Обновлено: 07.01.2025

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Asked by:

"NT Authority\SYSTEM" is member of Windows Administrators group? How to check it?

Question

I have workgroup Windows XP Pro SP3 with SQL Server 2008 R2

I have read the answer of Satya SKJ in Purpose of "NT AUTHORITY\SYSTEM" login in SQL Server 2005 topic in this forum (*):

• " Local System account. The name of this account is NT AUTHORITY \System. It is a powerful account that has unrestricted access to all local system resources. It is a member of the Windows Administrators group on the local computer, and is therefore a member of the SQL Server sysadmin fixed server role"

Why do not I see "NT Authority\SYSTEM" as a member of Administrators group in my computer (compmgmt.msc ---> System Tools --< Local Users and Groups --> Groups --> administrators)?
I see there only Administrator.

How to check and manage the membership of "NT Authority\SYSTEM" (as well as of "NT Authority\Network Service" and "NT Authority\Local Service") in Windows?

(*) Update:
Now, I found the same phrase it in MS SQL Server 2008 R2
BOL [1]

All replies

Why do not I see "NT Authority\SYSTEM" as a member of Administrators group in my computer (compmgmt.msc ---> System Tools --< Local Users and Groups --> Groups --> administrators)?
I see there only Administrator.

How to check and manage the membership of "NT Authority\SYSTEM" (as well as of "NT Authority\Network Service" and "NT Authority\Local Service") in Windows?

Accounts like NT AUTHORITY\SYSTEM , NT AUTHORITY\SERVICE , NT AUTHORITY\NETWORK SERVICE , NT AUTHORITY\IUSR and NT AUTHORITY\NETWORK are system accounts builtin by default when windows is installed. You cannot manage these accounts manually , may be look into windows documentation for more on this account ( what is the purpose , what is the level of the permissions these accounts have etc ).

Well, I did not mean much to manage these accounts but to consult their membership in Windows groups.

This is inconvenient and inconsistent.

For ex., I can look inside Windows group

• SQLServerMSSQLUser$%COMPUTERNAME%$MSSQLSERVER
  created by MSSQServer setup, it has members:
  - NT AUTHORITY\NETWORK SERVICE (S-1-5-20)
  - NT AUTHORITY\SYSTEM (S-1-5-18)

So, should it be understood as a bug that invisibility of membership of " NT Authority\SYSTEM" in Windows Administrators group?

This is not a bug, it is by design. They are preset Windows accounts which cannot/should not be changed. If you want to customise access to SQL Server (as most people would) use either a domain account or a local user account.

Well, should I understand your reply that:
1)
there is no way to see in Windows to which groups these accounts belong?
(I have no intension to change them,
only to get info on them).

2)
Those "preset Windows accounts which cannot/should not be changed" are not to be used?

PS.
There are a lot of preset Windows accounts which cannot/should not be changed but they are not stealthy or sneaky for common sense and general public.

1. These are hidden accounts and you cannot see their properties .These system accounts will have certain permissions and privileges based on the purpose for which it was built are - this is why i recommended you to read more about windows security documentation. I presume the nt authority\system account will be built (under-cover) with the same permissions and privileges held by a member of a LOCAL administrator group but this permissions might be different for other accounts like network , iusr and service.

2. It depends - these accounts are used when you use local system, network service etc accounts to run your applications . I avoid using these account mostly and go with specific dedicated domain account for running all my SQL related services.

Hi VgV8,

1. These are hidden accounts and you cannot see their properties .These system accounts will have certain permissions and privileges based on the purpose for which it was built are - this is why i recommended you to read more about windows security documentation. I presume the nt authority\system account will be built (under-cover) with the same permissions and privileges held by a member of a LOCAL administrator group but this permissions might be different for other accounts like network , iusr and service.

And how about domain controllers which do not have local accounts and groups?

It is possible to check membership! To change membership, is a different story, that is not possible.

