如何限制從遠端電腦存取登錄

文章翻譯 文章翻譯
文章編號: 153183 - 檢視此文章適用的產品。
本文曾發行於 CHT153183
如需本文的 Microsoft Windows XP 版本,請參閱314837
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和編輯登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Microsoft Windows 登錄說明
全部展開 | 全部摺疊

在此頁中

結論

「登錄編輯程式」支援 Windows 登錄的遠端存取;不過,您也可以限制這項存取。

其他相關資訊

在 Windows NT 3.51 系統上,根據預設值,任何透過網路連線的使用者都可以存取登錄。在 Windows NT 4.0 系統及更新版本上,根據預設值,只有 Administrators 群組的成員才可以透過網路存取登錄。

網域使用者可以使用 Regedit.exe 自遠端連線至網域控制站的登錄,然後看到 HKEY_CLASSES_ROOT 項目和 HKEY_USERS 項目中的值。不過,他們只有唯讀權限。這是原本設計的作法。

注意 有些服務需要存取登錄才能夠正確運作。例如,如果您新增此機碼至正在執行「目錄複寫」的 3.51 系統,就需要將登錄存取權授予 Replicator 帳戶,如本文稍後所述。

限制透過網路存取登錄

警告 不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 並不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。
注意 在 Windows 2000 及更新版本中,根據預設,只有 Administrators 與 Backup Operators 才能透過網路存取登錄。這一節可能不適用於某些實例。如果要限制透過網路存取登錄,請依照下列步驟建立以下登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

名稱:Description
類型:REG_SZ
值:Registry Server
設定在此機碼上的「安全性」權限會定義哪些「使用者」或「群組」可以連線至系統,進行遠端登錄存取。預設的 Windows 安裝會定義此機碼並將「存取控制清單」設為限制遠端存取登錄,如下所示:
系統管理員有完全控制權
Windows 的預設設定只允許 Administrators 遠端存取登錄。要變更此機碼讓使用者從遠端存取登錄,必須重新啟動系統,變更才能生效。

建立限制存取登錄的登錄機碼:
  1. 啟動「登錄編輯程式」(Regedt32.exe) 並前往下列子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  2. [編輯] 功能表上,按一下 [新增機碼]
  3. 輸入下列值:
    機碼名稱:SecurePipeServers
    類別:REG_SZ
  4. 前往下列子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
  5. [編輯] 功能表上,按一下 [新增機碼]
  6. 輸入下列值:
    機碼名稱:winreg
    類別:REG_SZ
  7. 前往下列子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  8. [編輯] 功能表上,按一下 [新增值]
  9. 輸入下列值:
    數值名稱:Description
    資料類型:REG_SZ
    字串:Registry Server
  10. 前往下列子機碼。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  11. 選取 [winreg]。按一下 [安全性],然後按一下 [使用權限]。新增您想要授予存取權的使用者或群組。
  12. 結束「登錄編輯程式」然後重新啟動 Windows。
  13. 如果您之後想要變更可以存取登錄的使用者清單,請重複執行步驟 10 到 12。

略過存取限制

有些服務需要遠端存取登錄的權限才能夠正確運作。例如,「目錄複寫器」服務以及透過網路連線至印表機時的「多工緩衝處理程式」(Spooler) 服務,都需要存取遠端登錄。

您可以將執行服務的帳戶名稱新增至 winreg 機碼的存取清單中,或是設定 Windows 略過某些機碼的存取限制,方法是將這些機碼列在 AllowedPaths 機碼下的 Machine 或 Users 值之中。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
值:Machine
數值類型:REG_MULTI_SZ - 多重字串
預設資料:System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Services\Replicator

有效範圍:登錄中某個位置的有效路徑。
描述:如果登錄中列出的位置
沒有明確的存取限制,
即允許電腦存取該位置。

值:Users
數值類型:REG_MULTI_SZ - 多重字串
預設資料:(無)
有效範圍:登錄中某個位置的有效路徑。
說明:如果登錄中列出的位置
沒有明確的存取限制,
即允許使用者存取該位置。
Windows 2000 及更新版本中稍有變更:
值:Machine
數值類型:REG_MULTI_SZ - 多重字串
預設資料:System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
system\CurrentControlSet\control\Server Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\Windows NT\CurrentVersion
                 
值:Users - 在預設情況下並不存在。
如需如何以程式設計方式存取 Windows 登錄並將安全性套用至登錄機碼的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
146906 How To Secure Performance Data in Windows 2000, Windows NT, Windows XP


注意 建立 RestrictNullSessAccess 登錄值並將它設為 0 之後,只要按照本文所述步驟,便可能從遠端存取登錄。這個值可以使用 Null 工作階段從遠端存取登錄,而且會覆寫其他明確限制設定。

屬性

文章編號: 153183 - 上次校閱: 2006年1月20日 - 版次: 8.0
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
關鍵字:?
kbnetwork KB153183
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com