Использование параметра реестра RestrictAnonymous в Windows 2000

Переводы статьи Переводы статьи
Код статьи: 246261 - Vizualiza?i produsele pentru care se aplic? acest articol.
Данная статья была ранее опубликована под номером RU246261
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать архивную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивации, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

Данная статья содержит инструкции по использованию параметра системного реестра RestrictAnonymous для ограничения доступа по анонимному подключению на компьютере под управлением Windows 2000.

Дополнительная информация

Предупреждение. Неправильное изменение параметров реестра системы с помощью редактора реестра или любым иным путем может послужить причиной возникновения серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. Ответственность за результаты произведенных действий несет пользователь.

На компьютере под управлением Windows 2000 анонимный доступ ко всем ресурсам, кроме явно разрешенных, может быть отменен администратором Для этого используется один из следующих методов.

Примечание. Если служба лицензирования сервера терминалов работает на компьютере на базе Windows 2000, другие серверы со службами терминалов не смогут запрашивать у нее лицензии.

Оснастка «Локальная политика безопасности» консоли управления MMC

  1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Локальная политика безопасности.

    Примечание. Если пункт «Администрирование» отсутствует в списке программ, нажмите кнопку Пуск, выберите в меню Настройки пункт Панель управления, два раза щелкните значок Администрирование и запустите оснастку Локальная политика безопасности. Перейдите к выполнению второго действия.
  2. В разделе Параметры безопасности два раза щелкните компонент Локальные политики, а затем – Параметры безопасности.
  3. Два раза щелкните компонент Дополнительные ограничения для анонимных подключений и выберите в разделе Локальные политики безопасности параметр Нет доступа без явного разрешения анонимного доступа.
  4. Чтобы изменения вступили в силу, перезагрузите компьютер или контроллер домена.

Параметр реестра RestrictAnonymous

С помощью редактора реестра необходимо добавить или отредактировать указанный ниже параметр системного реестра.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Значение: RestrictAnonymous
Тип: REG_DWORD
Значение: 0x2 (Hex)

После изменения параметра RestrictAnonymous компьютер необходимо перезагрузить.

Когда значение параметра RestrictAnonymous равно 2, созданный для не прошедших проверку пользователей маркер доступа не включает в себя группу «Все» и, следовательно, не имеет доступа к ресурсам, которые предоставляют разрешения для этой группы. Это может иметь негативные последствия, поскольку многие службы Windows 2000 и программы сторонних производителей используют анонимный доступ для выполнения стандартных задач.

Так, если администратор домена-доверителя предоставляет право локального доступа пользователям доверенного домена, может возникнуть необходимость перечислить этих пользователей. Поскольку доверенный домен не может выполнить проверку администратора домена-доверителя, используется анонимное перечисление. Прежде чем воспользоваться преимуществами ограничения прав анонимных пользователей с точки зрения безопасности системы, следует тщательно оценить их целесообразность с учетом потребностей служб и программ в получении анонимного доступа при выполнении стандартных функций.

Ниже перечислены ограничения, которые действуют в случае присвоения значения 2 параметру RestrictAnonymous на контроллере домена под управлением Windows 2000.
  • Отсутствует возможность установить безопасный канал с помощью службы netlogon на рабочих станциях и серверах нижнего уровня.
  • Отсутствует возможность установить безопасный канал с помощью службы netlogon на контроллерах домена нижнего уровня в доверенных доменах.
  • Пользователи Windows NT не имеют возможности изменить пароль по истечении срока действия. Пользователи Macintosh вообще не имеют возможности изменить пароль.
  • Служба обозревателя не имеет возможности получить список доменов или серверов от резервных обозревателей, основных обозревателей и основных обозревателей домена, если они запущены на компьютере, где параметру RestrictAnonymous присвоено значение 2. По этой причине нарушается работа всех программ, которые используют службу обозревателей.
С учетом вышесказанного не рекомендуется использовать значение 2 для параметра RestrictAnonymous в смешанной среде, которая включает клиенты нижнего уровня. Установка такого значения целесообразна только в среде, которая состоит исключительно из компьютеров под управлением Windows 2000, только после тщательной проверки функциональных возможностей служб и программ.

Примечание. Следует с осторожностью подходить к использованию стандартных шаблонов безопасности типа «High Secure», которые предусматривают использование параметра RestrictAnonymous со значением 2. За дополнительной информацией о параметре RestrictAnonymous обратитесь к следующей статье базы знаний Майкрософт:
178640 При установлении доверительных отношений не удается найти контроллер домена (Эта ссылка может указывать на содержимое полностью или частично на английском языке.)
Значения параметра RestrictAnonymous (0 или 1 на компьютере под управлением Windows NT 4.0 и 0, 1 или 2 на компьютере под управлением Windows 2000) имеют следующий смысл.

0 Отключен. Использовать разрешения по умолчанию.

1 Не разрешать перечисление учетных записей и имен SAM.

2 Анонимный доступ без явного разрешения отсутствует.

Свойства

Код статьи: 246261 - Последний отзыв: 23 августа 2005 г. - Revision: 5.0
Информация в данной статье применима к:
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Ключевые слова: 
kbhowto kbenv kbnetwork KB246261

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com