(0)
Artikel
bewerten
(100% positiv)
(4)

Localsystem: lokales Systemkonto verwenden - mehr Rechte

Local System - Domänen Zugriff

Inhalt dieses Artikels:

    Aus Anwendersicht gibt es keinen vernünftigen Grund etwas als "SYSTEM" zu starten. Wenn der lokale Administrator aber zu wenig Rechte hat, kann "SYSTEM" den Zugriff dennoch gewährleisten. Das SYSTEM Konto (Lokales Systemkonto oder local System) hat uneingeschränkte Rechte auf dem Computer. 

    SYSTEM besitzt kein Kennwort und meldet sich im Netzwerk als Computerkonto.

    In der Registry besitzt SYSTEM die SID S-1-5-18. SYSTEM wird teilweise auch als NT Authority\SYSTEM oder LocalSystem angezeigt.

     

    siehe auch: msdn.microsoft.com/en-us/library/windows/desktop/ms684190(v=vs.85).aspx

    als System starten

    Der Start als System sollte eigentlich dem Betriebsystem vorbehalten sein, es gibt aber mehrere Möglichkeiten den Zugriff als System von einem normalen Benutzer zu erlangen. 

    beim Computerstart

    Skripts die beim Starten des Computers ausgeführt werden, verwenden dazu SYSTEM Konto. Daher ist es möglich, bestimmte Skripts oder Programme über die lokale Gruppenrichtlinie beim Start des Computers als System zu starten:

    Aufgabenplanung - als geplanter Task

    Eine andere Möglichkeit etwas als System zu starten, ist die Aufgabenplanung (geplanter Task):

    Die Aufgabe kann als "SYSTEM" ausgeführt werden:

    zur weiteren Anwendung siehe das Beispiel zum Auslesen der Domäne per geplanten Task

    mit psexec als System

    Der Sysinternals Befehl psexec startet SYSTEM sogar interaktiv: 

     

    System im Netzwerk

    Netzwerkzugriff

    Der Zugriff auf eine Freigabe mit psexec als "SYSTEM", verwendet das Computerkonto als Benutzer.

    Unser Computer trägt den Namen "DOMAINW7", erscheint daher auf dem Fileserver als DOMAINW7$:

    Für den Zugriff auf einen Share kann dementsprechend der Computer berechtigt werden:

     

    Local System Domänen Zugriff

    Im Benutzerkontext quittiert uns der "AD Explorer" den Zugriff von einem lokalen Benutzer auf die Active Directory Domäne mit dem Fehler:

    Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.

    Auch hier kann ein lokaler Benutzer eines in die Domäne integrierten Clients mit Hilfe von SYSTEM auf Objekte der Domäne zugreifen, ganz ohne Passwort:

    Der Zugriff erfolgt als "Computerkonto".

    Somit ist es möglich, den Domäneninhalt von einem in die  Domäne integrierten Computer auch ohne Domänenbenutzer auszulesen.

    per geplanten Task

    nachdem der Adexplorer nicht unbedingt ein Fenster für das Auslesen der AD benötigt, können wir die Domäne auch im Hintergrund in eine Datei dumpen:

    Das Auslesen der Domäne ist also auch mit einem geplanten Task und dem SYSTEM Konto möglich:

     

     

    letzte Änderung dieses Artikels: 15.01.2016 12:01



    Feedback: