Utilisation de la valeur de Registre RestrictAnonymous dans Windows�2000

Num�ro d'article: 246261 - Voir les produits auxquels s'applique cet article

Ancien n� de publication de cet article�: F246261

IMPORTANT�: Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez � le sauvegarder et assurez-vous que vous savez le restaurer en cas de probl�me. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances�Microsoft�:

256986

(http://support.microsoft.com/kb/256986/ )

Description du Registre de Microsoft�Windows

Agrandir tout | R�duire tout

Sommaire

R�sum�

Cet article d�crit la proc�dure � suivre par les administrateurs pour utiliser la valeur de Registre RestrictAnonymous sur un ordinateur Windows�2000 afin de restreindre l'acc�s via des connexions anonymes.

Retour au d�but | Envoyer des commentaires

Plus d'informations

AVERTISSEMENT�: Toute mauvaise utilisation de l'�diteur du Registre peut g�n�rer des probl�mes s�rieux, pouvant vous obliger � r�installer votre syst�me d'exploitation. Microsoft ne peut garantir que les probl�mes r�sultant d'une mauvaise utilisation de l'�diteur du Registre puissent �tre r�solus. Vous assumez l'ensemble des risques li�s � l'utilisation de cet outil.

Un administrateur peut configurer un ordinateur Windows�2000 pour emp�cher l'acc�s par connexion anonyme � l'ensemble des ressources, � l'exception des ressources pour lesquelles l'utilisateur anonyme b�n�ficie d'un droit d'acc�s explicite. Pour contr�ler ce comportement, appliquez l'une des m�thodes suivantes�:

Composant logiciel enfichable MMC Strat�gie de s�curit� locale

Cliquez sur D�marrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Strat�gie de s�curit� locale.

REMARQUE�: Si vous ne pouvez appliquer cette proc�dure parce que "Outils d'administration" n'appara�t pas dans la liste des programmes, cliquez sur D�marrer, pointez sur Param�tres, sur Panneau de configuration, cliquez sur Outils d'administration, puis cliquez sur Strat�gie de s�curit� locale. Ensuite, passez � l'�tape�2.
Sous Param�tres de s�curit�, double-cliquez sur Strat�gies locales, puis cliquez sur Options de s�curit�.
Double-cliquez sur Restrictions suppl�mentaires pour les connexions anonymes, puis cliquez sur Aucun acc�s sans autorisation anonyme explicitesous Param�tre de strat�gie locale.
Red�marrez l'ordinateur ou le contr�leur de domaine membre pour que la modification soit prise en compte.

Valeur de Registre RestrictAnonymous

Utilisez l'�diteur du Registre pour afficher la cl� de Registre suivante, puis ajoutez la valeur ci-dessous � cette cl�, ou modifiez-la si elle existe d�j�:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

Valeur�: RestrictAnonymous
Type de valeur�: REG_DWORD
Donn�es de la valeur�: 0x2 (Hex)

Red�marrez l'ordinateur apr�s avoir modifi� la cl� RestrictAnonymous du Registre.

Lorsque la valeur de la cl� de Registre RestrictAnonymous est 2, le jeton d'acc�s g�n�r� pour les utilisateurs non authentifi�s n'inclut pas le groupe Tout le monde�; de ce fait, il n'a plus acc�s aux ressources qui accordent des autorisations au groupe Tout le monde. Cela peut provoquer un comportement ind�sirable car un grand nombre de services Windows�2000 tels que les programmes tiers se basent sur les capacit�s d'acc�s anonyme pour ex�cuter des t�ches l�gitimes.

Par exemple, lorsqu'un administrateur, membre d'un domaine autoris� � approuver, souhaite accorder un droit d'acc�s local � un utilisateur, membre d'un domaine approuv�, il peut �tre n�cessaire d'�num�rer les utilisateurs membres du dit domaine approuv�. Le domaine approuv� �tant dans l'incapacit� d'authentifier l'administrateur, membre du domaine autoris� � approuver, il doit �tre possible d'utiliser une �num�ration anonyme. Les avantages � restreindre les possibilit�s de connexion anonyme du point de vue de la s�curit� doivent �tre mis en balance avec les besoins correspondants des services et des programmes qui se fondent sur l'acc�s anonyme pour assurer tout l'�ventail de leurs fonctionnalit�s.

Les t�ches ci-apr�s sont restreintes lorsque la valeur de la cl� de Registre RestrictAnonymous est 2 sur un contr�leur de domaine Windows�2000�:

Les stations de travail ou les serveurs membres de niveau inf�rieur sont dans l'incapacit� d'�tablir un canal s�curis� Netlogon.
Les contr�leurs de domaine de niveau inf�rieur membres de domaines autoris�s � approuver sont dans l'incapacit� d'�tablir un canal s�curis� Netlogon.
Les utilisateurs Microsoft Windows�NT ne peuvent pas modifier leurs mots de passe qui arrivent � expiration. En outre, les utilisateurs Macintosh ne peuvent pas modifier leurs mots de passe.
L'Explorateur d'ordinateur ne peut pas r�cup�rer des listes de domaines ou de serveurs � partir des explorateurs secondaires, explorateurs principaux ou explorateurs principaux de domaine ex�cut�s sur des ordinateurs o� la valeur de la cl� de Registre RestrictAnonymous est 2. De ce fait, aucun programme bas� sur l'Explorateur d'ordinateur ne fonctionne correctement.

En raison de ces incidences, il n'est pas recommand� d'attribuer la valeur 2 � la cl� de Registre RestrictAnonymous dans les environnements en mode mixte qui comprennent des clients de niveau inf�rieur. La cl� de Registre RestrictAnonymous a pour valeur 2 uniquement dans les environnements Windows�2000, et une fois les tests d'assurance qualit� appropri�s effectu�s en vue de s'assurer que les niveaux de service et les fonctionnalit�s applicatives voulus seront pr�serv�s.

REMARQUE�: Les mod�les de s�curit� "hautement s�curis�s" pr�d�finis attribuent la valeur�2 � la cl� de Registre RestrictAnonymous�; de ce fait, il convient de les utiliser avec pr�caution.

Pour plus d'informations sur la valeur de Registre RestrictAnonymous, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft�:

178640

(http://support.microsoft.com/kb/178640/ )

Impossible de trouver un contr�leur de domaine lors de l'�tablissement d'un relation d'approbation

La valeur RestrictAnonymous est d�finie lorsque la cl� de Registre a pour valeur 0 ou 1 pour Windows�NT�4.0, ou 0, 1 ou 2 pour Windows�2000. Ces num�ros correspondent aux param�tres suivants�:

0 Aucune. Se baser sur les autorisations par d�faut

1 Ne pas autoriser l'�num�ration des comptes et des noms SAM

2 Aucun acc�s sans autorisation anonyme explicite

Retour au d�but | Envoyer des commentaires

Propri�t�s

Num�ro d'article: 246261 - Derni�re mise � jour: vendredi 4 avril 2003 - Version: 2.0

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server

kbhowto kbenv kbnetwork KB246261

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Retour au d�but | Envoyer des commentaires