A RestrictAnonymous rendszerleíró azonosító használata Windows 2000 rendszerben

A cikk fordítása A cikk fordítása
Cikk azonosítója: 246261 - A cikkben érintett termékek listájának megtekintése.
FONTOS: Ebben a cikkben a rendszerleíró adatbázis módosításával kapcsolatos tudnivalók olvashatók. A rendszerleíró adatbázis módosítása előtt feltétlenül készítsen biztonsági másolatot arról, és csak akkor fogjon hozzá, ha tisztában van a rendszerleíró adatbázis visszaállításának módjával probléma esetén. További információt a rendszerleíró adatbázis biztonsági mentéséről, visszaállításáról és szerkesztéséről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése (Előfordulhat, hogy a cikk csak angol nyelven érhető el.)
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

Ez a cikk azt írja le, hogy a rendszergazdák miképpen korlátozhatják a névtelen kapcsolaton keresztüli hozzáférést a RestrictAnonymous rendszerleíró azonosító segítségével Windows 2000 alapú számítógépeken.

További információ

Figyelem: A Rendszerleíróadatbázis-szerkesztő helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja a Rendszerleíróadatbázis-szerkesztő nem megfelelő használata miatt fellépő problémák megoldhatóságát. A Rendszerleíróadatbázis-szerkesztőt saját kockázatára használhatja.

A rendszergazdák beállíthatják a Windows 2000 alapú számítógépeket az összes erőforráshoz való névtelen hozzáférés megakadályozására; azokhoz az erőforrásokhoz való hozzáférés azonban nem tiltható le, amelyek elérésére a felhasználó kifejezett engedéllyel rendelkezik. A hozzáférés szabályozásához használja az alábbi módszerek valamelyikét:

Helyi biztonsági házirend MMC beépülő modul

  1. Mutasson a Start menü Programok almenüjének Felügyeleti eszközök pontjára, majd kattintson a Helyi biztonsági házirend parancsra.

    MEGJEGYZÉS: Ha ez a lépés nem hajtható végre, mivel a „Felügyeleti eszközök” parancs nem található a Programok listában, kattintson a Start gombra, mutasson a Beállítások, majd a Vezérlőpult pontra, kattintson a Felügyeleti eszközök parancsra, végül válassza a Helyi biztonsági házirend elemet. Ezután folytassa a második lépéssel.
  2. A Biztonsági beállítások csomópont alatt kattintson duplán a Helyi házirend elemre, majd kattintson a Biztonsági beállítások elemre.
  3. Kattintson duplán a Névtelen kapcsolatok további korlátozása elemre, majd válassza a Névtelen hozzáférés csak külön engedéllyel lehetőséget az Érték a helyi házirendben legördülő listából.
  4. Indítsa újra a tagszámítógépet vagy tartományvezérlőt a változások életbe léptetéséhez.

A RestrictAnonymous rendszerleíró azonosító

A Rendszerleíróadatbázis-szerkesztő segítségével jelenítse meg az alábbi rendszerleíró kulcsot, majd adja hozzá a következő értéket (illetve módosítsa a már meglévő értéket):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Azonosítónév: RestrictAnonymous
Értéktípus: REG_DWORD
Érték: 0x2 (Hex)

A RestrictAnonymous rendszerleíró kulcs módosítását követően indítsa újra a számítógépet.

Ha a RestrictAnonymous rendszerleíró kulcs a 2 értékre van állítva, a nem hitelesített felhasználók hozzáférési tokenje nem tartalmazza a Mindenki csoportot, ezért a hozzáférési token már nem rendelkezik hozzáféréssel a Mindenki csoport számára engedélyeket biztosító erőforrásokhoz. Ez nem várt működést eredményezhet, mivel a Windows 2000 számos szolgáltatása, illetve a külső féltől származó programok a névtelen hozzáférési módszert használják bizonyos feladatok elvégzéséhez.

Ha például egy meghatalmazó tartományban a rendszergazda helyi hozzáférési jogot kíván adni a megbízható (meghatalmazott) tartomány egy felhasználójának, lehetséges, hogy enumerálni kell a megbízható tartomány felhasználóit. Mivel a megbízható tartomány nem képes hitelesíteni a rendszergazdát a meghatalmazó tartományban, névtelen enumerációra kerülhet sor. A névtelen felhasználók engedélyeinek korlátozásából adódó biztonsági előnyöket szembe kell állítani azon programok vagy szolgáltatások megfelelő igényeivel, amelyek teljes körű működéséhez névtelen hozzáférés szükséges.

Ha Windows 2000 alapú tartományvezérlőn a 2 értékre állítja a RestrictAnonymous rendszerleíró kulcsot, az alábbi feladatok esnek korlátozás alá:
  • A régebbi verziójú tagmunkaállomások vagy kiszolgálók nem képesek biztonságos csatornát létrehozni a hálózati bejelentkezéshez.
  • A meghatalmazó tartományok régebbi verziójú tartományvezérlői nem képesek biztonságos csatornát létrehozni a hálózati bejelentkezéshez.
  • A Microsoft Windows NT rendszer felhasználói nem tudják megváltoztatni lejárt jelszavukat. A Macintosh-felhasználók egyáltalán nem tudják megváltoztatni a jelszavukat.
  • A tallózó szolgáltatás nem képes lekérni a tartományok vagy kiszolgálók listáját azon tartalék tallózókról, főtallózókról és tartományi főtallózókról, amelyeken a RestrictAnonymous rendszerleíró kulcshoz a 2 érték van beállítva. Emiatt a tallózó szolgáltatásra hagyatkozó programok nem futnak megfelelően.
Az előbbi okokból kifolyólag nem ajánlott a RestrictAnonymous rendszerleíró kulcshoz a 2 értéket beállítani régebbi verziójú ügyfeleket tartalmazó vegyes módú környezetekben. A RestrictAnonymous rendszerleíró kulcsot csak Windows 2000 alapú környezetben javasolt a 2 értékre állítani, illetve ilyen környezetben is csak azt követően, hogy a megfelelő minőségbiztosítási tesztek megerősítették, hogy az alapvető szolgáltatási szintek és programszolgáltatások működőképesek maradnak.

MEGJEGYZÉS: Az előre definiált „magas biztonsági szintű” biztonsági sablonok a RestrictAnonymous rendszerleíró kulcsot a 2 értékre állítják, ezért ezen sablonok használatakor körültekintően kell eljárni.

További információt a RestrictAnonymous rendszerleíró kulcsról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
178640 A bizalmi kapcsolat létrehozása során a tartományvezérlő nem található (Előfordulhat, hogy a cikk csak angol nyelven érhető el.)
A RestrictAnonymous azonosító értékének beállításához Windows NT 4.0 rendszerben állítsa az azonosító értékét a 0 vagy 1, Windows 2000 rendszerben pedig a 0, 1 vagy 2 értékre. Az értékek az alábbi beállításoknak felelnek meg:

0: Nincs korlátozás. A rendszer az alapértelmezett engedélyek szerint jár el.

1 A SAM-fiókok és -nevek felsorolása nem engedélyezett.

2 Névtelen hozzáférés csak külön engedéllyel.

Tulajdonságok

Cikk azonosítója: 246261 - Utolsó ellenőrzés: 2003. szeptember 4. - Verziószám: 2.0
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Kulcsszavak: 
kbhowto kbenv kbnetwork KB246261
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com