NT AUTHORITY- NetworkService
2004/09/05 11:56
1057 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Korábban a LocalService fiók nevében futó szolgáltatásokat pécéztük ki, most a szintén törpe minoritásnak számító NetworkService fiókhoz köthető szervizek kerülnek a fókuszba.

A második 9

Ebben a részben összesen 9 darab szervizt vizsgálunk meg. Azonos csoportba sorolásuk oka, hogy mind az újonnan (Windows XP, Windows Server 2003) bevezetett NetworkService (Hálózatszolgáltatás) fiókkal működnek, amelyről a korábbi részek alapján már tudnunk kell egy-két dolgot, de azért nézzük meg a tulajdonságaikat röviden újra:

  • gyengített jogosultsági körrel futnak, ami körülbelül megfelel egy átlagos felhasználói fiók lehetőségeinek, de úgy, hogy közben a helyi erőforrásokhoz alig van jogosultságuk,
  • a hétköznapi értelemben vett erőforrás hozzáférés (például objektumokhoz) nem megengedett,
  • az ezzel a fiókkal futó szolgáltatások az adott számítógépfiók (Computer Account, lásd öt sor múlva) hitelesítő adatai segítségével érik el a hálózati erőforrásokat,
  • és végül ehhez a fiókhoz sincs jelszó hozzárendelve.

A számítógépfiók

Azt ugye tudjuk, hogy minden számítógépet amelyen a Windows NT/2000/XP vagy a Windows Server 2003 fut egyértelműen lehet azonosítani egy egyedi számítógépfiókkal is. Ezt a fiókot a felhasználói fiókokhoz hasonlóan hitelesítésre és naplózásra is lehet használni egy tartományban vagy egy hálózatban. Természetesen akkor is létezik a számítógépfiók, ha a gép nem tagja egy tartománynak, de az biztos, hogy a tartományvezérlő (ha több van, akkor az a tartományvezérlő amelyik a RID, azaz a Relative Identifier Master szerep birtokosa), a tartományba lépéskor ezt frissíti. Ennek a fióknak a neve (gépnév$) és a szintén ekkor generált jelszava segítségével fog ezután a gép belépni a tartományba, még a felhasználói belépés előtt. Ez a belépés aztán rezidens marad, nem is kell például az adott gépen történő felhasználó kilépésekor megújítani (bár egy alkalommal azért lezajlik automatikusan a háttérban az újrahitelesítés: ha definiáljuk az SMB kapcsolat leválasztást a Csoportházirendben). Száz szónak is egy a vége, ezt a fiókot és a jelszavát használja az operációs rendszer a következő szervizek futtatására:

  • DHCP Client
  • Distributed Transaction Coordinator
  • DNS Client
  • FTP Publishing Service
  • License Logging
  • Performance Logs and Alerts
  • Remote Procedure Call (RPC) Locator
  • Simple TCP/IP Services
  • Windows Media Services

DHCP Client (DHCP ügyfél)

  • A szerviz rövid neve: Dhcp
  • Az alkalmazás neve: dhcpcsvc.dll (svchost.exe)
  • Függés: AFD Networking Support Environment, TCP/IP Protocol Driver, IPSEC Driver
  • Függesztés: WinHTTP Web Proxy Auto-Discovery Service
  • Porthasználat: TCP: 68; UDP: 67, 68, 1029
  • Alapértelmezett indítás: automatikus

A DHCP ügyfél neve kicsit félrevezető, anno furcsa is volt, hogy miért is fut automatikusan a fix IP címmel ellátott szerveren ez a szolgáltatás? Ám aki leállítja, annak szintén fura, vagy inkább megrázó élményben lesz része, mivel a DHCP szerverrel való mindennemű kapcsolattartás mellett az IP címek regisztrálását és DNS adatok frissítését is ez a szerviz intézi. Ez a folyamat a rendszerindítás után következik, például egy DHCP kliens gépnél rögtön a DHCP adatok megérkezése után, de néhány más esemény is kiválthatja, úgymint:

  • a kliens IP címének hozzáadása, megváltoztatása vagy törlése,
  • az IP cím élettartamának változása (pl. a gép újraindítása) vagy az TCP/IP konfiguráció újraépítése (ipconfig /renew),
  • a kliens adatainak manuális frissítése a dinamikus DNS engedélyezése esetén (ipconfig /registerdns),
  • tagkiszolgáló előléptetése tartományvezérlővé.

Ha a szervizt leállítjuk, a fentiek értelmében nem lesz eredményes kapcsolatunk a DHCP szerverrel (ergo muszáj manuálisan konfigurálni a TCP/IP-t, vagy jön az APIPA), és a dinamikus DNS frissítés sem fog működni. Ha a gépünk DNS szerver is egyben, akkor ilyenkor a jól ismert zóna eltávolítást és visszaállítást sem tudjuk alkalmazni (net stop/start netlogon). És még sorolhatnánk... Ha esetleg le is tiltjuk, akkor a kapcsolódó (az előző számban tárgyalt) WinHTTP Web Proxy Auto-Discovery szolgáltatás sem fog rendelkezésre állni. De nem éri meg kézi indításúra állítani sem, mert (ellentétben néhány másik társával) ez a szerviz nem fog elindulni automatikusan ha szükség lesz rá.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek