CLOUD技术博在 Windows Server 2016 中,“本地系统”(Local System) 是一种服务运行账户(Service Account),它本身不是一个进程或服务,因此不会直接占用内存。但以“本地系统”账户运行的服务进程会占用内存。你看到的内存占用,实际上是这些服务所对应的进程在消耗系统资源。
一、“本地系统”账户是什么?
- Local System 是 Windows 内置的高权限账户,拥有对本地系统的完全控制权。
- 多数关键系统服务(如
svchost.exe、winlogon.exe、spoolsv.exe等)都以“本地系统”账户运行。 - 它不是用户账户,不能登录,仅用于后台服务运行。
二、为什么“本地系统”看起来占内存?
在任务管理器或资源监视器中,你可能会看到某些进程或服务的“用户名称”列为:
NT AUTHORITYSYSTEM这就是“本地系统”账户。
| 这些进程包括: | 进程名 | 说明 | 内存占用情况 |
|---|---|---|---|
svchost.exe |
多个系统服务宿主(如DCOM、RPC等) | 通常多个实例,合计可能较高 | |
wininit.exe |
初始化系统服务 | 极低 | |
services.exe |
服务控制管理器(SCM) | 极低 | |
lsass.exe |
安全账户管理器(SAM、域策略等) | 通常 50–200MB | |
spoolsv.exe |
打印后台处理程序 | 若未使用打印,<10MB | |
dwm.exe |
桌面窗口管理器(GUI服务器) | 图形界面时占用较高 |
✅ 所以你看到的“本地系统”占内存,其实是这些以
NT AUTHORITYSYSTEM身份运行的系统进程在占用内存。
三、如何查看哪些服务在占用内存?
- 打开 任务管理器(Ctrl+Shift+Esc)
- 切换到 “详细信息” 选项卡
- 右键点击列标题 → 选择“选择列” → 勾选 “用户名”
- 查看哪些
svchost.exe或其他进程的用户名是NT AUTHORITYSYSTEM - 右键某个
svchost.exe→ “转到服务” → 可查看它托管了哪些服务
你也可以使用命令行:
tasklist /svc /fi "username eq NT AUTHORITYSYSTEM"这会列出所有以本地系统运行的进程及其托管的服务。
四、常见高内存占用的系统服务(以本地系统运行)
| 服务名称 | 服务名(Service Name) | 可能内存占用原因 |
|---|---|---|
| Windows Event Log | eventlog |
日志过多 |
| Security Accounts Manager | samss |
域控制器或账户多时较高 |
| Group Policy Client | gpsvc |
策略复杂或频繁刷新 |
| Windows Update | wuauserv |
下载更新时内存上升 |
| Print Spooler | spooler |
大量打印任务堆积 |
| DCOM Server Process Launcher | DcomLaunch |
正常,一般很低 |
五、如何优化内存占用?
-
禁用不必要的服务:
- 如不需要打印功能,可禁用
Print Spooler。 - 不需要远程注册表?禁用
Remote Registry。 - 使用
services.msc查看并禁用非关键服务。
- 如不需要打印功能,可禁用
-
检查是否有异常进程:
- 某些病毒会伪装成
svchost.exe以系统账户运行。 - 使用 Process Explorer(微软官方工具)深入分析。
- 某些病毒会伪装成
-
定期清理事件日志:
- 事件日志过大可能导致
eventlog服务内存升高。 - 清理方法:事件查看器 → 右键日志 → “清除日志”。
- 事件日志过大可能导致
-
更新系统补丁:
- 某些内存泄漏问题在补丁中修复。
六、总结
- ❌ “本地系统”本身不占内存。
- ✅ 以“本地系统”身份运行的系统服务进程会占用内存。
- 🔍 高内存通常由
svchost.exe、lsass.exe等关键服务引起。 - 🛠️ 可通过禁用非必要服务、清理日志、排查异常进程来优化。
如果你发现某个“本地系统”进程内存异常高(比如 svchost.exe 占用 1GB+),建议使用 Process Explorer 或 Task Manager + Resource Monitor 进一步分析具体是哪个服务导致的。
需要我帮你分析具体进程吗?可以贴出任务管理器截图或 tasklist 输出。