Verwenden des Registrierungswertes "RestrictAnonymous" in Windows 2000

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 246261 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D246261
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
246261 How to use the RestrictAnonymous registry value in Windows 2000
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, wie Administratoren mithilfe des Registrierungswerts "RestrictAnonymous" auf einem Windows 2000-Computer den Zugriff über anonyme Verbindungen einschränken können.

Weitere Informationen

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Microsoft kann nicht dafür garantieren, dass Probleme, die von einer falschen Verwendung des Registrierung-Editors herrühren, behoben werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.

Ein Administrator kann einen Windows 2000-Computer so konfigurieren, dass ein anonymer Anmeldezugriff auf alle Ressourcen verhindert wird. Ausgenommen davon sind die Ressourcen, für die anonymen Benutzern eventuell ausdrücklich Zugriffsrechte eingeräumt worden sind. Wenden Sie eine der folgenden Methoden an, um dieses Verhalten zu steuern.

Hinweis: Wenn auf dem Windows 2000-Computer die Terminaldienstelizenzierung ausgeführt wird, können andere Server, auf denen die Terminaldienste aktiviert sind, keine Lizenzen bei diesem Computer anfordern.

MMC-Snap-In "Lokale Sicherheitsrichtlinie"

  1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie.

    Hinweis: Falls Sie diesen Schritt nicht ausführen können, weil die Option Verwaltung nicht unter Programme aufgeführt ist, klicken Sie auf Start, zeigen Sie auf Einstellungen und dann auf Systemsteuerung, klicken Sie auf Verwaltung, und klicken Sie anschließend auf Lokale Sicherheitsrichtlinie. Fahren Sie danach mit Schritt 2 fort.
  2. Doppelklicken Sie unter Sicherheitseinstellungen auf Lokale Richtlinien. Klicken Sie dann auf Sicherheitsoptionen.
  3. Doppelklicken Sie auf Weitere Einschränkungen für anonyme Verbindungen, und klicken Sie anschließend unter Einstellung der lokalen Richtlinie auf Kein Zugriff ohne explizite anonyme Berechtigung.
  4. Starten Sie den Mitgliedscomputer bzw. den Domänencontroller neu, damit die Änderung übernommen wird.

Registrierungswert "RestrictAnonymous"

Gehen Sie im Registrierungseditor zu dem folgenden Registrierungsschlüssel, und fügen Sie dann den folgenden Registrierungswert hinzu (oder ändern Sie ihn entsprechend, falls er bereits existiert):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Wert: RestrictAnonymous
Werttyp: REG_DWORD
Wertdaten: 0x2 (Hex)

Starten Sie den Computer neu, nachdem Sie Änderungen am Registrierungsschlüssel RestrictAnonymous vorgenommen haben.

Wenn der Registrierungswert "RestrictAnonymous" auf 2 gesetzt ist, umfasst der Zugriffstoken für nicht authentifizierte Benutzer nicht die Gruppe "Jeder". Aus diesem Grund hat der Zugriffstoken keinen Zugriff mehr auf die Ressourcen, mit denen Berechtigungen für die Gruppe "Jeder" festgelegt werden. Dies kann zu unerwünschtem Verhalten führen, da zahlreiche Windows 2000-Dienste und Programme von Fremdanbietern Möglichkeiten für einen anonymen Zugriff benötigen, um völlig legitime Tasks durchzuführen.

Wenn beispielsweise ein Administrator in einer vertrauenden Domäne einem Benutzer in einer vertrauenswürdigen Domäne lokalen Zugriff erteilen möchte, muss möglicherweise eine Aufzählung der Benutzer in der vertrauenswürdigen Domäne erfolgen. Da die vertrauenswürdige Domäne den Administrator in der vertrauenden Domäne nicht authentifizieren kann, wird möglicherweise eine anonyme Aufzählung verwendet. Die Vorteile, die die Einschränkung der Möglichkeiten anonymer Benutzer im Hinblick auf die Sicherheit bietet, sollten gegen die entsprechenden Anforderungen von Diensten und Programmen abgewogen werden, die für die vollständige Funktionalität die Möglichkeit eines anonymen Zugriffs benötigen.

Für die folgenden Tasks gelten Einschränkungen, wenn der Registrierungswert "RestrictAnonymous" auf einem Windows 2000-Domänencontroller auf 2 gesetzt ist:
  • Mitgliedsarbeitsstationen oder Server einer untergeordneten Ebene können keinen sicheren Netlogon-Kanal einrichten.
  • Domänencontroller einer untergeordneten Ebene in vertrauenden Domänen können keinen sicheren Netlogon-Kanal einrichten.
  • Benutzer von Microsoft Windows NT können ihre Kennwörter nicht ändern, nachdem diese abgelaufen sind. Macintosh-Benutzer können ihre Kennwörter gar nicht mehr ändern.
  • Der Suchdienst kann keine Domänenlisten oder Serverlisten von Sicherungssuchdiensten, Hauptsuchdiensten oder Domänen-Hauptsuchdiensten abrufen, die auf Computern ausgeführt werden, deren Registrierungswert "RestrictAnonymous" auf 2 gesetzt ist. Aus diesem Grund funktioniert kein Programm einwandfrei, das auf den Suchdienst angewiesen ist.
Aufgrund dieser Ergebnisse ist es nicht empfehlenswert, in einer gemischten Umgebung mit untergeordneten Clients den Registrierungswert "RestrictAnonymous" auf 2 zu setzen. Sie sollten daher nur in Windows 2000-Umgebungen in Betracht ziehen, den Registrierungswert "RestrictAnonymous" auf 2 zu setzen, und nur nachdem ausreichende Tests zur Qualitätssicherung gezeigt haben, dass die entsprechenden Dienstebenen und Programmfunktionen erhalten bleiben.

Hinweis: Durch vordefinierte Sicherheitsvorlagen für hohe Sicherheit wird der Registrierungswert "RestrictAnonymous" auf 2 gesetzt. Daher sollten diese Vorlagen mit Vorsicht verwendet werden. Weitere Informationen zum Registrierungswert "RestrictAnonymous" finden Sie in folgendem Artikel der Microsoft Knowledge Base:
178640 Konnte Domäne-Controller nicht finden, wenn ein Vertrauen herstellt
"RestrictAnonymous" wird gesetzt, indem der Registrierungsschlüssel für Windows NT 4.0 in 0 oder 1 bzw. für Windows 2000 in 0, 1 oder 2 geändert wird. Diese Zahlen entprechen den folgenden Einstellungen:

0 Keine. Standardberechtigungen verwenden.

1 Aufzählung von SAM-Konten und -Namen nicht zulassen.

2 Kein Zugriff ohne explizite anonyme Berechtigung.

Eigenschaften

Artikel-ID: 246261 - Geändert am: Freitag, 12. August 2005 - Version: 5.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Keywords: 
kbhowto kbenv kbnetwork KB246261
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com