ID článku: 278259 - Poslední aktualizace: 22. února 2007 - Revize: 4.5

Skupina Everyone nezahrnuje identifikátor anonymní zabezpečení

Zobrazení anglického článku a jeho českého překladu vedle sebeZobrazení původního anglického článku a jeho překladu vedle sebe.
Strojově přeložený článekUPOZORNĚNÍ: TENTO ČLÁNEK BYL STROJOVĚ PŘELOŽEN
Produkty, které se vztahují k tomuto článku.
Systémový tipTento článek se vztahuje na jiný operační systém, než který používáte. Obsah článku, který pro vás pravděpodobně není relevantní, byl zablokován.

Na této stránce

Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

V systému Windows XP a Microsoft Windows Server 2003 skupina Everyone neobsahuje identifikátor zabezpečení (SID) "Anonymní" Proto uživatelé nebo služby, které se pokoušejí o přístup k objektu anonymně nejsou udělena skupině Everyone přístup, pokud seznam (ACL) na objektu řídit přístup zahrnuje. Anonymní přístup pouze pro objekty, jejichž ACL obsahuje anonymní SID explicitně uděleno.
Zpět nahoru

Další informace

ACL a SID řízení přístupu k prostředkům v počítačích se systémem Windows. Každý zdroj má ACL, který obsahuje identifikátory všech uživatelů a skupin, které byly udělen nebo odepřen přístup k prostředku.

Při přihlášení uživatelů k počítači se systémem Windows, interaktivně nebo přes síť jejich vystavení přístupový token, který obsahuje SID jejich uživatelský účet a všech skupin zabezpečení uživatelský účet je členem. Když se uživatel pokusí získat přístup k prostředku, systém Windows zkontroluje SID v tokenu přístupu uživatele proti ty v ACL zdroje. Pokud odpovídají tyto identifikátory uživateli udělen přístup k prostředku zadaný v seznamu ACL. Pokud tyto identifikátory neshodují, je uživateli odepřen přístup.

Anonymní uživatelé (uživatelé nebo služby přístup k prostředkům prostřednictvím síťového připojení pomocí názvu účtu uživatele null, domény a heslo) jsou automaticky přidány předdefinované zabezpečení skupiny Anonymous Logon. V dřívějších verzích systému Windows jsou členové skupiny zabezpečení Anonymous Logon mít přístup k mnoha prostředkům. V některých případech, pokud jsou správci vědomi členové skupiny zabezpečení Anonymous Logon jsou zahrnuty jako Everyone členové skupiny zabezpečení anonymní uživatelé může být udělen přístup k prostředkům, které jsou určena pouze pro ověřené uživatele.

V systému Windows XP a novější, skupiny zabezpečení Anonymous Logon byla odebrána z Everyone skupiny zabezpečení. Tato změna pomáhá omezit počet síťových prostředků, které jsou k dispozici ve výchozím nastavení anonymní uživatelé a správci sítě řízení anonymní uživatelský přístup zjednodušení. Protože skupina Everyone již obsahuje anonymní uživatelé, je jednodušší správcům konfiguraci zabezpečeného systému z následujících důvodů:
  • Výchozí ACL v dřívějších verzích systému Windows (zejména Windows NT 4.0), povolit Everyone zabezpečení skupiny přístup k prostředkům a potenciálně vystavit webu útoku, neudělujte přístup anonymní uživatelé po inovaci počítače na systém Windows XP.
  • Anonymní uživatelé nejsou udělena přístup k prostředkům, je správce z neví.
  • Anonymní uživatelé mohou být explicitně udělen přístup k určitým prostředkům prostřednictvím jasně pojmenovanou skupinu zabezpečení Anonymous Logon.
Poznámka: Toto vylepšení zabezpečení je přítomen pouze v počítačích se systémem Windows XP nebo novější. Proto budou ovlivněny pouze anonymní uživatelé se pokoušejí získat přístup k prostředkům, které jsou hostované v počítačích se systémem Windows XP nebo novější.
Zpět nahoru