дело в том, что я добавил NT AUTHORITYIUSR в список логинов сервера и в список пользователей базы данных. Для сервера, я предоставил пользователю публичную роль, а для базы данных я предоставил db_datareader разрешения.

Я также предоставил то же самое для NT AUTHORITYNETWORK SERVICE , под которым выполняется пул приложений.

веб-приложение размещается в IIS7, если это имеет значение. Проблема повторяется, когда БД и IIS находятся на одной физической машине.

фокус здесь в том, что NT AUTHORITY\NETWORK SERVICE фактически отображается в базе данных как DOMAINNAME\MACHINENAME$ (обратите внимание на $ знак!). То есть, когда вы пересекаете границу машины с вашего веб-сервера на SQL Server, SQL Server видит учетную запись машины, если вы используете NETWORK SERVICE или LOCAL SYSTEM учетные записи. Если вы используете любую другую учетную запись, не являющуюся доменной, SQL Server не получит ваши учетные данные.

IUSR используется для анонимных веб-сайтов и не может пройти по проводу к SQL Server. Вы можете найти способ, чтобы это сработало, если вы делаете все на одной машине, но я никогда не узнаю, потому что я никогда не буду делать это таким образом. ;-)

Я бы предложил создать отдельную (желательно доменную) учетную запись и указать ее в строке подключения (обычно в интернете.конфиг) Затем вы можете ограничить разрешения на веб-сервере, что эта учетная запись может и не может делать. Затем вы можете предоставить этой учетной записи необходимые разрешения в SQL server.

У меня была такая же проблема, и я решил ее, изменив пул приложений.

в случае, если это кому-то помогает, в интернете.config я добавил для этой ошибки, чтобы уйти (в разделе )

вместо Integrated Security=True; в строке подключения, просто используйте имя пользователя и пароль user=sa; pwd=mypassword;

простое решение-проверить свою сеть.файл config и убедитесь, что один из них является частью строки подключения к БД:

эта проблема отображается при восстановлении новой базы данных в последней базе данных.

чтобы решить эту проблему, вы должны перейти к sqlserver, затем security, а затем снова установить apppool.

Настройка аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах

Не работает аутентификация операционной системы (windows) через IIS при использовании тонкого клиента или веб-клиента.

С точки зрения пользователей, будет видно окно с запросом логина и пароля.

Проблема может заключаться в том, что методы операционной системы в силу различных причин возвращают описание текущего пользователя сеанса в таком представлении, которое не совпадает ни с одним пользователем в списке пользователей информационной базы 1С

Решение проблемы

На сервере 1С включить технологический журнал, используя следующую настройку:

Воспроизвести ситуацию с неудачной аутентификацией операционной системы. Авторизоваться под пользователем операционной системы, указанным в свойствах пользователя 1С.

Открыть технологический журнал рабочего процесса и найти событие EXCP со следующим описанием: "Идентификация пользователя не выполнена
Неправильное имя или пароль пользователя"

Обратите внимание на предшествующее ему событие CONN и значение свойства DstUserName2 - именно в таком виде пользователь должен быть указан в свойствах пользователя информационной базы.

Заменить значение свойства "Пользователь" пользователя информационной базы согласно следующему формату "\\" + [Имя пользователя из свойства DstUserName2 без скобок].

Проверить работоспособность аутентификации средствами операционной системы, войдя в информационную базу, используя веб-клиент.

Расположение веб-сервера IIS и рабочих серверов 1С на разных машинах

В некоторых случаях, несмотря на корректно указанного пользователя операционной системы в пользователе информационной базы, при попытке входа в опубликованную базу через браузер аутентификация операционной системы не проходит. Такая ситуация может возникать, если веб-сервер IIS и сервер 1с находятся на разных машинах. В таком случае в технологическом журнале рабочего процесса можно наблюдать следующую картину:

При возникновении такой ситуации необходимо проверить следующие настройки:

1) Убедиться, что процессы сервера 1С запущены от имени доменной учетной записи, входящей в группу Domain Users.

