So beschränken Sie den Zugriff auf die Registrierung von einem Remotecomputer aus

Artikel-ID: 153183 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
153183
(http://support.microsoft.com/kb/153183/EN-US/ )
How to restrict access to the registry from a remote computer
In Artikel 314837
(http://support.microsoft.com/kb/314837/DE/ )
wird dieses Thema für Microsoft Windows XP behandelt.
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986
(http://support.microsoft.com/kb/256986/DE/ )
Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Der Registrierungseditor unterstützt den Remotezugriff auf die Windows-Registrierung; Sie haben jedoch die Möglichkeit, Einschränkungen für diesen Zugriff festzulegen.
Zum Anfang | Ihr Feedback an uns

Weitere Informationen

In einem Windows NT 3.51-System kann standardmäßig jeder Benutzer auf die Registrierung eines Computers zugreifen, wenn er über das Netzwerk eine Verbindung zu diesem Computer herstellt. Bei einem System, das auf Windows NT 4.0 oder höher basiert, können standardmäßig nur Mitglieder der Gruppe "Administratoren" über das Netzwerk auf die Registrierung zugreifen.

Domänenbenutzer können mit Regedit.exe eine Remoteverbindung zur Registrierung eines Domänencontrollers herstellen. Sie können dann die Werte in den Einträgen HKEY_CLASSES_ROOT und HKEY_USERS sehen. Sie haben dabei jedoch nur Lesezugriff. Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Hinweis: Einige Dienste müssen jedoch Zugriff auf die Registrierung haben, um korrekt funktionieren zu können. Wenn Sie diesen Schlüssel beispielsweise einem 3.51-System hinzufügen, auf dem der Verzeichnisreplikationsdienst ausgeführt wird, müssen Sie dem Replikationsdienstkonto gemäß der nachstehenden Beschreibung in diesem Artikel den Zugriff auf die Registrierung ermöglichen.

Einschränken des Zugriffs auf die Registrierung über das Netzwerk

Warnung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
Hinweis: In Windows 2000 und höher können nur Administratoren und Sicherungsoperatoren standardmäßig über das Netzwerk auf die Registrierung zugreifen. In bestimmten Fällen sind die Informationen aus diesem Abschnitt also nicht anwendbar. Erstellen Sie gemäß der nachstehenden Beschreibung den folgenden Registrierungsschlüssel, um den Zugriff auf die Registrierung über das Netzwerk einzuschränken:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

Name: Beschreibung
Typ: REG_SZ
Wert: Registrierungsserver
Die für diesen Schlüssel festgelegten Sicherheitsberechtigungen definieren, welche Benutzer oder Gruppen Remotezugriff auf die Registrierung des Systems haben. Die standardmäßige Windows-Installation definiert diesen Schlüssel und legt die Zugriffssteuerungsliste so fest, dass für den Remotezugriff auf die Registrierung die folgenden Einschränkungen gelten:
Administratoren haben Vollzugriff
Bei einer Standardkonfiguration gestattet Windows nur Administratoren den Remotezugriff auf die Registrierung. Wenn Sie diesen Schlüssel ändern, um Benutzern den Remotezugriff auf die Registrierung zu ermöglichen, müssen Sie das System neu starten, damit die Änderungen wirksam werden.

Gehen Sie folgendermaßen vor, um den Registrierungsschlüssel zu erstellen, mit dem der Zugriff auf die Registrierung eingeschränkt wird:
  1. Starten Sie den Registrierungseditor (Regedt32.exe), und gehen Sie zu folgendem Unterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  2. Klicken Sie im Menü Bearbeiten auf Schlüssel hinzufügen.
  3. Geben Sie die folgenden Werte ein:
    Schlüsselname: SecurePipeServers
    Klasse: REG_SZ
  4. Navigieren Sie zu folgendem Unterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
  5. Klicken Sie im Menü Bearbeiten auf Schlüssel hinzufügen.
  6. Geben Sie die folgenden Werte ein:
    Schlüsselname: winreg
    Klasse: REG_SZ
  7. Navigieren Sie zu folgendem Unterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  8. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen.
  9. Geben Sie die folgenden Werte ein:
    Name: Beschreibung
    Typ: REG_SZ
    Zeichenfolge: Registrierungsserver
  10. Navigieren Sie zu folgendem Unterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  11. Markieren Sie "winreg". Klicken Sie auf Sicherheit und anschließend auf Berechtigungen. Fügen Sie die Benutzer oder Gruppen hinzu, denen Sie den Zugriff gestatten möchten.
  12. Beenden Sie den Registrierungseditor. Starten Sie Windows danach neu.
  13. Wenn Sie zu einem späteren Zeitpunkt die Liste der Benutzer ändern möchten, die Zugriff auf die Registrierung haben sollen, wiederholen Sie die Schritte 10-12.