Implementace

Chcete-li implementovat toto vylepšení zabezpečení, musíte změnit obsah přístupový token, který je generován pro anonymní uživatele. Token přístupu anonymním uživatelům obsažených v dřívějších verzích systému Windows SID pro:
  • Everyone skupiny zabezpečení
  • Skupinu zabezpečení Anonymous Logon
  • Typ přihlášení (obvykle Network)
V systému Windows XP a novější Everyone skupiny zabezpečení byl odebrán z tokenu přístupu anonymních uživatelů. Přístupový token anonymní uživatelé tedy obsahuje SID pro:
  • Anonymous Logon
  • Typ přihlášení (obvykle Network)
Při anonymní uživatel pokusí o přístup k prostředku v počítači se systémem Windows XP nebo novější, anonymní uživatel není uděleno oprávnění nebo členství ve skupinách, které jsou k dispozici Everyone skupiny zabezpečení. SID pro Everyone skupiny zabezpečení je přítomen v přístupovém tokenu anonymního uživatele.
Zpět nahoru

Kompatibility s dřívějšími verzemi systému Windows

Windows 2000 zavedeny mechanismus změnit nastavení doporučené přísné zabezpečení nastavení zabezpečení některých anonymním uživatelům udělen přístup k objektů Active Directory, které jsou vyžadovány služeb spuštěných ve starších verzích operačního systému. Z důvodu zvýšení zabezpečení v systému Windows XP je mírně změnit způsob funguje mechanismus Windows 2000.

Windows 2000 zavedeny přísnější výchozí nastavení zabezpečení než nastavení zabezpečení, které byly k dispozici v systému Windows NT 4.0 a dřívějších verzích operačního systému. Být kompatibilní s služby, které vyžadují anonymní přístup k určitým datům domény, Windows 2000 k dispozici způsob, jak přepínat mezi nastavením zabezpečení vysoké (upřednostňovaný konfiguraci při není požadováno zpětné kompatibility) nastavení zpětně kompatibilní zabezpečení udělit anonymním uživatelům přístup, jako je vyžadováno systémů se systémem Windows NT 4.0 a starších verzích systému Windows.

Skupiny zabezpečení Pre-Windows 2000 Compatible Access, které byla zavedena v systému Windows 2000 řídí tato volba zabezpečení. Zpětné kompatibility je dosaženo v počítačích se systémem Windows 2000 provedením Everyone členem skupiny zabezpečení Pre-Windows 2000 Compatible Access skupiny zabezpečení. Je možné konfigurovat nastavení vysokého zabezpečení odebráním všechny členy ze skupiny Pre-Windows 2000 Compatible Access.

V řadičích domény Windows Server 2003 skupina Everyone již obsahuje Anonymous Logon. Proto vyžadují nastavení zpětně kompatibilní, které obě Everyone a skupiny zabezpečení Anonymous Logon jsou členy skupiny Pre-Windows 2000 Compatible Access. Uspokojení tohoto požadavku, použijte některou z následujících metod:
  • Pokud povýšit počítač se systémem Windows Server 2003 na řadič domény pomocí Průvodce propagace služby Active Directory (Dcpromo.exe) klepněte na tlačítko oprávnění kompatibilní se servery systému Windows 2000 Anonymous Logon a Everyone přidat do skupiny zabezpečení Pre-Windows 2000 Compatible Access skupin zabezpečení.
  • Pokud inovujete řadič domény se systémem Windows 2000 na systém Windows Server 2003, skupiny zabezpečení Anonymous Logon přidán do skupiny zabezpečení Pre-Windows 2000 Compatible Access během inovace. K tomu dojde, pokud Everyone skupiny zabezpečení je již členem skupiny zabezpečení Pre-Windows 2000 Compatible Access (označující nastavení zpětné kompatibility).
Ručně přepnout mezi nastavením zpětné kompatibility a vysokého zabezpečení pro objekty služby Active Directory podle aktualizaci členství skupiny zabezpečení Pre-Windows 2000 Compatible Access pomocí Active Directory Users snap-in a počítače.
Zpět nahoru

Kompatibilita s programy pracovat se systémem Windows 2000

Při upgradu systému Windows 2000 na systém Windows XP zdroje s ACL udělit přístup Everyone, skupina (a není explicitně skupině Anonymous Logon) jsou již anonymní uživatelé k dispozici po inovaci. Ve většině případů je příslušné omezení pro anonymní přístup. Potřebujete však povolit anonymní přístup k těmto prostředkům podporu stávajícím programů. V tomto případě je nutné explicitně přidat skupinu zabezpečení Anonymous Logon do ACL na konkrétní prostředky.

