כיצד להשתמש בערך הרישום RestrictAnonymous במערכת Windows 2000

תרגומי מאמרים תרגומי מאמרים
Article ID: 246261 - View products that this article applies to.
חשוב מאמר זה מכיל מידע על ביצוע שינויים במערכת הרישום. הקפד לגבות את מערכת הרישום לפני כל שינוי בה. ודא כי ידוע לך כיצד לשחזר את מערכת הרישום במקרה שתתעורר בעיה. לקבלת מידע נוסף על אופן הגיבוי, השחזור והשינוי של מערכת הרישום, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
256986 תיאור מערכת הרישום של Microsoft Windows (ייתכן שקישור זה מפנה לתוכן שחלקו או כולו מופיע באנגלית)
הרחב הכל | כווץ הכל

On This Page

תקציר

מאמר זה מתאר כיצד יכולים מנהלי מערכת להשתמש בערך הרישום RestrictAnonymous במחשב מבוסס Windows 2000 כדי להגביל את הגישה דרך התחברויות אנונימיות.

מידע נוסף

אזהרה אם תשנה את מערכת הרישום בצורה שגויה, עקב פעולה בעורך הרישום או פעולת שירות אחרת, עלולות להתעורר בעיות קשות. ייתכן כי בעיות אלה יחייבו התקנה מחדש של מערכת ההפעלה. חברת Microsoft אינה ערבה לכך שבעיות אלה ניתנות לפתרון. שינוי מערכת הרישום מתבצע על אחריותך בלבד.

מנהל מערכת יכול להגדיר מחשב מבוסס Windows 2000 באופן שימנע גישת התחברות אנונימית לכל המשאבים, למעט אלה שהמשתמש האנונימי קיבל אליהם גישה במפורש. כדי לשלוט באופן פעולה זה, השתמש באחת מפעולות השירות הבאות.

שים לב אם באותו מחשב מבוסס Windows 2000 פועלת פונקציית רישוי שרתי מסופים, לא יוכלו שרתים אחרים, הכוללים שירותי מסופים, לבקש ממנו רישיונות.

יישום snap-in בשם MMC של מדיניות אבטחה מקומית

  1. לחץ על התחל, הצבע על תוכניות, על כלי ניהול ולאחר מכן לחץ על מדיניות אבטחה מקומית.

    שים לב אם אין באפשרותך לבצע שלב זה כיוון שהתוכנית 'כלי ניהול' אינה מופיעה ברשימת התוכניות, לחץ על התחל, הצבע על הגדרות, על לוח הבקרה, לחץ על כלי ניהול ולאחר מכן על מדיניות אבטחה מקומית. לאחר מכן עבור לשלב השני.
  2. תחת הגדרות אבטחה, לחץ פעמיים על פריטי מדיניות מקומיים ולאחר מכן לחץ על אפשרויות אבטחה.
  3. לחץ פעמיים על הגבלות נוספות על התחברויות אנונימיות ולאחר מכן לחץ על מנע גישה ללא הרשאות מפורשות תחת הגדרת מדיניות מקומית.
  4. הפעל מחדש את המחשב החבר או את בקר התחום כדי שהשינוי ייכנס לתוקף.

ערך הרישום RestrictAnonymous

השתמש בעורך הרישום כדי להציג את מפתח הרישום שלהלן, ולאחר מכן הוסף למפתח זה את הערך שלהלן או שנה אותו אם הערך כבר קיים:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
ערך: RestrictAnonymous
סוג ערך: REG_DWORD
נתוני ערך: 0x2 (Hex)

הקפד להפעיל מחדש את המחשב לאחר כל שינוי המבוצע בערך RestrictAnonymous במערכת רישום.

אם ערך הרישום RestrictAnonymous מוגדר 2, אסימון הגישה שנבנה עבור משתמשים בלתי-מאומתים אינו כולל את הקבוצה Everyone (כל אחד), ולכן אסימון הגישה אינו כולל עוד גישה לאותם משאבים המעניקים הרשאות לקבוצה זו. הדבר עלול לגרום לאופן פעולה בלתי-רצוי, כיוון ששירותים רבים של מערכת Windows 2000, כמו גם תוכניות של ספקים חיצוניים, נשענים על יכולות גישה אנונימית כדי לבצע משימות חוקיות.

לדוגמה, אם מנהל מערכת בתחום נותן אמון מעוניין להעניק גישה מקומית למשתמש מתחום אמין, ייתכן שיהיה צורך לספור את המשתמשים באותו תחום האמין. מאחר שאין באפשרות התחום האמין לאמת את מנהל המערכת בתחום נותן האמון, ניתן להשתמש בספירה אנונימית. יש לשקול את היתרונות שבהגבלת היכולות של משתמשים אנונימיים מנקודת מבט של אבטחה אל מול הדרישות המתאימות של תוכניות ושירותים הנשענים על גישה אנונימית לקבלת פונקציונליות מלאה.

להלן המשימות המוגבלות בעת שערך הרישום RestrictAnonymous מוגדר 2 בבקר תחום מבוסס Windows 2000:
  • לתחנות עבודה או שרתים חברים ברמה נמוכה יותר אין אפשרות להקים ערוץ מאובטח לשירות netlogon.
  • לבקרי תחום מרמה נמוכה יותר בתחומים נותני אמון אין אפשרות להקים ערוץ מאובטח לשירות netlogon.
  • למשתמשי Microsoft Windows NT אין אפשרות לשנות את סיסמתם לאחר שפג תוקפה. כמו כן, למשתמשי Macintosh אין כלל אפשרות לשנות את סיסמתם.
  • שירות הדפדפן אינו יכול לאחזר רשימות תחום או רשימות שרתים מדפדפני גיבוי, מדפדפנים ראשיים או מדפדפני תחום ראשיים הפועלים במחשבים שבהם ערך הרישום RestrictAnonymous נקבע ל-2. מסיבה זו, כל תוכנית המסתמכת על שירות הדפדפן אינה פועלת כשורה.
עקב תוצאות אלה, לא מומלץ להגדיר את ערך הרישום RestrictAnonymous ל-?2 בסביבות של מצבים משולבים הכוללות מחשבי לקוח ברמה נמוכה יותר. יש לשקול את הגדרת ערך הרישום RestrictAnonymous ל-2 בסביבות Windows 2000 בלבד, וגם זאת לאחר בדיקות אבטחת איכות מספיקות שיוודאו כי נשמרות רמות נאותות של שירות ופונקציונליות של תוכניות.

שים לב תבניות אבטחה 'מאובטחות מאוד' המוגדרות מראש קובעות את ערך הרישום RestrictAnonymous ל-,2 ומסיבה זו יש להשתמש בהן בזהירות. לקבלת מידע נוסףעל ערך הרישום RestrictAnonymous, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
178640 לא הייתה אפשרות לאתר בקר תחום בעת הקמת יחסי אמון (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
הערך RestrictAnonymous נקבע על-ידי שינוי מפתח הרישום ל-0 או ל-1 עבור מערכת Windows NT 4.0 או ל-0,? 1 או 2 עבור מערכת Windows 2000. מספרים אלה מתאימים להגדרות הבאות:

0 ללא. הסתמכות על הרשאות ברירת המחדל

1 אין לאפשר ספירה של חשבונות ושמות SAM

2 יש למנוע גישה ללא הרשאות אנונימיות מפורשות

מאפיינים

Article ID: 246261 - Last Review: יום חמישי 15 יוני 2006 - Revision: 5.0
המידע במאמר זה חל על:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
מילות מפתח 
kbenv kbhowto kbnetwork KB246261

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com