Використання параметра реєстру RestrictAnonymous у Windows 2000

Переклади статей Переклади статей
Номер статті: 246261 - Показ продуктів, яких стосується ця стаття.
Увага! Ця стаття містить відомості про внесення змін до реєстру. Перш ніж вносити такі зміни, обов'язково створіть резервну копію реєстру та переконайтеся, що ви будете спроможні відновити реєстр у разі виникнення проблеми. Щоб отримати додаткові відомості про створення резервної копії, відновлення та редагування реєстру, клацніть номер статті в базі знань Microsoft Knowledge Base:
256986 Опис реєстру Microsoft Windows
Розгорнути все | Згорнути все

На цій сторінці

ПІДСУМКИ

У цій статті йдеться про обмеження доступу через анонімні підключення за допомогою параметра реєстру RestrictAnonymous на комп'ютері під керуванням Windows 2000.

ДОДАТКОВІ ВІДОМОСТІ

Попередження. Неправильне внесення змін до реєстру за допомогою редактора реєстру або в інший спосіб може призвести до серйозних проблем, Ці проблеми можуть викликати необхідність переінсталяції операційної системи. Корпорація Майкрософт не може гарантувати усунення цих проблем. Відповідальність за наслідки змінення реєстру несе користувач.

Адміністратор може заборонити на комп'ютері під керуванням Windows 2000 анонімний доступ до всіх ресурсів, окрім явно дозволених. Для цього можна скористатися одним із нижченаведених способів.

Примітка. Якщо на комп'ютері під керуванням Windows 2000 працює служба ліцензування сервера терміналів, інші сервери зі службами терміналів будуть неспроможні запитувати ліцензії в неї.

Оснащення "Локальная политика безопасности" консолі керування MMC

  1. Натисніть кнопку Пуск і послідовно виберіть пункти меню Программы, Администрирование та Локальная политика безопасности.

    Примітка. Якщо пункту Администрирование немає у списку програм, натисніть кнопку Пуск, виберіть у меню Настройка команду Панель управления, клацніть компонент Администрирование, а потім запустіть оснащення Локальная политика безопасности. Далі перейдіть до кроку 2.
  2. У розділі Параметры безопасности двічі клацніть компонент Локальные политики, а потім відкрийте підпапку Параметры безопасности.
  3. Двічі клацніть компонент Дополнительные ограничения для анонимных подключений та виберіть у розділі Локальные политики безопасности параметр Нет доступа без явного разрешения анонимного доступа.
  4. Перезапустіть комп'ютер або контролер домену, щоб зміни набули сили.

Параметр реєстру RestrictAnonymous

За допомогою редактора реєстру слід додати нижченаведений параметр реєстру або відредагувати його, якщо такий параметр уже існує.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Параметр: RestrictAnonymous
Тип: REG_DWORD
Значення: 0x2 (Hex)

Після будь-якого змінення параметра RestrictAnonymous комп'ютер слід перезавантажити.

Коли параметр реєстру RestrictAnonymous має значення 2, маркер доступу, створений для неавтентифікованих користувачів, не містить групи "Усі" й тому не має доступу до ресурсів, які надають дозволи для цієї групи. Це може спричинити небажані наслідки, оскільки багато служб Windows 2000 і програм сторонніх виробників використовують анонімний доступ для виконання звичайних завдань.

Наприклад, якщо адміністратор довірчого домену бажає надати право локального доступу користувачам довіреного домену, може виникнути потреба перелічити цих користувачів. Оскільки довірений домен не може автентифікувати адміністратора довірчого домену, використовується анонімне перелічення. Слід зважити переваги обмеження повноважень анонімних користувачів із точки зору безпеки системи в порівнянні з відповідними потребами служб і програм, які використовують анонімний доступ для своєї роботи.

Далі перелічено обмеження, які діють, коли значення параметра реєстру RestrictAnonymous у системі під керуванням Windows 2000 дорівнює 2.
  • Робочі станції та сервери нижнього рівня не можуть налаштувати безпечний канал за допомогою служби netlogon.
  • Контролери домену нижнього рівня в довірчих доменах не можуть налаштувати безпечний канал за допомогою служби netlogon..
  • Користувачі Microsoft Windows NT не можуть змінити свої паролі по закінченні терміну їх дії. Крім того, користувачі Macintosh узагалі не мають змоги змінювати паролі.
  • Служба оглядача не може отримати списки доменів або серверів від резервних оглядачів, основних оглядачів або основних оглядачів домену, якщо вони працюють на комп'ютерах, де параметр реєстру RestrictAnonymous має значення 2. Через це всі програми, які використовують службу оглядача, не можуть працювати належним чином.
Виходячи з цього, не рекомендовано присвоювати параметру RestrictAnonymous значення 2 у змішаному середовищі, яке містить клієнтів нижнього рівня. Надання параметру RestrictAnonymous цього значення слід вважати за потрібне лише в середовищі, яке складається виключно з комп'ютерів під керуванням Windows 2000, і після ретельної перевірки функціональних можливостей служб і програм.

Примітка. Готові шаблони безпеки "High Secure" автоматично присвоюють параметру RestrictAnonymous значення 2, і тому використовувати такі шаблони слід з обачністю. Щоб отримати відомості про параметр реєстру RestrictAnonymous, клацніть номер статті в базі знань Microsoft Knowledge Base:
178640 Не вдається знайти контролер домену під час установлення довірчих стосунків (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
Значення параметра реєстру RestrictAnonymous (0 або 1 для Windows NT 4.0 і 0, 1 або 2 для Windows 2000) мають такі наслідки:

0 - вимкнуто. Використання дозволів за промовчанням.

1 Не дозволяти перелічення облікових записів та імен SAM

2 Забороняти анонімний доступ без явного дозволу

Властивості

Номер статті: 246261 - Востаннє переглянуто: 12 червня 2007 р. - Редакція: 5.2
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Ключові слова: 
kbenv kbhowto kbnetwork KB246261

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com