Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法

文書翻訳 文書翻訳
文書番号: 246261 - 対象製品
この記事は、以前は次の ID で公開されていました: JP246261
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

概要

この資料では、管理者がレジストリ値 RestrictAnonymous を使用して、Windows 2000 ベースのコンピュータで匿名接続のアクセスを制限する方法を説明します。

詳細

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

管理者は Windows 2000 ベースのコンピュータを構成して、ユーザーが匿名でログオンした場合、明示的に匿名ユーザーのアクセスが許可されているリソースを除く、すべてのリソースにアクセスできないようにすることができます。この動作を制御するには、以下のどちらかの方法を使用します。

: Windows 2000 ベースのコンピュータでターミナル サーバーのライセンス サーバーが実行されている場合、ターミナル サービスが有効になっている他のサーバーからライセンスを要求することはできなくなります。

ローカル セキュリティ ポリシー Microsoft 管理コンソール (MMC) スナップ イン

  1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントし、[ローカル セキュリティ ポリシー] をクリックします。

    : [プログラム] のサブメニューの一覧に [管理ツール] が表示されず、この手順を実行できない場合は、[スタート] ボタンをクリックし、[設定] をポイントし、[コントロール パネル] をクリックします。[管理ツール] をダブルクリックし、[ローカル セキュリティ ポリシー] をダブルクリックし、手順 2. に進みます。
  2. [セキュリティの設定] の下の [ローカル ポリシー] をダブルクリックし、[セキュリティ オプション] をクリックします。
  3. [匿名接続の追加を制限する] をダブルクリックし、[ローカル ポリシーの設定] ボックスの一覧の [明示的な匿名アクセス権がない場合アクセスを許可しない] をクリックします。
  4. 変更を有効にするために、メンバ コンピュータまたはドメイン コントローラを再起動します。

レジストリ値 RestrictAnonymous

レジストリ エディタを使用して、以下のレジストリ キーを参照し、このキーに値を追加します。値が既に存在する場合は、その値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
値 : RestrictAnonymous
値の種類 : REG_DWORD
値のデータ : 0x2 (16 進数)

レジストリの RestrictAnonymous キーを変更後、コンピュータを再起動します。

レジストリ値 RestrictAnonymous に 2 を設定した場合、認証済みでないユーザー用に作成されるアクセス トークンには Everyone グループが含まれません。この結果、このアクセス トークンには、Everyone グループに対してアクセスが許可されているリソースへのアクセス権がなくなります。多くの Windows 2000 サービスおよびサードパーティのプログラムでは、正規の作業を実行するのに匿名アクセスの機能に依存しているため、この設定により好ましくない結果が生じる可能性があります。

たとえば、信頼する側のドメインの管理者が、信頼される側のドメインのユーザーにローカル アクセス権を付与したい場合、信頼される側のドメインのユーザーを列挙することが必要な場合があります。信頼される側のドメインで、信頼する側のドメインの管理者を認証できないため、匿名列挙が使用されることがあります。匿名ユーザーの機能の制限は、セキュリティの観点からだけでなく、匿名アクセスに依存して機能するサービスやプログラムの要件も考慮して、その利点を評価する必要があります。

Windows 2000 ベースのドメイン コントローラでレジストリ値 RestrictAnonymous を 2 に設定すると、以下の作業が制限されます。
  • ダウンレベル メンバ ワークステーションまたはサーバーは、Netlogon のセキュリティで保護されたチャネルをセットアップできません。
  • 信頼する側のドメインのダウンレベル ドメイン コントローラは、Netlogon のセキュリティで保護されたチャネルをセットアップできません。
  • Microsoft Windows NT ユーザーは、パスワードの有効期限が切れた後にパスワードを変更できません。また、Macintosh ユーザーはパスワードをまったく変更できません。
  • ブラウザ サービスは、レジストリ値 RestrictAnonymous が 2 に設定されているコンピュータで実行されているバックアップ ブラウザ、マスタ ブラウザ、またはドメイン マスタ ブラウザから、ドメインの一覧またはサーバーの一覧を取得できません。この結果、ブラウザ サービスに依存しているすべてのプログラムは正常に機能しません。
これらの理由により、ダウンレベルのクライアントが存在する混在モードの環境で、レジストリ値 RestrictAnonymous を 2 に設定することはお勧めできません。レジストリ値 RestrictAnonymous を 2 に設定することは、Windows 2000 環境でのみ検討し、適切なサービス レベルやプログラム機能が維持されることを確認する十分な品質保証検査を行った後に行うことをお勧めします。

: 組み込みの "高度なセキュリティで保護された" セキュリティ テンプレートを使用すると、RestrictAnonymous レジストリ値が 2 に設定されます。これらのテンプレートを使用するときは、注意が必要です。 レジストリ値 RestrictAnonymous の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
178640 [NT] ドメインの信頼関係を確立できない
レジストリ値 RestrictAnonymous は、Windows NT 4.0 では 0 または 1 に、Windows 2000 では 0、1、または 2 に変更することにより設定します。これらの数値は、以下の設定に対応します。

0 [なし (既定のアクセス権に依存)]

1 [SAM のアカウントと共有の列挙を許可しない]

2 [明示的な匿名アクセス権がない場合アクセスを許可しない]

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 246261 (最終更新日 2005-05-26) を基に作成したものです。

プロパティ

文書番号: 246261 - 最終更新日: 2005年8月16日 - リビジョン: 5.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
キーワード:?
kbhowto kbenv kbnetwork KB246261
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com