การจำกัดข้อมูลที่พร้อมใช้งานสำหรับผู้ใช้เข้าสู่ระบบแบบไม่ระบุชื่อ

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 143474 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

windows NT มีคุณลักษณะที่ผู้ใช้เข้าสู่ระบบแบบไม่ระบุชื่อสามารถแสดงรายการชื่อผู้ใช้โดเมน และระบุชื่อที่ใช้ร่วมกัน ลูกค้าที่ต้องการความปลอดภัยขั้นสูงได้ร้องขอความสามารถในการจำกัดหรือการทำงานนี้ Windows NT 4.0 Service Pack 3 และโปรแกรมแก้ไขด่วนสำหรับ Windows NT 3.51 ให้กลไกการสำหรับผู้ดูแลเมื่อต้องการจำกัดความสามารถในการเข้าสู่ระบบแบบไม่ระบุชื่อผู้ใช้ที่ (นอกจากนี้เรียกว่าการเชื่อมต่อเซสชันค่า NULL) ชื่อบัญชีของรายการ และระบุชื่อที่ใช้ร่วมกัน แสดงรายชื่อบัญชีจากตัวควบคุมโดเมนจะต้องการแก้ไข ACL Windows NT ตัวอย่างเช่น รับรายการของผู้ใช้และกลุ่มในการเลือกที่ ผู้ใช้ต้องการให้สิทธิในการเข้าถึง แสดงรายชื่อบัญชียังใช้ โดย Windows NT Explorer เพื่อเลือกจากรายการของผู้ใช้และกลุ่มการให้สิทธิการเข้าถึงใช้ร่วมกัน

ข้อมูลเพิ่มเติม

เครือข่าย windows NT ที่ขึ้นอยู่กับโดเมนของ Windows NT เดียวเสมอจะสามารถเชื่อมต่อกับข้อมูลบัญชีผู้ใช้โดเมนของรายการการรับรองความถูกต้อง windows NT เครือข่ายที่ใช้โดเมนหลายอาจจำเป็นต้องเข้าสู่ระบบของผู้ใช้ที่ไม่ระบุชื่อไปยังข้อมูลบัญชีของรายการ ตัวอย่างตัวย่อแสดงการเชื่อมต่อแบบไม่ระบุชื่อวิธีใช้ พิจารณาโดเมนของ Windows NT สอง มีโดเมนบัญชี และโดเมนทรัพยากร โดเมนของทรัพยากรมีความสัมพันธ์ของความน่าเชื่อถือเดียว(one-way)กับบัญชีโดเมน นั่นคือ โดเมนทรัพยากร "trusts" โดเมนบัญชี แต่บัญชีโดเมนไม่ไว้วางใจโดเมนของทรัพยากร โดเมนของบัญชีผู้ใช้สามารถรับรองความถูกต้อง และการเข้าถึงทรัพยากรในโดเมนทรัพยากรที่ขึ้นอยู่กับความเชื่อถือเดียว(one-way) สมมติว่า ผู้ดูแลระบบในโดเมนของทรัพยากรที่ต้องการให้สิทธิการเข้าถึงไปยังแฟ้มสำหรับผู้ใช้จากโดเมนบัญชี พวกเขาจะต้องได้รับรายการของผู้ใช้และกลุ่มจากโดเมนบัญชีให้เลือกผู้ใช้/กลุ่มเพื่อให้สิทธิ์เข้าถึง รับรองความถูกเนื่องจากบัญชีโดเมนไม่เชื่อถือโดเมนของทรัพยากร คำขอของผู้ดูแลเพื่อดูรายการของผู้ใช้และกลุ่มจากโดเมนของทรัพยากรไม่ถูกต้อง การเชื่อมต่อถูกทำโดยใช้ส่วนที่มีค่า NULL เพื่อดูรายการของบัญชีผู้ใช้โดเมน

มีสถานการณ์ที่คล้ายกันที่ได้รับชื่อบัญชีที่ใช้การเชื่อมต่อแบบไม่ระบุชื่อให้ผู้ใช้เครื่องมือของอินเทอร์เฟซ รวมทั้ง Windows NT Explorer ตัว จัดการผู้ใช้ และโปรแกรม แก้ไข ACL การ จัดการ และจัดการการเข้าถึงข้อมูลผ่านข้ามโดเมนของ Windows NT หลายควบคุม ตัวอย่างอื่นกำลังใช้ตัวจัดการผู้ใช้โดเมนทรัพยากรเพื่อเพิ่มผู้ใช้จากโดเมนเชื่อถือได้ของบัญชีกลุ่มโลคัล วิธีการหนึ่งเพื่อเพิ่มผู้ใช้โดเมนบัญชีกลุ่มโลคัลในโดเมนทรัพยากรคือ โดเมน\ชื่อรู้จักเพื่อเพิ่มการเข้าถึงโดยไม่ต้องการเรียกดูรายชื่อทั้งหมดจากโดเมนของบัญชีที่ป้อนด้วยตนเอง วิธีอื่นคือการเข้าสู่ระบบไปยังระบบในโดเมนทรัพยากรที่ใช้แอคเคาท์ในโดเมนของบัญชีที่เชื่อถือ

ระบบของ windows NT ที่ต้องการจำกัดการเชื่อมต่อแบบไม่ระบุชื่อจากรายการบัญชีที่ชื่อสามารถควบคุมการดำเนินการนี้หลังจากติดตั้ง Windows NT 4.0 Service Pack 3 หรือโปรแกรมแก้ไขด่วน 3.51 Windows NT

