Utilisation de la valeur de Registre RestrictAnonymous dans Windows 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 246261 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F246261
IMPORTANT : Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit la procédure à suivre par les administrateurs pour utiliser la valeur de Registre RestrictAnonymous sur un ordinateur Windows 2000 afin de restreindre l'accès via des connexions anonymes.

Plus d'informations

AVERTISSEMENT : Toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Un administrateur peut configurer un ordinateur Windows 2000 pour empêcher l'accès par connexion anonyme à l'ensemble des ressources, à l'exception des ressources pour lesquelles l'utilisateur anonyme bénéficie d'un droit d'accès explicite. Pour contrôler ce comportement, appliquez l'une des méthodes suivantes :

Composant logiciel enfichable MMC Stratégie de sécurité locale

  1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Stratégie de sécurité locale.

    REMARQUE : Si vous ne pouvez appliquer cette procédure parce que "Outils d'administration" n'apparaît pas dans la liste des programmes, cliquez sur Démarrer, pointez sur Paramètres, sur Panneau de configuration, cliquez sur Outils d'administration, puis cliquez sur Stratégie de sécurité locale. Ensuite, passez à l'étape 2.
  2. Sous Paramètres de sécurité, double-cliquez sur Stratégies locales, puis cliquez sur Options de sécurité.
  3. Double-cliquez sur Restrictions supplémentaires pour les connexions anonymes, puis cliquez sur Aucun accès sans autorisation anonyme explicitesous Paramètre de stratégie locale.
  4. Redémarrez l'ordinateur ou le contrôleur de domaine membre pour que la modification soit prise en compte.

Valeur de Registre RestrictAnonymous

Utilisez l'Éditeur du Registre pour afficher la clé de Registre suivante, puis ajoutez la valeur ci-dessous à cette clé, ou modifiez-la si elle existe déjà :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Valeur : RestrictAnonymous
Type de valeur : REG_DWORD
Données de la valeur : 0x2 (Hex)

Redémarrez l'ordinateur après avoir modifié la clé RestrictAnonymous du Registre.

Lorsque la valeur de la clé de Registre RestrictAnonymous est 2, le jeton d'accès généré pour les utilisateurs non authentifiés n'inclut pas le groupe Tout le monde ; de ce fait, il n'a plus accès aux ressources qui accordent des autorisations au groupe Tout le monde. Cela peut provoquer un comportement indésirable car un grand nombre de services Windows 2000 tels que les programmes tiers se basent sur les capacités d'accès anonyme pour exécuter des tâches légitimes.

Par exemple, lorsqu'un administrateur, membre d'un domaine autorisé à approuver, souhaite accorder un droit d'accès local à un utilisateur, membre d'un domaine approuvé, il peut être nécessaire d'énumérer les utilisateurs membres du dit domaine approuvé. Le domaine approuvé étant dans l'incapacité d'authentifier l'administrateur, membre du domaine autorisé à approuver, il doit être possible d'utiliser une énumération anonyme. Les avantages à restreindre les possibilités de connexion anonyme du point de vue de la sécurité doivent être mis en balance avec les besoins correspondants des services et des programmes qui se fondent sur l'accès anonyme pour assurer tout l'éventail de leurs fonctionnalités.

Les tâches ci-après sont restreintes lorsque la valeur de la clé de Registre RestrictAnonymous est 2 sur un contrôleur de domaine Windows 2000 :
  • Les stations de travail ou les serveurs membres de niveau inférieur sont dans l'incapacité d'établir un canal sécurisé Netlogon.
  • Les contrôleurs de domaine de niveau inférieur membres de domaines autorisés à approuver sont dans l'incapacité d'établir un canal sécurisé Netlogon.
  • Les utilisateurs Microsoft Windows NT ne peuvent pas modifier leurs mots de passe qui arrivent à expiration. En outre, les utilisateurs Macintosh ne peuvent pas modifier leurs mots de passe.
  • L'Explorateur d'ordinateur ne peut pas récupérer des listes de domaines ou de serveurs à partir des explorateurs secondaires, explorateurs principaux ou explorateurs principaux de domaine exécutés sur des ordinateurs où la valeur de la clé de Registre RestrictAnonymous est 2. De ce fait, aucun programme basé sur l'Explorateur d'ordinateur ne fonctionne correctement.
En raison de ces incidences, il n'est pas recommandé d'attribuer la valeur 2 à la clé de Registre RestrictAnonymous dans les environnements en mode mixte qui comprennent des clients de niveau inférieur. La clé de Registre RestrictAnonymous a pour valeur 2 uniquement dans les environnements Windows 2000, et une fois les tests d'assurance qualité appropriés effectués en vue de s'assurer que les niveaux de service et les fonctionnalités applicatives voulus seront préservés.

REMARQUE : Les modèles de sécurité "hautement sécurisés" prédéfinis attribuent la valeur 2 à la clé de Registre RestrictAnonymous ; de ce fait, il convient de les utiliser avec précaution.

Pour plus d'informations sur la valeur de Registre RestrictAnonymous, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
178640 Impossible de trouver un contrôleur de domaine lors de l'établissement d'un relation d'approbation
La valeur RestrictAnonymous est définie lorsque la clé de Registre a pour valeur 0 ou 1 pour Windows NT 4.0, ou 0, 1 ou 2 pour Windows 2000. Ces numéros correspondent aux paramètres suivants :

0 Aucune. Se baser sur les autorisations par défaut

1 Ne pas autoriser l'énumération des comptes et des noms SAM

2 Aucun accès sans autorisation anonyme explicite

Propriétés

Numéro d'article: 246261 - Dernière mise à jour: vendredi 4 avril 2003 - Version: 2.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbhowto kbenv kbnetwork KB246261
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com