如何在 Windows 2000 中使用 RestrictAnonymous 注册表值

文章翻译 文章翻译
文章编号: 246261 - 查看本文应用于的产品
重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
展开全部 | 关闭全部

本文内容

概要

本文介绍管理员如何在基于 Windows 2000 的计算机上使用 RestrictAnonymous 注册表值来限制通过匿名连接进行的访问。

更多信息

警告:注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

管理员可以对基于 Windows 2000 的计算机进行配置,禁止用户以匿名登录的方式访问所有资源;不过,如果匿名用户已经明确获得对资源的访问权,则不受此限制约束。要控制此行为,请使用下面的两种方法之一。

注意:如果“终端服务器授权”运行在基于 Windows 2000 的计算机上,则启用“终端服务”的其他服务器将无法请求来自它的授权。

本地安全策略 MMC 管理单元

  1. 单击开始,指向程序,指向管理工具,然后单击本地安全策略

    注意:如果由于“程序”列表中未显示“管理工具”而无法执行此步骤,请单击开始,指向设置,指向“控制面板”,单击“管理工具”,然后单击“本地安全策略”。然后,继续执行第二步。
  2. 安全设置下,双击本地策略,然后单击安全选项
  3. 双击“对匿名连接的额外限制”,然后在“本地策略设置”下单击“没有显式匿名权限就无法访问”。
  4. 重新启动成员计算机或域控制器以使更改生效。

RestrictAnonymous 注册表值

使用注册表编辑器查看以下注册表项,然后将以下值添加到此项中,如果此值已存在则修改它:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
数值:RestrictAnonymous
数值类型:REG_DWORD
数值数据:0x2 (Hex)

在对注册表中的 RestrictAnonymous 项进行任意更改后,重新启动计算机。

当 RestrictAnonymous 注册表值设置为 2 时,为未验证身份的用户生成的访问令牌不包括“所有人”组,因此,访问令牌不能再访问那些将权限授予“所有人”组的资源。这可能导致意外的行为,因为很多 Windows 2000 服务和第三方程序都依赖匿名访问功能来执行合法任务。

例如,当一个位于信任域中的管理员打算将本地访问权授予某一受信域中的一个用户时,可能需要枚举此受信域中的所有用户。因为此受信域无法验证信任域中的管理员的身份,就可能使用匿名枚举。从安全角度而言,限制匿名用户的能力是有好处的,但同时有些服务和程序需要依赖匿名访问才能执行全部功能,所以应对二者进行权衡。

当基于 Windows 2000 的域控制器上的 RestrictAnonymous 注册表值被设置为 2 时,下列任务受到限制:
  • 下级成员工作站或服务器无法建立 netlogon 安全通道。
  • 信任域中的下级域控制器无法建立 netlogon 安全通道。
  • Microsoft Windows NT 用户在密码过期后无法更改密码。此外,Macintosh 用户根本不能更改他们的密码。
  • 浏览器服务无法从在 RestrictAnonymous 注册表值设置为 2 的计算机上运行的备份浏览器、主浏览器或域主浏览器中检索域列表或服务器列表。因此,所有依赖浏览器服务的程序都无法正常工作。
由于上述结果,建议您不要在包括下级客户端的混合模式环境中将 RestrictAnonymous 注册表值设置为 2。只有在 Windows 2000 环境下,并且只有当进行了充分的质量保证测试以证实适当的服务级别和程序功能继续保持之后,才应考虑将 RestrictAnonymous 注册表值设置为 2。

注意:预定义的“High Secure”安全模板将 RestrictAnonymous 注册表值设置为 2,因此,在使用这些模板时应特别小心。 有关 RestrictAnonymous 注册表值的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
178640 建立信任关系时无法找到域控制器
设置 RestrictAnonymous 的方式是:对于 Windows NT 4.0,将注册表项更改为 0 或 1;对于 Windows 2000 则更改为 0、1 或 2。这些数字对应于下列设置:

0 无。依赖于默认权限

1 不允许枚举 SAM 帐户和名称

2 没有显式匿名权限就无法访问

属性

文章编号: 246261 - 最后修改: 2005年8月12日 - 修订: 5.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
关键字:?
kbhowto kbenv kbnetwork KB246261
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com