部署或安装系统服务时需要指定服务运行的账户。一般地，可选择Local System、Local Service或Network Service账户。

Local System/Local Service/Network Service账户的区别在于每个账户的权限（Rights）不同。在Windows 2003和Windows XP之前，Service几乎都是运行在Local System账户下；从Windows 2003和WindowsXP开始，系统增加了Local Service和 Network Service账户。为什么要增加这两个新的内置账户？如何为Service选择账户？

在回答这两个问题之前，先说明两个基本概念：

1）一个服务（Service）所具有的权限取决于为该服务制定账户的权限；

2）某些服务允许与客户端（Client）进行交互。例如 SQL Server 服务能够接收并执行客户端提供的命令，特别地，用户能够利用SQL Server中存储过程 xp_cmdshell 执行用户命令。

明白上面两个基本概念后，如果将一个服务指定咋Local System账户下运行，你很容易推测出这做的后果！因为Local System内置账户（正式的账户名称是NT AUTHORITY\SYSTEM ）是一个具有非常高特权的账户。一旦恶意用户利用运行在Local System下的可交换服务对计算机发动攻击，那将是十分危险的。与Local System账户相比，Local Service/Network Service账户所具有的权限要少很多。