Utilizzo del valore del Registro di sistema RestrictAnonymous in Windows 2000

Traduzione articoli Traduzione articoli
Identificativo articolo: 246261 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo e di sapere come ripristinare il Registro di sistema qualora si verifichino dei problemi. Per informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come viene utilizzato dagli amministratori il valore del Registro di sistema RestrictAnonymous in un computer basato su Windows 2000 per limitare l'accesso tramite connessioni anonime.

Informazioni

Avviso L'errato utilizzo dell'editor del Registro di sistema o di un altro metodo può causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce la soluzione di eventuali problemi derivanti dall'errata modifica del Registro di sistema. La modifica del Registro di sistema è a rischio e pericolo dell'utente.

Un amministratore può configurare un computer basato su Windows 2000 per impedire l'accesso anonimo a tutte le risorse, ad eccezione delle risorse di cui l'utente anonimo potrebbe avere ottenuto l'accesso in modo esplicito. Per controllare questo comportamento, utilizzare uno dei seguenti metodi:

Nota Se nel computer basato su Windows 2000 è in esecuzione Licenze Terminal Server, altri server in cui è attivato Servizi terminal non potranno richiedere licenze da tale computer.

Snap-in MMC Criteri di protezione locale

  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione, quindi Criteri di protezione locali.

    Nota Se non è possibile effettuare questa operazione perché la voce "Strumenti di amministrazione" non è visualizzata nell'elenco di programmi, fare clic sul pulsante Start, scegliere Impostazioni, Pannello di controllo, Strumenti di amministrazione e infine Criteri di protezione locali. Procedere con il passaggio due.
  2. In Impostazioni protezione fare doppio clic su Criteri locali, quindi fare clic su Opzioni di protezione.
  3. Fare doppio clic su Restrizioni addizionali per connessioni anonime, quindi fare clic su Non consentire l'accesso senza autorizzazioni anonime esplicite in Impostazione criteri locali.
  4. Riavviare il computer membro o il controller di dominio perché rendere effettiva la modifica.

Valore del Registro di sistema RestrictAnonymous

Utilizzare l'editor del Registro di sistema per individuare la seguente chiave e aggiungervi il valore riportato di seguito oppure modificarlo se il valore è già esistente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Valore: RestrictAnonymous
Tipo valore: REG_DWORD
Dati valore: 0x2 (Hex)

Riavviare il computer dopo ogni modifica alla chiave del Registro di sistema RestrictAnonymous.

Quando il valore RestrictAnonymous è impostato su 2, il token di accesso creato per utenti non autenticati non comprende il gruppo Everyone e, per questo motivo, tale token non ha più accesso alle risorse che concedono le autorizzazioni al gruppo Everyone. Si potrebbe quindi verificare un comportamento indesiderato perché molti servizi Windows 2000, così come programmi di terze parti, si basano sulle capacità di accesso anonimo per effettuare operazioni comunque valide.

Quando, ad esempio, un amministratore di un dominio trusting desidera concedere l'accesso locale a un utente di un dominio trusted, potrebbe essere necessario enumerare gli utenti del dominio trusted. Poiché il dominio trusted non è in grado di autenticare l'amministratore del dominio trusting, potrebbe essere utilizzata un'enumerazione anonima. È opportuno valutare i vantaggi associati alla limitazione delle capacità di utenti anonimi dal punto di vista della protezione in relazione ai corrispondenti requisiti dei servizi e dei programmi che si basano sull'accesso anonimo per una completa funzionalità.

Le operazioni riportate di seguito sono limitate quando il valore del Registro di sistema RestrictAnonymous è impostato su 2 in un controller di dominio basato su Windows 2000:
  • Le workstation o i server membri di livello inferiore non sono in grado di configurare un canale protetto di Accesso rete.
  • I controller di dominio di livello inferiore nei domini trusting non sono in grado di configurare un canale protetto di Accesso rete.
  • Gli utenti di Microsoft Windows NT non sono in grado di modificare le proprie password alla scadenza, mentre gli utenti Macintosh non sono in grado di modificarle affatto.
  • Il servizio Browser non è in grado di recuperare l'elenco di domini o di server dai browser di backup, principali o principali di dominio installati in computer in cui il valore del Registro di sistema RestrictAnonymous è impostato su 2. Per questo motivo, qualsiasi programma basato sul servizio Browser non funzionerà in modo corretto.
A causa di questi risultati, non è consigliabile impostare il valore di registro RestrictAnonymous su 2 in ambienti in modalità mista che comprendono client di livello inferiore. L'impostazione del valore RestrictAnonymous su 2 deve essere presa in considerazione solo in ambiente Windows 2000 e dopo controlli accurati sulla sicurezza delle qualità che garantiscano il mantenimento dei livelli di servizio adeguati e della funzionalità completa dei programmi.

Nota con modelli di protezione elevata predefinita il valore del Registro di sistema RestrictAnonymous viene impostato su 2. È quindi necessario prestare particolare attenzione quando si utilizzano tali modelli. Per ulteriori informazioni sul valore del Registro di sistema RestrictAnonymous, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
178640 Impossibile trovare il controller di dominio quando si stabilisce una relazione di trust
Il valore RestrictAnonymous viene impostato modificando la chiave del Registro di sistema su 0 o 1 per Windows NT 4.0 oppure su 0, 1 o 2 per Windows 2000. Tali numeri corrispondono alle seguenti impostazioni:

0 Nessuna. Utilizza autorizzazioni predefinite.

1 Non consentire l'enumerazione di nomi e account SAM.

2 Non consentire l'accesso senza esplicita autorizzazione all'anonimato.

Proprietà

Identificativo articolo: 246261 - Ultima modifica: martedì 18 ottobre 2005 - Revisione: 5.0
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Chiavi: 
kbhowto kbenv kbnetwork KB246261
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com