Registerwaarde RestrictAnonymous gebruiken in Windows 2000

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 246261 - Bekijk de producten waarop dit artikel van toepassing is.
Belangrijk Dit artikel bevat informatie over het bewerken van het register. Maak eerst een back-up van het register voordat u dit gaat bewerken. Ga eerst na of u weet hoe u het register kunt herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen of wijzigen van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
256986Beschrijving van het Microsoft Windows-register
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

In dit artikel wordt beschreven hoe beheerders de registerwaarde RestrictAnonymous kunnen gebruiken op een computer met Windows 2000 om toegang via anonieme verbindingen te beperken.

Meer informatie

Waarschuwing Er kunnen zich ernstige problemen voordoen als u het register met de Register-editor of met een andere methode foutief wijzigt. Wellicht moet u door deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Het wijzigen van het register is dan ook voor uw eigen risico.

Een beheerder kan een computer met Windows 2000 zodanig configureren dat anonieme aanmeldingen geen toegang hebben tot alle bronnen, met uitzondering van bronnen waartoe de anonieme gebruiker uitdrukkelijk toegang is verleend. U kunt dit gedrag op een van de volgende manieren bepalen.

Opmerking Als Terminal Server-licentieverlening wordt uitgevoerd op de computer met Windows 2000, kunnen andere servers waarop Terminal Services is ingeschakeld, geen licenties aanvragen bij de computer.

De MMC-module Lokaal beveiligingsbeleid

  1. Klik op Start, wijs Programma's aan, wijs Systeembeheer aan en klik op Lokaal beveiligingsbeleid.

    Opmerking Als u deze stap niet kunt uitvoeren omdat Systeembeheer niet wordt weergegeven in de lijst Programma's, klikt u op Start. Wijs achtereenvolgens Instellingen en Configuratiescherm aan, klik op Systeembeheer en klik op Lokaal beveiligingsbeleid. Ga dan door met stap 2.
  2. Dubbelklik bij Beveiligingsinstellingen op Lokaal beleid en klik op Beveiligingsopties.
  3. Dubbelklik op Extra beperkingen voor anonieme verbindingen en klik op Geen toegang zonder uitdrukkelijke anonieme machtigingen onder Lokale beveiligingsinstelling.
  4. Start de lidcomputer of domeincontroller opnieuw op om de wijziging te activeren.

De registerwaarde RestrictAnonymous

Bekijk in de Register-editor de volgende registersleutel en voeg de volgende registerwaarde toe aan deze sleutel of wijzig de waarde als deze reeds bestaat:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Waarde: RestrictAnonymous
Waardetype: REG_DWORD
Gegevens: 0x2 (Hex)

Start de computer opnieuw op nadat u de registersleutel RestrictAnonymous hebt gewijzigd.

Als u de registerwaarde RestrictAnonymous instelt op 2, omvat het toegangstoken dat wordt gegenereerd voor niet-geverifieerde gebruikers, de groep Iedereen niet. Als gevolg hiervan heeft het toegangstoken geen toegang tot bronnen met machtigingen voor de groep Iedereen. Dit kan ongewenste gevolgen hebben omdat veel Windows 2000-services en programma's van derden afhankelijk zijn van anonieme toegangsmogelijkheden voor het uitvoeren van legitieme taken.

Als een beheerder in een vertrouwend domein bijvoorbeeld lokale toegang wil verlenen aan een gebruiker in een vertrouwd domein, kan het noodzakelijk zijn om de gebruikers in het vertrouwde domein te inventariseren. Aangezien het vertrouwde domein de beheerder in het vertrouwende domein niet kan verifiëren, wordt een anonieme inventarisatie gebruikt. De voordelen om de mogelijkheden van anonieme gebruikers te beperken vanuit het oogpunt van beveiliging moeten worden afgewogen tegen de corresponderende vereisten van services en programma's die afhankelijk zijn van anonieme toegang om volledig te kunnen functioneren.

De volgende taken worden beperkt als de registerwaarde RestrictAnonymous wordt ingesteld op 2 op een domeincontroller met Windows 2000:
  • Lidwerkstations of servers op een lager niveau kunnen geen veilig kanaal instellen voor netwerkaanmelding.
  • Domeincontrollers op een lager niveau in vertrouwende domeinen kunnen geen veilig kanaal instellen voor netwerkaanmelding.
  • Gebruikers van Microsoft Windows NT kunnen hun wachtwoorden niet wijzigen als deze zijn verlopen. Bovendien kunnen Macintosh-gebruikers hun wachtwoorden helemaal niet wijzigen.
  • De Browser-service kan geen domeinlijsten of serverlijsten ophalen van back-upbrowsers, masterbrowsers of domeinmasterbrowsers die worden uitgevoerd op computers waarop de registerwaarde RestrictAnonymous is ingesteld op 2. Als gevolg hiervan functioneren programma's die afhankelijk zijn van de Browser-service niet naar behoren.
Vanwege al deze punten wordt u afgeraden om de registerwaarde RestrictAnonymous in te stellen op 2 in omgevingen met meerdere modi en clients op lagere niveaus. Alleen in omgevingen met Windows 2000 kunt u overwegen om de registerwaarde RestrictAnonymous in te stellen op 2, en dan alleen als na voldoende QA-tests is gebleken dat de gewenste serviceniveaus en programmafunctionaliteit niet in gevaar komen.

Opmerking In voorgedefinieerde beveiligingssjablonen met strikte beveiliging is de registerwaarde RestrictAnonymous ingesteld op 2. Daarom moet u voorzichtig zijn met het gebruik van deze sjablonen. Voor meer informatie over de registerwaarde RestrictAnonymous klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
178640Kan geen domeincontroller vinden bij tot stand brengen van vertrouwensrelatie
U stelt de waarde RestrictAnonymous in door de registersleutel te wijzigen in 0 of 1 voor Windows NT 4.0 of in 0, 1, of 2 voor Windows 2000. Deze getallen komen overeen met de volgende instellingen:

0 Geen. Standaardmachtigingen gebruiken

1 Geen inventarisatie van SAM-accounts en namen toestaan

2 Geen toegang zonder uitdrukkelijke anonieme machtigingen

Eigenschappen

Artikel ID: 246261 - Laatste beoordeling: vrijdag 1 december 2006 - Wijziging: 5.1
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows® 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Trefwoorden: 
kbenv kbhowto kbnetwork KB246261

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com