文章編號: 246261 - 上次校閱: 2006年3月14日 - 版次: 5.3

如何使用 Windows 2000 中的 RestrictAnonymous 登錄值

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986? (http://support.microsoft.com/kb/256986/ ) Microsoft Windows 登錄說明

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您,系統管理員如何在 Windows 2000 的電腦上使用 RestrictAnonymous 登錄值以限制匿名連線的存取。
回此頁最上方

其他相關資訊

警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。這些問題可能會需要您重新安裝作業系統才能解決。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。

系統管理員可以設定 Windows 2000 的電腦,以避免匿名登入存取所有資源,唯一的例外是當此匿名使用者被明確授與資源的存取權限時。如果要控制這種行為,請使用下列其中一種方法。

注意 如果「終端機伺服器授權」是在 Windows 2000 電腦上執行,其他啟用終端機服務的伺服器便無法向它要求授權。
回此頁最上方

本機安全性原則 MMC 嵌入式管理單元

  1. 按一下 [開始],依序指向 [程式集][系統管理工具],再按一下 [本機安全性原則]

    注意 如果 [程式集] 清單中沒有出現 [系統管理工具],因而使您無法執行此步驟,請按一下 [開始],指向 [設定],再指向 [控制台],按一下 [系統管理工具],再按一下 [本機安全性原則]。然後繼續步驟 2。
  2. [安全性設定] 下,按兩下 [本機原則],再按一下 [安全性選項]
  3. 按兩下 [匿名連線的其他限制],再按一下 [[本機原則設定] 下的 [沒有明確宣告的匿名權限則不能存取]
  4. 請重新啟動成員電腦或網域控制站讓變更生效。
回此頁最上方

RestrictAnonymous 登錄值

請使用「登錄編輯程式」來檢視下列登錄機碼,然後將下列值加入此機碼中,如果機碼已經存在,則修改機碼的值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
數值:RestrictAnonymous
數值類型:REG_DWORD
數值資料:0x2 (Hex)

在變更登錄中的 RestrictAnonymous 機碼後,請重新啟動電腦。

當 RestrictAnonymous 登錄值設定為 2 時,為未經驗證的使用者所建立的存取權杖,並不包括 Everyone 群組。因此,存取權杖無法再存取授與 Everyone 群組權限的資源。這樣可能會導致系統產生不必要的情形,因為許多 Windows 2000 服務及協力廠商程式,都需要使用匿名存取功能才能執行合法的工作。

例如,當信任網域中的系統管理員,想要授與本機存取給在受信任網域中的使用者時,可能需要列舉受信任網域中的使用者。因為受信任網域無法驗證信任網域中的系統管理員,所以可能會使用匿名列舉。因此,到底應該強調安全性而限制匿名使用者所能使用的功能,或是要考慮那些必須依賴匿名存取才能完成功能的服務與程式,您必須權衡兩者的利弊。

當 Windows 2000 網域控制站上的 RestrictAnonymous 登錄值設定為 2 時,下列工作會受到限制:
  • 下層成員工作站或伺服器無法設定 Netlogon 安全通道。
  • 信任網域中的下層網域控制站無法設定 Netlogon 安全通道。
  • Microsoft Windows NT 使用者在密碼過期後無法變更密碼。同時,Macintosh 使用者根本無法變更密碼。
  • 只要電腦上執行的是備份瀏覽器、主瀏覽器或網域主瀏覽,且 RestrictAnonymous 登錄值設定為 2,Browser 服務便無法從這些瀏覽器上擷取網域清單或伺服器清單。因此,任何依賴 Browser 服務的程式將無法正常運作。
因為上述原因,建議您不要將包含下層用戶端之混合模式環境中的 RestrictAnonymous 登錄值設定為 2。只有當您僅在 Windows 2000 環境中作業,並經過充分的品質保證測試,確定能維持適當的服務水準和程式功能時,才能考慮將 RestrictAnonymous 登錄值設定為 2。

注意 預先定義的「高安全性」安全性範本將 RestrictAnonymous 登錄值設定為 2,因此,使用這些範本時必須非常小心。 如需有關 RestrictAnonymous 登錄值的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
178640? (http://support.microsoft.com/kb/178640/ ) Could Not Find Domain Controller When Establishing a Trust
在 Windows NT 4.0 中,RestrictAnonymous 的設定是將登錄值變更為 0 或 1,而在 Windows 2000 中,其設定是將登錄值變更為 0、1 或 2。這些數字對應到下列設定:

0 無。依賴預設權限

1 不允許列舉 SAM 帳號和名稱

2 沒有明確宣告的匿名權限則不能存取
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
回此頁最上方
關鍵字:?
kbenv kbhowto kbnetwork KB246261
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。