Umgehen der Zugriffsbeschränkung

Einige Dienste müssen Remotezugriff auf die Registrierung haben, um korrekt funktionieren zu können. Dies gilt zum Beispiel für den Verzeichnisreplikationsdienst und den Spoolerdienst, die den Remotezugriff auf die Registrierung benötigen, wenn Sie über das Netzwerk eine Verbindung zu einem Drucker herstellen.

Sie können entweder den Namen des Kontos, unter dem der Dienst ausgeführt wird, der Zugriffsliste des Schlüssels "winreg" hinzufügen, oder Sie können Windows darauf konfigurieren, die Zugriffsbeschränkung für bestimmte Schlüssel zu umgehen, indem Sie diese in den Werten "Machine" (Computer) oder "Users" (Benutzer) unter dem Schlüssel "AllowedPaths" auflisten.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
   Wert:             Machine
   Werttyp:          REG_MULTI_SZ - Multi string
   Standarddaten:    System\CurrentControlSet\Control\ProductOptions
                     System\CurrentControlSet\Control\Print\Printers
                     System\CurrentControlSet\Services\Eventlog
                     Software\Microsoft\Windows NT\CurrentVersion
                     System\CurrentControlSet\Services\Replicator


   Gültiger Bereich: Gültiger Pfad zu einem Ort in der Registrierung.
   Beschreibung:     Computern den Zugriff auf die aufgelisteten
                     Speicherorte in der Registrierung erlauben, sofern für
                     diesen Speicherort keine ausdrücklichen
                     Zugriffsbeschränkungen existieren.


   Wert:             Users
   Werttyp:          REG_MULTI_SZ - Multi string
   Standarddaten:   (Keine)
   Gültiger Bereich: Gültiger Pfad zu einem Ort in der Registrierung.
   Beschreibung:     Computern den Zugriff auf die aufgelisteten
                     Speicherorte in der Registrierung erlauben, sofern 
                     für diesen Speicherort keine ausdrücklichen
                     Zugriffsbeschränkungen existieren.
In Windows 2000 und höher gab es einige kleinere Änderungen: 
    Wert:             Machine
   Werttyp:          REG_MULTI_SZ - Multi string
   Standarddaten:    System\CurrentControlSet\Control\ProductOptions
                     System\CurrentControlSet\Control\Print\Printers
                     System\CurrentControlSet\control\Server Applications
                     System\CurrentControlSet\Services\Eventlog
                     Software\Microsoft\Windows NT\CurrentVersion
                 
   Wert:  Users - Ist nicht standardmäßig vorhanden.
Weitere Informationen dazu, wie Sie programmatisch auf die Windows-Registrierung zugreifen und Sicherheitseinstellungen auf einen Registrierungsschlüssel anwenden können, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
146906
(http://support.microsoft.com/kb/146906/DE/ )
Wie Sichern von Leistungsdaten in Windows 2000 Windows NT Windows XP


Hinweis: Der Remotezugriff auf die Registrierung ist nach Durchführung der Schritte in diesem Artikel möglich, wenn der Registrierungswert "RestrictNullSessAccess" erstellt und auf 0 gesetzt wurde. Dieser Wert ermöglicht den Remotezugriff auf die Registrierung über eine Nullsitzung. Der Wert setzt andere explizit restriktive Einstellungen außer Kraft.
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 153183 - Geändert am: Montag, 27. März 2006 - Version: 8.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Keywords: 
kbnetwork KB153183
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang