Αναγν. άρθρου: 246261 - Τελευταία αναθεώρηση: Πέμπτη, 22 Δεκεμβρίου 2005 - Αναθεώρηση: 5.0

Τρόπος χρήσης της τιμής μητρώου RestrictAnonymous στα Windows 2000

Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Συμβουλή συστήματοςΑυτό το άρθρο ισχύει για διαφορετικό λειτουργικό σύστημα από αυτό που χρησιμοποιείτε. Το περιεχόμενο του άρθρου που ενδέχεται να μην σας αφορά έχει απενεργοποιηθεί.
Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες σχετικά με την τροποποίηση του μητρώου. Βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Βεβαιωθείτε ότι γνωρίζετε τους τρόπους επαναφοράς του μητρώου εάν παρουσιαστεί κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας, επαναφοράς και τροποποίησης του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
256986  (http://support.microsoft.com/kb/256986/EL/ ) Περιγραφή του μητρώου των Microsoft Windows

Σε αυτήν τη σελίδα

Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Αυτό το άρθρο περιγράφει τον τρόπο χρήσης της τιμής μητρώου RestrictAnonymous από τους διαχειριστές, σε υπολογιστή που βασίζεται στα Windows 2000, για τον περιορισμό της πρόσβασης μέσω ανώνυμων συνδέσεων.
Επιστροφή στην αρχή

Περισσότερες πληροφορίες

Προειδοποίηση Ενδέχεται να προκύψουν σοβαρά ζητήματα σε περίπτωση λανθασμένης τροποποίησης του μητρώου με χρήση του Επεξεργαστή Μητρώου (Registry Editor) ή άλλης μεθόδου. Λόγω αυτών των ζητημάτων, ενδέχεται να χρειαστεί εκ νέου εγκατάσταση του λειτουργικού σας συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι τα ζητήματα αυτά είναι δυνατό να επιλυθούν. Τροποποιήστε το μητρώο με δική σας ευθύνη.

Ένας διαχειριστής μπορεί να ρυθμίσει τις παραμέτρους ενός υπολογιστή που βασίζεται στα Windows 2000 για να αποτρέψει την ανώνυμη πρόσβαση σε όλους τους πόρους, με την εξαίρεση των πόρων στους οποίους έχει παραχωρηθεί ρητά πρόσβαση στους ανώνυμους χρήστες. Για να ελέγξετε αυτήν τη συμπεριφορά, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους.

Σημείωση Εάν η υπηρεσία Terminal Server Licensing εκτελείται σε υπολογιστή με Windows 2000, οι υπόλοιποι διακομιστές που έχουν ενεργοποιημένες τις υπηρεσίες Terminal Services δεν θα έχουν τη δυνατότητα να ζητήσουν άδειες από αυτήν.
Επιστροφή στην αρχή

Συμπληρωματικό πρόγραμμα τοπικής πολιτικής ασφαλείας (Local Security Policy) της Κονσόλας διαχείρισης της Microsoft (MMC)

  1. Κάντε κλικ στο κουμπί Έναρξη (Start), τοποθετήστε το δείκτη του ποντικιού στην επιλογή Προγράμματα (Programs), έπειτα τοποθετήστε το δείκτη του ποντικιού στην επιλογή Εργαλεία διαχείρισης (Administrative Tools) και κατόπιν κάντε κλικ στην επιλογή Τοπική πολιτική ασφαλείας (Local Security Policy).

    Σημείωση Αν δεν μπορείτε να εκτελέσετε αυτό το βήμα επειδή τα Εργαλεία διαχείρισης (Administrative Tools) δεν εμφανίζονται στη λίστα προγραμμάτων, κάντε κλικ στο μενού Έναρξη (Start), τοποθετήστε το δείκτη του ποντικιού στην επιλογή Ρυθμίσεις (Settings), τοποθετήστε το δείκτη του ποντικιού στην επιλογή Πίνακας Ελέγχου (Control Panel), κάντε κλικ στο εικονίδιο Εργαλεία διαχείρισης (Administrative Tools) και, στη συνέχεια, κάντε κλικ στην επιλογή Τοπική πολιτική ασφαλείας (Local Security Policy). Στη συνέχεια, προχωρήστε στο βήμα δύο.
  2. Στην περιοχή Security Settings, κάντε διπλό κλικ στο στοιχείο Local Policies και, στη συνέχεια, κάντε κλικ στην επιλογή Security Options.
  3. Κάντε διπλό κλικ στο στοιχείο Additional restrictions for anonymous connections και, στη συνέχεια, κάντε κλικ στην επιλογή No access without explicit anonymous permissions στην περιοχή Local policy setting.
  4. Κάντε επανεκκίνηση του υπολογιστή-μέλους ή του ελεγκτή τομέα για να ισχύσει η αλλαγή.
Επιστροφή στην αρχή

Τιμή μητρώου RestrictAnonymous

Χρησιμοποιήστε τον Επεξεργαστή μητρώου (Registry Editor) για να προβάλετε το ακόλουθο κλειδί μητρώου και, στη συνέχεια, προσθέστε την ακόλουθη τιμή σε αυτό το κλειδί ή τροποποιήστε την, αν υπάρχει ήδη:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Τιμή: RestrictAnonymous
Τύπος τιμής: REG_DWORD
Δεδομένα τιμής: 0x2 (Hex)

Κάντε επανεκκίνηση του υπολογιστή έπειτα από κάθε αλλαγή στο κλειδί RestrictAnonymous του μητρώου.

Όταν η τιμή μητρώου RestrictAnonymous έχει οριστεί σε 2, ο κωδικός (token) πρόσβασης που δημιουργήθηκε για τους μη εξουσιοδοτημένους χρήστες δεν περιλαμβάνει την ομάδα Everyone και, επομένως, ο κωδικός (token) πρόσβασης δεν παρέχει πλέον πρόσβαση στους πόρους που εκχωρούν δικαιώματα στην ομάδα Everyone. Αυτό θα μπορούσε να προκαλέσει ανεπιθύμητη συμπεριφορά, επειδή πολλές από τις υπηρεσίες των Windows 2000, όπως τα προγράμματα άλλων κατασκευαστών, βασίζονται σε δυνατότητες ανώνυμης πρόσβασης για την εκτέλεση νόμιμων εργασιών.

Για παράδειγμα, όταν ένας διαχειριστής αξιόπιστου τομέα θέλει να παραχωρήσει τοπική πρόσβαση σε ένα χρήστη αξιόπιστου τομέα, μπορεί να παρουσιαστεί ανάγκη απαρίθμησης των χρηστών του αξιόπιστου τομέα. Επειδή ο αξιόπιστος τομέας δεν έχει δυνατότητα ελέγχου ταυτότητας του διαχειριστή στον αξιόπιστο τομέα, μπορεί να χρησιμοποιηθεί μια ανώνυμη απαρίθμηση. Τα πλεονεκτήματα περιορισμού των δυνατοτήτων των ανώνυμων χρηστών από πλευράς ασφαλείας πρέπει να σταθμιστούν έναντι των αντίστοιχων απαιτήσεων των υπηρεσιών και των προγραμμάτων που βασίζονται στην ανώνυμη πρόσβαση για να έχουν πλήρη λειτουργικότητα.

Οι παρακάτω εργασίες περιορίζονται όταν η τιμή μητρώου RestrictAnonymous έχει οριστεί σε 2 σε έναν ελεγκτή τομέα που βασίζεται στα Windows 2000:
  • Οι σταθμοί εργασίας-μέλη ή οι διακομιστές-μέλη προηγούμενων εκδόσεων δεν έχουν τη δυνατότητα εγκατάστασης ενός καναλιού ασφαλείας netlogon.
  • Οι ελεγκτές τομέα προηγούμενων εκδόσεων που βρίσκονται σε αξιόπιστους τομείς δεν έχουν τη δυνατότητα εγκατάστασης ενός καναλιού ασφαλείας netlogon.
  • Οι χρήστες των Microsoft Windows NT δεν έχουν τη δυνατότητα αλλαγής των κωδικών πρόσβασής τους μετά τη λήξη τους. Επίσης, οι χρήστες Macintosh δεν έχουν καμία δυνατότητα αλλαγής των κωδικών πρόσβασής τους.
  • Η υπηρεσία αναζήτησης (Browser) δεν έχει τη δυνατότητα ανάκτησης καμίας λίστας τομέων ή διακομιστών από προγράμματα αναζήτησης αντιγράφων ασφαλείας, κύρια προγράμματα αναζήτησης ή κύρια προγράμματα αναζήτησης τομέα τα οποία εκτελούνται σε υπολογιστές στους οποίους η τιμή μητρώου RestrictAnonymous έχει οριστεί σε 2. Για αυτόν το λόγο, όλα τα προγράμματα που βασίζονται στην υπηρεσία αναζήτησης (Browser) δεν λειτουργούν σωστά.
Λόγω αυτών των αποτελεσμάτων, δεν συνιστάται ο ορισμός της τιμής μητρώου RestrictAnonymous σε 2, σε περιβάλλοντα μικτής κατάστασης λειτουργίας τα οποία περιλαμβάνουν προγράμματα-πελάτες προηγούμενων εκδόσεων. Ο ορισμός της τιμής μητρώου RestrictAnonymous σε 2 πρέπει να πραγματοποιείται μόνο σε περιβάλλοντα με Windows 2000 και μετά την εκτέλεση ικανοποιητικών δοκιμών εξασφάλισης ποιότητας με τις οποίες επιβεβαιώνεται ότι διατηρούνται τα κατάλληλα επίπεδα υπηρεσιών και η λειτουργικότητα των προγραμμάτων.

Σημείωση Τα προκαθορισμένα πρότυπα ασφαλείας High Secure ορίζουν την τιμή μητρώου RestrictAnonymous σε 2 και, επομένως, τα πρότυπα αυτά πρέπει να χρησιμοποιούνται με προσοχή. Για περισσότερες πληροφορίες σχετικά με την τιμή μητρώου RestrictAnonymous, κάντε κλικ στον ακόλουθο αριθμό άρθρου, για να προβάλετε το άρθρο στη Γνωσιακή Βάση της Microsoft (Knowledge Base):
178640  (http://support.microsoft.com/kb/178640/EL/ ) Δεν είναι δυνατή η εύρεση ελεγκτή τομέα κατά τη δημιουργία μιας σχέσης αξιοπιστίας
Η τιμή RestrictAnonymous ορίζεται αλλάζοντας την τιμή μητρώου σε 0 ή 1 για τα Windows NT 4.0 και σε 0, 1 ή 2 για τα Windows 2000. Οι αριθμοί αυτοί αντιστοιχούν στις παρακάτω ρυθμίσεις:

0 None. Rely on default permissions

1 Do not allow enumeration of SAM accounts and names

2 No access without explicit anonymous permissions
Επιστροφή στην αρχή
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Επιστροφή στην αρχή
Λέξεις-κλειδιά: 
kbenv kbhowto kbnetwork KB246261
Επιστροφή στην αρχή