Как ограничить доступ к реестру на удаленном компьютере

Переводы статьи Переводы статьи
Код статьи: 153183 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание
Данная статья относится к Windows 2000. Поддержка для Windows 2000 заканчивается 13 июля 2010 г. В Центр решений для завершения технической поддержки Windows 2000 является отправной точкой для планирования стратегии перехода от Windows 2000. Дополнительные сведения см. Политики жизненного цикла поддержки Майкрософт.
Thisarticle версии Microsoft Windows XP см.314837.
Внимание
Данная статья относится к Windows 2000. Поддержка для Windows 2000 заканчивается 13 июля 2010 г. В Центр решений для завершения технической поддержки Windows 2000 является отправной точкой для планирования стратегии перехода от Windows 2000. Дополнительные сведения см. Политики жизненного цикла поддержки Майкрософт.
Развернуть все | Свернуть все

В этой статье

Аннотация

Редактор реестра обеспечивает удаленный доступ к реестру Windows; Тем не менее можно ограничить доступ.

Дополнительная информация

По умолчанию в системе Windows NT 3.51 любой пользователь может получить доступ к реестра, при подключении по сети. В системе Windows NT 4.0 и более поздних версий по умолчанию только члены группы «Администраторы» обеспечивает доступ к реестру по сети.

Пользователи домена могут удаленно подключаться к реестра контроллера домена с помощью Regedit.exe. Затем они могут просматривать значения в записи HKEY_CLASSES_ROOT и в записи HKEY_USERS. Тем не менее они будут иметь доступ только для чтения. Данное поведение является особенностью операционной системы.

Примечание Некоторые службы необходим доступ к системному реестру для надлежащей. Например если добавить этот раздел в систему 3.51, на котором выполняется репликация каталогов, необходимо предоставить доступ учетной записи репликации в реестр, как описано далее в этой статье.

Ограничение доступа к сети в реестр

Важно Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому точно выполняйте следующие действия. Для дополнительной защиты создайте резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для дополнительных сведений о способах создания резервной копии и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как провести резервное копирование и восстановление реестра Windows
Примечание В Windows 2000 и более поздних версий только администраторы и операторы архива имеют доступ к сети по умолчанию в реестре. В некоторых случаях данный раздел не относится. Чтобы ограничить доступ к сети в реестр, выполните действия, перечисленные ниже, для создания раздела реестра.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

Имя: описание
Тип: REG_SZ
Значение: Сервер реестра
Разрешения безопасности для этого ключа определяют, какие пользователи или группы могут подключиться к системе для удаленного доступа к реестру. Установки Windows по умолчанию этот ключ определяет и устанавливает список управления доступом для ограничения удаленного доступа к реестру следующим образом:
Администраторы имеют полный доступ
Конфигурации по умолчанию для Windows позволяет использовать только администраторы удаленного доступа к реестру. Изменения в этот раздел, чтобы разрешить пользователям удаленный доступ к реестру требуют перезагрузки системы вступили в силу.

Чтобы создать раздел реестра для ограничения доступа к реестру:
  1. Запустите редактор реестра (Regedt32.exe) и перейдите к подразделу экран:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  2. В меню Правка выберите команду Добавить раздел.
  3. Введите следующие значения:
    Имя ключа: SecurePipeServers
    Класс: REG_SZ
  4. Перейти к следующему подразделу:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
  5. В меню Правка выберите команду Добавить раздел.
  6. Введите следующие значения:
    Имя ключа: winreg
    Класс: REG_SZ
  7. Перейти к следующему подразделу:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  8. В меню Правка выберите пункт Добавить значение.
  9. Введите следующие значения:
    Значение имени: описание
    Тип данных: REG_SZ
    Строка: Сервер реестра
  10. Перейдите к следующему подразделу.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  11. Выберите «winreg». Перейдите на вкладку Безопасность и нажмите кнопку разрешения. Добавьте пользователей или группы, для которых будет grantaccess.
  12. Закройте редактор реестра и перезапустите систему Windows.
  13. Если в дальнейшем требуется изменить в списке usersthat доступ к реестру, повторите действия 10-12.

Обход ограничений доступа

Некоторые службы требуют удаленный доступ к системному реестру для надлежащей. Например службу репликации каталогов и служба диспетчера очереди печати при подключении к принтеру по сети требуется доступ к удаленному реестру.

Можно либо добавить имя учетной записи, что служба выполняется под список доступа раздела «winreg» или можно настроить Windows на обход ограничений доступа к определенным разделам, перечислив их в значении компьютера или пользователей в разделе AllowedPaths.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
   Value:        Machine
   Value Type:   REG_MULTI_SZ - Multi string
   Default Data: System\CurrentControlSet\Control\ProductOptions
                 System\CurrentControlSet\Control\Print\Printers
                 System\CurrentControlSet\Services\Eventlog
                 Software\Microsoft\Windows NT\CurrentVersion
                 System\CurrentControlSet\Services\Replicator

   Valid Range:  A valid path to a location in the registry.
   Description:  Allow machines access to listed locations in the
                 registry provided that no explicit access
                 restrictions exists for that location.

   Value:        Users
   Value Type:   REG_MULTI_SZ - Multi string
   Default Data: (None)
   Valid Range:  A valid path to a location in the registry.
   Description:  Allow Users access to listed locations in the
                 registry provided that no explicit access
                 restrictions exists for that location. 
Слегка меняется в Windows 2000 и более поздних версий:
   Value:        Machine
   Value Type:   REG_MULTI_SZ - Multi string
   Default Data: System\CurrentControlSet\Control\ProductOptions
                 System\CurrentControlSet\Control\Print\Printers
                 system\CurrentControlSet\control\Server Applications
                 System\CurrentControlSet\Services\Eventlog
                 Software\Microsoft\Windows NT\CurrentVersion
                 
   Value:  Users - Does not exist by default. 
Дополнительные сведения о том, как программно получить доступ к реестру Windows и применить защиту к разделу реестра щелкните следующий номер статьи базы знаний Майкрософт:
146906 Как защитить данные о производительности в Windows 2000, Windows NT, Windows XP


Примечание Это может быть удаленный доступ к реестру после выполните действия, описанные в данной статье, если значение реестра RestrictNullSessAccess был создан и имеет значение 0. Это значение позволяет удаленный доступ к реестру с помощью нулевого сеанса. Значение перекрывает другие явные ограничения.

Свойства

Код статьи: 153183 - Последний отзыв: 1 ноября 2013 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • операционная система Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Ключевые слова: 
kbnetwork kbmt KB153183 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 153183

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com