V některých situacích může být obtížné určit, které prostředky v počítači se systémem Windows XP je třeba přidělit anonymní přístup. Může být také obtížné změnit oprávnění na všechny potřebné prostředky.

V těchto situacích můžete potřebovat vynutit počítače se systémem Windows XP zahrnout skupinu zabezpečení Anonymous Logon Everyone skupiny zabezpečení. Pro podporu této funkce BEZE zavádí novou hodnotu registru EveryoneIncludesAnonymous. Tuto hodnotu lze přepínat mezi Windows XP výchozí chování (Everyone nezahrnuje skupinu zabezpečení Anonymous Logon skupiny zabezpečení) a chování systému Windows 2000 (Everyone skupiny zabezpečení zahrnuje skupinu zabezpečení Anonymous Logon).

Když je integrována přístupový token anonymního uživatele, pokud je hodnota registru EveryoneIncludesAnonymous nastavena na hodnotu REG_DWORD 0x0, úřadu místního zabezpečení (LSA) počítače se systémem Windows XP nezahrnuje SID Everyone skupiny zabezpečení v přístupovém tokenu anonymního uživatele. Toto je výchozí nastavení.

Pokud hodnota registru EveryoneIncludesAnonymous nastavena na hodnotu REG_DWORD 0x1, LSA SID Everyone zahrnuje skupiny zabezpečení v přístupovém tokenu anonymního uživatele.

Nastavte hodnotu registru EveryoneIncludesAnonymous, použijte některou z následujících metod.

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které sdělit, jak upravit registr. Po nesprávné úpravě registru však mohou nastat závažné problémy. Postupujte proto pečlivě podle uvedených kroků. Pro zvýšení bezpečnosti registr zálohujte jestě před jeho úpravami. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete následujícím článku znalostní v databáze Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/ ) Zálohování a obnovení registru v systému Windows
  • Chcete-li nastavit hodnotu registru EveryoneIncludesAnonymous pomocí nastavení místního zabezpečení:
    1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Nástroje pro správu a potom na Místní zásady zabezpečení nebo Zásady zabezpečení domény (pouze v případě řadičů domény).
    2. Klepněte na tlačítko Nastavení zabezpečení, poklepejte na položku Místní zásady a potom na položku Možnosti zabezpečení.
    3. Klepněte pravým tlačítkem myši použít oprávnění účtu Everyone pro anonymní uživatele a potom klepněte na příkaz Vlastnosti.
    4. Povolit anonymní uživatelé (Everyone členům zabezpečení skupiny, klepněte na přepínač povoleno. Zabránit zahrnutí Everyone skupiny zabezpečení SID v přístupovém tokenu anonymního uživatele (výchozí BEZE), klepněte na položku Zakázáno.
  • Pomocí Editoru registru nastavte hodnotu registru EveryoneIncludesAnonymous:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedit a klepněte na tlačítko OK.
    2. Vyhledejte následující klíč registru a klepněte na něj:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    3. EveryoneIncludesAnonymous klepněte pravým tlačítkem myši a potom klepněte na příkaz změnit.
    4. Povolit anonymní uživatelé (Everyone členům zabezpečení skupiny, v poli Údaj typ 1. Zabránit zahrnutí Everyone zabezpečení skupiny SID v přístupovém tokenu anonymního uživatele (BEZE výchozí), v poli Údaj typ 0.
    5. Ukončete program Editor registru.
Poznámka: Tato změna může ovlivnit následující technologie systémem Windows: cz, DCOM, IIS, front a jiné technologie, kde je často zaměstnán anonymní ověřování.
Zpět nahoru
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Zpět nahoru
Klíčová slova: 
kbmt kbacl kbinfo KB278259 KbMtcs
Zpět nahoru
Strojově přeložený článekStrojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:278259  (http://support.microsoft.com/kb/278259/en-us/ )
Zpět nahoru