2) Убедиться, что веб-сервер IIS настроен корректно.

В публикации информационной базы найти настройки аутентификации

В настройках аутентификации отключить анонимную аутентификацию и включить Windows-аутентификацию. В Windows-аутентификации упорядочить доступных провайдеров так, чтобы на первом месте был Negotiate.

Пул приложений публикации не нуждается в настройках, в нем можно оставить все по умолчанию.

После изменения настроек перезапустить веб-сервер с помощью команды iisreset в командной строке.

3) Убедиться, что в контроллере домена в свойствах компьютера, на котором запущен веб-сервер, на вкладке делегирование установлено "Доверять компьютеру делегирование любых служб (только Kerberos)"

Для этого откройте оснастку Active Directory Users and Computers (dsa.msc), в компьютерах найдите веб-сервер, перейдите в его свойства и на вкладке Делегирование установить значение "Доверять компьютеру делегирование любых служб (только Kerberos)" и нажать применить.

4) Убедиться, что на клиенте в свойствах обозревателя разрешена встроенная проверка подлинности Windows.

После выполнения всех действий необходимо перезагрузить клиентский компьютер (рабочие серверы перезагрузки не требуют) и убедиться, что аутентификация операционной системы успешно выполняется.

Важно: аутентификации Windows при расположении веб-сервера IIS и рабочих серверов на разных машинах в тонком клиенте работает, начиная с версии 8.3.10.2620 (для тестирования).

я боролся с этим в течение 2 дней, не приближаясь к решению. Я прочитал 20-30 потоков alteast и все еще не могу решить эту проблему.

пожалуйста, помогите мне.

я добавил <identity impersonate = "true" />

я добавил пользователя в логины безопасности, подключенные к базе данных, к которой я пытаюсь подключиться

это connectionstring I использовать:

не удается открыть базу данных "Фаэтон.mdf", запрошенный логином. Ошибка входа в систему.

ошибка входа для пользователя "NT AUTHORITYNETWORK SERVICE".

Мне кажется, вы все еще пытаетесь подключиться к базе данных на основе файлов, имя "Фаэтон.mdf " не соответствует вашему новому имени базы данных sql "Фаэтон."

надеюсь, что это помогает.

ошибка входа для пользователя "NT AUTHORITY\NETWORK SERVICE". Причина: не удалось открыть явно указанную базу данных. [Клиент: локальная машина]

решение, которое решило мою проблему, было:

1. войдите в SqlExpress через SQL Server Management Studio
2. перейти в каталог "безопасность" базы данных
3. щелкните правой кнопкой мыши каталог пользователей
4. Выберите "Новый Пользователь. "
5. добавить "NT AUTHORITY\NETWORK SERVICE" в качестве нового пользователя
6. в области членство в роли данных выберите db_owner
7. нажмите OK

вот скриншот выше:

"ошибка входа для пользователя" NT AUTHORITY\NETWORK SERVICE"."после гранта разрешение входа в сеть НТ\службы'

в вашей базе данных "Фаэтон".

Мне понравилось решение Джеда, но проблема в том, что каждый раз, когда я строил свой проект в режиме отладки, он развертывал мой проект базы данных и снова удалял пользователя. поэтому я добавил этот сценарий MySQL в сценарий после развертывания. он практически делает то, что сказал Джед, но создает пользователя каждый раз, когда я развертываю.

Вы сказали, что он работал нормально, когда вы использовали SQL Express edition. По умолчанию выпуски express создают именованный экземпляр и запускаются в NT Authority\Network Service.

SQL Server STD по умолчанию установите экземпляр по умолчанию и запустите в NT Authority\SYSTEM.

У вас есть как полная версия SQL edition & Express edition, установленная на одном компьютере?

возможно, где-то строка соединения все еще ссылается на именованный экземпляр 'SQLEXPRESS', а не экземпляр по умолчанию, созданный полной версией.

также где определена строка подключения? В IIS или вашем коде? Убедитесь, что если определено во многих местах, все указывают на один экземпляр SQL и базу данных.

