Select the product you need help with
Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法文書番号: 246261 - 対象製品 この記事は、以前は次の ID で公開されていました: JP246261 重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986
(http://support.microsoft.com/kb/256986/
)
Microsoft Windows レジストリの説明
目次概要
この資料では、管理者がレジストリ値 RestrictAnonymous を使用して、Windows 2000 ベースのコンピュータで匿名接続のアクセスを制限する方法を説明します。
詳細警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。
管理者は Windows 2000 ベースのコンピュータを構成して、ユーザーが匿名でログオンした場合、明示的に匿名ユーザーのアクセスが許可されているリソースを除く、すべてのリソースにアクセスできないようにすることができます。この動作を制御するには、以下のどちらかの方法を使用します。 注 : Windows 2000 ベースのコンピュータでターミナル サーバーのライセンス サーバーが実行されている場合、ターミナル サービスが有効になっている他のサーバーからライセンスを要求することはできなくなります。 ローカル セキュリティ ポリシー Microsoft 管理コンソール (MMC) スナップ イン
レジストリ値 RestrictAnonymousレジストリ エディタを使用して、以下のレジストリ キーを参照し、このキーに値を追加します。値が既に存在する場合は、その値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
値 : RestrictAnonymous
値の種類 : REG_DWORD 値のデータ : 0x2 (16 進数) レジストリの RestrictAnonymous キーを変更後、コンピュータを再起動します。 レジストリ値 RestrictAnonymous に 2 を設定した場合、認証済みでないユーザー用に作成されるアクセス トークンには Everyone グループが含まれません。この結果、このアクセス トークンには、Everyone グループに対してアクセスが許可されているリソースへのアクセス権がなくなります。多くの Windows 2000 サービスおよびサードパーティのプログラムでは、正規の作業を実行するのに匿名アクセスの機能に依存しているため、この設定により好ましくない結果が生じる可能性があります。 たとえば、信頼する側のドメインの管理者が、信頼される側のドメインのユーザーにローカル アクセス権を付与したい場合、信頼される側のドメインのユーザーを列挙することが必要な場合があります。信頼される側のドメインで、信頼する側のドメインの管理者を認証できないため、匿名列挙が使用されることがあります。匿名ユーザーの機能の制限は、セキュリティの観点からだけでなく、匿名アクセスに依存して機能するサービスやプログラムの要件も考慮して、その利点を評価する必要があります。 Windows 2000 ベースのドメイン コントローラでレジストリ値 RestrictAnonymous を 2 に設定すると、以下の作業が制限されます。
注 : 組み込みの "高度なセキュリティで保護された" セキュリティ テンプレートを使用すると、RestrictAnonymous レジストリ値が 2 に設定されます。これらのテンプレートを使用するときは、注意が必要です。 レジストリ値 RestrictAnonymous の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。 178640
レジストリ値 RestrictAnonymous は、Windows NT 4.0 では 0 または 1 に、Windows 2000 では 0、1、または 2 に変更することにより設定します。これらの数値は、以下の設定に対応します。
(http://support.microsoft.com/kb/178640/
)
[NT] ドメインの信頼関係を確立できない
0 [なし (既定のアクセス権に依存)] 1 [SAM のアカウントと共有の列挙を許可しない] 2 [明示的な匿名アクセス権がない場合アクセスを許可しない] 関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 246261
(http://support.microsoft.com/kb/246261/EN-US/
)
(最終更新日 2005-05-26) を基に作成したものです。
プロパティ文書番号: 246261 - 最終更新日: 2005年8月16日 - リビジョン: 5.0 この資料は以下の製品について記述したものです。
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。" | サポート技術情報の翻訳
 |
先頭へ戻る
