在这种情况下，它使用该帐户的域网络标识。”

[2] 通知：

• “所有语言环境中的帐户名称都是 .\LocalSystem。名称，LocalSystem 或ComputerName\LocalSystem也可以使用”
  • “该服务将计算机的凭据提供给远程服务器

此外，预定义的“NT AUTHORITY\LOCAL SYSTEM”（或 SYSTEM [3]）存在于任何 Windows 中
，并且应该可用于识别（即使客户端（进程）从工作组 Windows 访问时），不应该吗？

但是，例如，[3] 的一排答案说明了相反的情况：

• '在 Workgroups 中，SID 仅在本地工作站上有意义。当访问另一个工作站时，SID 不仅仅传输名称。“本地系统” 无法访问任何其他系统

LocalSystem 是否被远程/目标机器识别？如何？

• 作为计算机名\本地系统？
  或者
• 作为 NT AUHORITY\本地系统？

更新：
这个问题完全在 Windows 工作组的开发环境中......
尽管所有答案都偏离了 Windows 域......

---

引用：
[1]
ASP.NET 委托
http://msdn.microsoft.com/en-us/library/aa291350.aspx
[2]
LocalSystem 帐户
http://msdn.microsoft.com/en-us/library/ms684190 .aspx
[3]
sysadmin1138 对我的问题“Windows LocalSystem vs. System”的回答
https://serverfault.com/questions/168752/windows-localsystem-vs-system

---

我的相关问题：

• Windows-es 中的域 LocalSystem 与非域 LocalSystem 帐户？
• 如何检查“NT AUTHORITY\”帐户的组成员身份？
• 访问服务器资源是否需要客户端进程登录到服务器机器？
• Windows 工作组 LocalSystem 与域（AD）LocalSystem [关闭]
• 如何在工作组和 Windows 域中更好地设置机器进行开发？[关闭]
• 从工作组 Windows 与 Windows 域计算机互操作 [关闭]
• 加入 AD 的机器的本地用户的上下文？它是域机器帐户还是本地机器帐户？
• 来自非 AD Windows 的域帐户下的 RunAs [关闭]
• 如何在工作组和 Windows 域中更好地设置机器进行开发？[关闭]
• 如何与多引导工作组 Windows 设置共享同一个域机器帐户？

Answer 1

There are two possibilities in your scenario, depending on the version of Windows on the local ("client") machine and on how well the service integrates with the Windows services APIs: - remote machines will see requests from the "client" machine as NT AUTHORITY\ANONYMOUS - remote machines will see requests from the "client" machine as DOMAIN\COMPUTER_ACCOUNT_NAME

A remote machine will only see requests from its own processes as coming from SYSTEM/LocalSystem.

If you want to find out through testing which account context you're seeing due to remote requests, enable Audit Logon Events (Success and Failure) in Audit Policy on the remote system. You can also find complementary (and sometimes helpful) information by using a protocol analyser like Microsoft Network Monitor, and capture the packet stream sent from "client" to remote machine and back.

Edit: also see my answer to the related/overlapping question here for related details.

Answer 2

System/LocalSystem并且NETWORK SERVICE都将作为计算机帐户进行远程身份验证，DOMAIN\MACHINENAME$. 还有一个内置帐户，该帐户LOCAL SERVICE将始终以远程身份进行身份验证ANONYMOUS LOGON（因此大多数授权失败）。

试图将这些概念理解为 SID 和名称并没有多大意义。Authentication 是一个SSPI握手，最后认证者会查询被认证者的上下文令牌并验证访问（执行授权），也可以从安全上下文中查询被认证者的名称。如果 SSPI 握手是远程的（在两个不同的 LSA 之间）QueryContextAttributes，那么在成功的身份验证场景中，该名称将返回远程机器名称domain\machine$. 如果它是只涉及一个 LSA 的环回握手，那么相同的调用将返回 NETWORK SERVICE 或 System。还有握手验证“匿名登录”的可能性，如工作组案例，使用本地帐户，或尝试跨域信任边界，但基本上都是验证失败。