также попробуйте просмотреть подробную ошибку, присутствующую в журналах ошибок SQL Server. Ошибка в журнале событий не завершена по причинам безопасности. Это также поможет вам узнать, было ли установлено соединение к правильному SQL Server.

также убедитесь, что машина, на которой установлен SQL, доступна и IIS пытается получить доступ к той же машине. В моей компании иногда из-за неправильного разрешения имен запрос терпит неудачу, так как на большинстве наших компьютеров установлен SQL, и запрос попадает в неправильный SQL Server.

убедитесь, что база данных существует в SQL Server. Имя, отображаемое в разделе Базы данных в среде SQL Management Studio, должно совпадать это в строке подключения.

требуется вход в систему SQL Server DOMAIN\machinename$ . Это как призвание NT AUTHORITY\NETWORK SERVICE отображается в SQL Server (и файловых серверах и т. д.)

лучший способ-создать пользователя для вашего приложения и назначить разрешения, подходящие для этого пользователя. Не используйте "NT AUTHORITY\NETWORK SERVICE" как ваш пользователь, у него есть своя уязвимость, и это пользователь, который имеет разрешения на так много вещей на уровне ОС. Держитесь подальше от этого встроенного пользователя.

Я использую Entity Framework для повторного заполнения моей базы данных, и пользователи переопределяются каждый раз, когда я создаю свою базу данных.

We’re sorry. The content you requested has been removed. You’ll be auto redirected in 1 second.

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Insufficient SQL database permissions for user 'Name: NT AUTHORITY\IUSR SID: S-1-5-17

Question

My farm is two servers farm one for SQL Server 2008 R2 Ent and another for SharePoint Server 2010 Ent installed. Not every day but some days I found the following error on Event Viewer of SharePoint Server machine. Can any body help me to sovle this issue?

Insufficient SQL database permissions for user 'Name: NT AUTHORITY\IUSR SID: S-1-5-17 ImpersonationLevel: Impersonation' in database 'SharePoint_Config' on SQL Server instance 'SQL_Srv'. Additional error information from SQL Server is included below.

The EXECUTE permission was denied on the object 'proc_GetProductVersions', database 'SharePoint_Config', schema 'dbo'.

Log Name: Application

Source: SharePoint Foundation

Event ID: 5214

Level : Critical

User: NT AUTHORITY\IUSR

Task Category: Database

Thanks in advanced,

Answers

It seems that an anonymous user is trying to do some things on your SharePoint environment. First validate where this user is coming from, because normally there won't be a IUSR to need permissions on SQL Server and on the SharePoint_Config db.

All replies

It seems that an anonymous user is trying to do some things on your SharePoint environment. First validate where this user is coming from, because normally there won't be a IUSR to need permissions on SQL Server and on the SharePoint_Config db.

Thank you for your reply. I am not that much sound in validating where the IUSR is coming from. It seems that your detail guidance may help me to solve this issue.

Thanks once again,

Hi,

It seems that an anonymous user is trying to do some things on your SharePoint environment. First validate where this user is coming from, because normally there won't be a IUSR to need permissions on SQL Server and on the SharePoint_Config db.

Regards

I don't think it's necessarily an anonymous user. I have Kerberos configured on my production farm and I am actually seeing the same error with a real AD user (who would have no idea what a SQL Server is if I dropped it on her desk). But she's denied access to the configuration database, and to the same 'proc_GetProductVersions' stored procedure.

The 5214 error says that this request is impersonating the credentials of the user. So, is SharePoint trying to do this automatically? This smells like a bug.

The 5214 error could have been part of the sequence of events that led up to the crash of PowerPivot.

Читайте также:

  
• Что такое трудовая функция в 1с при приеме на работу
  
• Как перенести пресет из лайтрума в фотошоп
  
• Перенести таблицу из word в markdown
  
• На какой счет отнести медосмотр работников в 1с
  
• Эксель при протягивании даты меняется год а не день