我从这里读到:
在本地计算机上,pipe理员可以将应用程序configuration为以本地服务,networking服务或本地系统运行。 这些服务帐户configuration和使用起来很简单,但通常在多个应用程序和服务之间共享,不能在域级别上进行pipe理。
我只是不明白,为什么这些帐户不能在域级别pipe理,因为他们都有知名的SID?
谢谢你的时间。
这些是“全球知名的SID”; 它们对于每台机器都是一样的,并且没有“域标识符”组件,因此它们不能与任何特定域相关联。 (如果他们这样做,将一台机器join一个域将会破坏很多东西,特别是ACL。)
例如,一个普通的用户SID看起来像S-1-5-21-2814603912-1974576649-1524133500-1001
。
这里, 21
是SECURITY_NT_NON_UNIQUE, 2814603912-1974576649-1524133500
是域标识符, 1013
是相对ID。
相比之下, LOCAL SYSTEM
有SID S-1-5-18
。
FWIW,这三个账户在SAM中都不是真实账户 。 它们是在Windows本身预定义的。