为什么不能在域级别上pipe理本地服务,networking服务或本地系统等服务帐户?

我从这里读到:

在本地计算机上,pipe理员可以将应用程序configuration为以本地服务,networking服务或本地系统运行。 这些服务帐户configuration和使用起来很简单,但通常在多个应用程序和服务之间共享,不能在域级别上进行pipe理。

我只是不明白,为什么这些帐户不能在域级别pipe理,因为他们都有知名的SID?

谢谢你的时间。

这些是“全球知名的SID”; 它们对于每台机器都是一样的,并且没有“域标识符”组件,因此它们不能与任何特定域相关联。 (如果他们这样做,将一台机器join一个域将会破坏很多东西,特别是ACL。)

例如,一个普通的用户SID看起来像S-1-5-21-2814603912-1974576649-1524133500-1001

这里, 21是SECURITY_NT_NON_UNIQUE, 2814603912-1974576649-1524133500是域标识符, 1013是相对ID。

相比之下, LOCAL SYSTEM有SID S-1-5-18


FWIW,这三个账户在SAM中都不是真实账户 。 它们是在Windows本身预定义的。