หลังจากติดตั้ง Windows NT 4.0 Service Pack 3 หรือโปรแกรมแก้ไขด่วนของ Windows NT 3.51 ผู้ดูแลระบบที่ต้อง การต้องให้ผู้ใช้ authenticated เดียวกับชื่อบัญชีของรายการ ออกแบบไม่ระบุชื่อการเชื่อมต่อจากการทำเช่นนั้น ต้องทำการเปลี่ยนแปลงต่อไปนี้เพื่อรีจิสทรี:

คำเตือน: การใช้ตัวแก้ไขรีจิสทรีอย่างไม่ถูกต้องอาจทำให้เกิดปัญหาร้ายแรง ทั้งระบบซึ่งอาจทำให้คุณติดตั้ง Windows NT เพื่อแก้ไขแฟ้มเหล่านั้น Microsoft ไม่รับประกันว่า ปัญหาใด ๆ ที่เป็นผลจากการใช้ของ'ตัวแก้ไขรีจิสทรี'สามารถแก้ไข ใช้เครื่องมือนี้ของคุณต้องยอมรับความเสี่ยง
  1. เรียกใช้ตัวแก้ไขรีจิสทรี (Regedt32.exe)
  2. ไปที่คีย์ต่อไปนี้ในรีจิสทรี:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. บนเมนู'แก้ไข' คลิกเพิ่มค่า และใช้รายการต่อไปนี้:

    ค่าชื่อ: RestrictAnonymous
    ชนิดของข้อมูล: REG_DWORD
    ค่า: 1
  4. ออกจากตัวแก้ไขรีจิสทรี และรีสตาร์ทเครื่องคอมพิวเตอร์สำหรับการให้การเปลี่ยนแปลงมีผล


หมายเหตุ:การเข้าถึงระยะไกลกับรีจิสตรียังอาจเป็นไปได้หลังจากที่คุณทำตามขั้นตอนในบทความนี้ถ้าการRestrictNullSessAccessค่ารีจิสทรีถูกสร้างขึ้น และมีการตั้งค่าเป็น 0 ค่านี้อนุญาตให้เข้าถึงระยะไกลกับรีจิสทรี โดยใช้เซสชันว่าง The value overrides other explicit restrictive settings.

The purpose of the registry value is to configure local system policy for whether authentication is required to perform common enumeration functions. Requiring authentication to obtain the account name list is an optional feature. When the RestrictAnonymous value is set to 1, anonymous connections from the Graphical User Interface tools for security management will receive an access denied error when attempting to get the list of account names. When the RestrictAnonymous value is set to 0, or the value is not defined, anonymous connections will be able to list account names and enumerate share names. It should be noted that even with the value of RestrictAnonymous set to 1, although the user interface tools with the system will not list account names, there are Win32 programming interfaces to support individual name lookup that do not restrict anonymous connections.

Windows NT networks using a multiple domain model can restrict anonymous connections without loss of functionality. The initial steps in planning to disable anonymous connections is for administrators in resource domains to add members of trusted account domains to specific local groups as needed before changing the value for the LSA RestrictAnonymous registry entry. Users logged on using accounts from trusted account domains will continue to use authenticated connections to obtain list of account names to manage security access control.

Restricting Anonymous List of Share Names

The Server service that provides remote file access to share resources will also use the LSA registry value, RestrictAnonymous, to control whether anonymous connections can obtain a list of share names. Therefore, administrators can set the value of a single registry configuration entry to define how the system responds to enumeration requests by anonymous logons.

Restricting Anonymous Remote Registry Access

Installation of Windows NT 4.0 Service Pack 3 or the Windows NT 3.51 hotfix removes the ability for anonymous users to connect to the registry remotely. Anonymous users cannot connect to the registry and cannot read or write any registry data. As a reminder, Windows NT 4.0 restricts remote access to the registry by domain users using the access control list on the registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
The ACL on this key identifies the authenticated users allowed to remotely connect to the registry. Windows NT 4.0 Server, by default, only allows Administrators remote registry access. The winreg\AllowedPaths subkey identifies specific portions of the registry that authenticated users who are not explicitly granted access by the winreg ACL can use for printer access and other system operations. The winreg key may be defined on Windows NT 4.0 Workstations to restrict remote registry access to those systems.For additional information on the winreg key, click the article number below to view the article in the Microsoft Knowledge Base:
153183How to Restrict Access to NT Registry from a Remote Computer

Authenticated Users Built-in Group

A new built-in group is created when installing Windows NT 4.0 Service Pack 3 or the Windows NT 3.51 hotfix known as "Authenticated Users." The Authenticated Users group is similar to the "Everyone" group, except for one important difference: anonymous logon users (or NULL session connections) are never members of the Authenticated Users group. The built-in Security Identifier for Authenticated Users is S-1-5-11. Authenticated network connections from any account in the server's Windows NT domain, or any domain trusted by the server's domain, is identified as an Authenticated User. The Authenticated Users group is available for granting access rights to resources in the security ACL editor. Windows NT 4.0 Service Pack 3 and the Windows NT 3.51 hotfix do not modify any access control lists to change access rights granted to Everyone to use Authenticated Users.

Windows NT 3.51 Hotfix

The Windows NT 3.51 hotfix has been posted to the following Internet location:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/ hotfixes-postSP5/sec-fix


คุณสมบัติ

หมายเลขบทความ (Article ID): 143474 - รีวิวครั้งสุดท้าย: 6 มกราคม 2554 - Revision: 4.0
ใช้กับ
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Server 3.51
Keywords: 
kbenv kbinfo kbnetwork kbmt KB143474 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:143474

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com