วิธีการจำกัดการเข้าถึงรีจิสทรีจากคอมพิวเตอร์ระยะไกล

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 153183 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
หมายเหตุ
บทความนี้สามารถใช้ได้กับ Windows 2000การสนับสนุนสำหรับสิ้นสุดของ Windows 2000 ในเดือน 13 กรกฎาคม 2010กระบวนการศูนย์โซลูชัน windows 2000 สิ้นสุดของบริการเป็นจุดเริ่มต้นสำหรับการวางแผนเชิงกลยุทธ์การย้ายข้อมูลระบบของคุณจาก Windows 2000 สำหรับข้อมูลเพิ่มเติมให้ดูนโยบาย Lifecycle ฝ่ายสนับสนุนของ Microsoft.
หากต้องการดูบทความนี้สำหรับรุ่น Microsoft Windows XP โปรดดูที่314837.
หมายเหตุ
บทความนี้สามารถใช้ได้กับ Windows 2000การสนับสนุนสำหรับสิ้นสุดของ Windows 2000 ในเดือน 13 กรกฎาคม 2010กระบวนการศูนย์โซลูชัน windows 2000 สิ้นสุดของบริการเป็นจุดเริ่มต้นสำหรับการวางแผนเชิงกลยุทธ์การย้ายข้อมูลระบบของคุณจาก Windows 2000 สำหรับข้อมูลเพิ่มเติมให้ดูนโยบาย Lifecycle ฝ่ายสนับสนุนของ Microsoft.
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

ตัวแก้ไขรีจิสทรีสนับสนุนการเข้าถึงระยะไกลของ Windows รีจิสทรี อย่างไรก็ตาม คุณสามารถจะจำกัดการเข้าถึงนี้ได้

ข้อมูลเพิ่มเติม

โดยค่าเริ่มต้นบนระบบ Windows NT 3.51 ผู้ใช้สามารถเข้าถึงรีจิสทรีเมื่อเชื่อมต่อผ่านเครือข่าย ระบบ Windows NT 4.0 และรุ่นใหม่ กว่า โดยค่าเริ่มต้น เฉพาะสมาชิกของกลุ่มผู้ดูแลสามารถเข้าถึงรีจิสทรีผ่านเครือข่าย

ผู้ใช้โดเมนสามารถเชื่อมต่อกับรีจิสทรีของตัวควบคุมโดเมนจากระยะไกล โดยใช้ Regedit.exe จากนั้นจะสามารถดูค่า ในรายการ HKEY_CLASSES_ROOT และรายการ HKEY_USERS อย่างไรก็ตาม เหล่านั้นจะมีเพียงแบบอ่านอย่างเดียวเข้า นี่คือ โดยการออกแบบ

หมายเหตุ:บริการบางอย่างต้องเข้าถึงรีจิสทรีเพื่อทำงานอย่างถูกต้อง ตัวอย่างเช่น ถ้าคุณสามารถเพิ่มคีย์นี้ระบบ 3.51 ที่กำลังเรียกใช้การจำลองแบบไดเรกทอรี จำเป็นเมื่อต้องการให้สิทธิการเข้าถึงบัญชีตัวทำซ้ำการรีจิสทรีตามที่อธิบายไว้ในบทความนี้

การจำกัดการเข้าถึงเครือข่ายไปยังรีจิสทรี

สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows
หมายเหตุ:ใน Windows 2000 และรุ่นใหม่ กว่า เฉพาะผู้ดูแลและ Backup Operators ได้เริ่มต้นการเข้าถึงเครือข่ายไปยังรีจิสทรี ส่วนนี้ไม่อาจใช้ในบางกรณี เมื่อต้องการจำกัดการเข้าถึงเครือข่ายไปยังรีจิสทรี ทำตามขั้นตอนที่แสดงด้านล่างเพื่อสร้างคีย์รีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

ชื่อ: คำอธิบาย
ชนิด: REG_SZ
รีจิสทรีค่า: เซิร์ฟเวอร์
สิทธิ์การรักษาความปลอดภัยที่กำหนดในคีย์นี้กำหนดสิ่งที่ผู้ใช้หรือกลุ่มสามารถเชื่อมต่อกับระบบสำหรับการเข้าถึงรีจิสทรีระยะไกล การเริ่มต้นการติดตั้ง Windows กำหนดคีย์นี้ และการตั้งค่ารายการตัวควบคุมการเข้าถึงเพื่อจำกัดการเข้าถึงรีจิสทรีระยะไกลเป็นดังนี้:
ผู้ดูแลระบบได้ควบคุมทั้งหมด
การกำหนดค่าเริ่มต้นสำหรับ Windows ผู้ดูแลระบบเท่านั้นที่อนุญาตให้เข้าถึงระยะไกลกับรีจิสทรี การเปลี่ยนแปลงคีย์นี้เพื่ออนุญาตให้ผู้ใช้เข้าถึงรีจิสทรีระยะไกลต้องเริ่มระบบใหม่ของระบบจะมีผล

เมื่อต้องการสร้างคีย์รีจิสทรีเพื่อจำกัดการเข้าถึงรีจิสทรี:
  1. เริ่มตัวแก้ไขรีจิสทรี (Regedt32.exe) และไปที่คีย์ย่อยต่อไปนี้:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  2. ในการแก้ไขเมนู คลิกเพิ่มคีย์.
  3. ป้อนค่าต่อไปนี้:
    คีย์ชื่อ: SecurePipeServers
    คลาส: REG_SZ
  4. ไปที่คีย์ย่อยต่อไปนี้:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
  5. ในการแก้ไขเมนู คลิกเพิ่มคีย์.
  6. ป้อนค่าต่อไปนี้:
    คีย์ชื่อ: winreg
    คลาส: REG_SZ
  7. ไปที่คีย์ย่อยต่อไปนี้:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  8. ในการแก้ไขเมนู คลิกเพิ่มค่า.
  9. ป้อนค่าต่อไปนี้:
    ค่าชื่อ: คำอธิบาย
    ชนิดของข้อมูล: REG_SZ
    สายอักขระ: เซิร์ฟเวอร์การรีจิสทรี
  10. ไปที่คีย์ย่อยต่อไปนี้
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  11. เลือก "winreg" คลิกการรักษาความปลอดภัยแล้ว คลิกPermissions:. เพิ่มผู้ใช้หรือกลุ่มที่คุณต้องการให้สิทธิการเข้าถึง
  12. ออกจากตัวแก้ไขรีจิสทรี และการเริ่มระบบ Windows ใหม่
  13. ถ้าในระยะหลังจากคุณต้องการเปลี่ยนรายการผู้ใช้ที่สามารถเข้าถึงรีจิสทรี ทำซ้ำขั้นตอนที่ 10-12

bypassing การจำกัดการเข้าถึง

บริการบางอย่างต้องเข้าถึงระยะไกลกับรีจิสทรีเพื่อทำงานอย่างถูกต้อง สำหรับตัวอย่าง การบริการตัวทำซ้ำการไดเรกทอรี และตัวจัดคิวงานการ บริการเมื่อเชื่อมต่อกับเครื่องพิมพ์ในเครือข่ายจำเป็นต้องมีการเข้าถึงรีจิสทรีระยะไกล

You can either add the account name that the service is running under to the access list of the "winreg" key, or you can configure Windows to bypass the access restriction to certain keys by listing them in the Machine or Users value under the AllowedPaths key.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
   Value:        Machine
   Value Type:   REG_MULTI_SZ - Multi string
   Default Data: System\CurrentControlSet\Control\ProductOptions
                 System\CurrentControlSet\Control\Print\Printers
                 System\CurrentControlSet\Services\Eventlog
                 Software\Microsoft\Windows NT\CurrentVersion
                 System\CurrentControlSet\Services\Replicator

   Valid Range:  A valid path to a location in the registry.
   Description:  Allow machines access to listed locations in the
                 registry provided that no explicit access
                 restrictions exists for that location.

   Value:        Users
   Value Type:   REG_MULTI_SZ - Multi string
   Default Data: (None)
   Valid Range:  A valid path to a location in the registry.
   Description:  Allow Users access to listed locations in the
                 registry provided that no explicit access
                 restrictions exists for that location. 
Changed slightly in Windows 2000 and later:
   Value:        Machine
   Value Type:   REG_MULTI_SZ - Multi string
   Default Data: System\CurrentControlSet\Control\ProductOptions
                 System\CurrentControlSet\Control\Print\Printers
                 system\CurrentControlSet\control\Server Applications
                 System\CurrentControlSet\Services\Eventlog
                 Software\Microsoft\Windows NT\CurrentVersion
                 
   Value:  Users - Does not exist by default. 
For additional information about how to programmatically access the Windows registry and apply security to a registry key, click the following article number to view the article in the Microsoft Knowledge Base:
146906How to secure performance data in Windows 2000, Windows NT, Windows XP


หมายเหตุ:It is possible to have remote access to the registry after you follow the steps in this article if the RestrictNullSessAccess registry value has been created and is set to 0. This value allows remote access to the registry by using a null session. The value overrides other explicit restrictive settings.

คุณสมบัติ

หมายเลขบทความ (Article ID): 153183 - รีวิวครั้งสุดท้าย: 6 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Keywords: 
kbnetwork kbmt KB153183 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:153183

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com