Semua orang yang kelompok tidak termasuk anonim security identifier

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 278259 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Di Microsoft Windows XP dan di Microsoft Windows Server tahun 2003, semua kelompok tidak berisi pengenal keamanan (SID) "Anonim." Oleh karena itu, pengguna atau layanan yang mencoba untuk mengakses objek anonim tidak diberikan akses jika kontrol akses (ACL) daftar pada objek termasuk kelompok orang. Akses anonim hanya diberikan untuk objek yang ACL terdiri SID anonim.

INFORMASI LEBIH LANJUT

Pada komputer yang menjalankan Windows, ACLs dan SIDs mengontrol akses ke sumber daya. Setiap sumber daya telah ACL yang berisi SIDs dari semua pengguna dan grup yang telah diberikan atau menolak akses ke sumber daya.

Ketika pengguna log on ke komputer yang menjalankan Windows, baik secara interaktif atau jaringan, mereka diberikan akses token yang berisi SIDs account pengguna, dan semua keamanan kelompok yang account pengguna adalah anggota. Ketika pengguna mencoba untuk mengakses sumber daya, Windows memeriksa SIDs dalam tanda akses pengguna terhadap orang-orang di sumber daya 's ACL. Jika SIDs sesuai, pengguna mendapatkan akses ke sumber daya yang ditentukan dalam ACL. Jika SIDs tidak cocok, pengguna ditolak akses.

Pengguna anonim (pengguna atau layanan yang mengakses sumber daya melalui koneksi jaringan dengan menggunakan nama account pengguna Batal, domain dan sandi) akan secara otomatis ditambahkan ke grup keamanan built-in Logon anonim. Dalam Windows versi sebelumnya, anggota grup keamanan anonim Logon adalah dapat mengakses banyak sumber daya. Dalam beberapa kasus, jika administrator tidak menyadari anggota grup keamanan Logon anonim dimasukkan sebagai anggota semua orang grup keamanan, pengguna anonim dapat diberikan akses ke sumber daya yang hanya dimaksudkan untuk dikonfirmasi pengguna.

Pada Windows XP dan kemudian, grup keamanan anonim Logon telah dihapus dari semua orang grup keamanan. Modifikasi ini membantu untuk membatasi jumlah jaringan sumber daya yang tersedia secara default untuk pengguna anonim dan untuk menyederhanakan Kontrol administrator jaringan akses pengguna anonim. Karena semua orang Grup tidak lagi termasuk pengguna anonim, lebih mudah bagi administrator untuk mengkonfigurasi sistem yang aman untuk alasan berikut:
  • ACL default pada Windows versi sebelumnya (terutama Windows NT 4.0) yang memungkinkan semua orang grup keamanan untuk mengakses sumber daya, dan berpotensi mengekspos situs untuk menyerang, tidak memberi akses ke pengguna anonim setelah komputer di-upgrade ke Windows XP.
  • Pengguna anonim tidak diberikan akses ke sumber daya yang administrator tidak menyadari.
  • Pengguna anonim dapat secara eksplisit diberikan akses ke sumber daya tertentu melalui jelas bernama anonim Logon keamanan kelompok.
Catatan Peningkatan keamanan ini terdapat hanya pada komputer yang menjalankan Windows XP atau yang lebih baru. Oleh karena itu, hanya pengguna anonim yang mencoba untuk mengakses sumber daya yang di-host pada komputer yang menjalankan Windows XP atau kemudian terpengaruh.

Implementasi

Pada menerapkan ini peningkatan keamanan, Anda harus mengubah isi akses token yang dihasilkan untuk pengguna anonim. Dalam versi sebelumnya dari Windows, token akses untuk pengguna anonim terkandung SIDs untuk:
  • Semua orang grup keamanan
  • Grup keamanan Logon anonim
  • Tipe logon (biasanya jaringan)
Pada Windows XP dan kemudian, semua orang grup keamanan telah dihapus dari token akses untuk pengguna anonim. Oleh karena itu, token akses untuk pengguna anonim berisi SIDs untuk:
  • Logon anonim
  • Tipe logon (biasanya jaringan)
Ketika seorang pengguna anonim mencoba untuk mengakses sumber pada komputer yang menjalankan Windows XP atau kemudian, pengguna anonim tidak diberikan izin atau keanggotaan grup yang tersedia untuk semua orang keamanan kelompok. SID untuk semua orang grup keamanan hadir dalam anonim pengguna akses tanda.

Kompatibilitas dengan Windows versi sebelumnya

Windows 2000 diperkenalkan mekanisme untuk mengubah yang direkomendasikan pengaturan keamanan yang ketat untuk pengaturan keamanan yang diberikan beberapa pengguna anonim akses ke objek Active Directory yang diperlukan oleh layanan yang berjalan di versi sebelumnya dari sistem operasi. Karena dari keamanan peningkatan dalam Windows XP, ada sedikit perubahan cara Windows 2000 mekanisme bekerja.

Windows 2000 diperkenalkan ketat standar keamanan pengaturan dari pengaturan keamanan yang tersedia pada Windows NT 4.0 dan Versi sebelumnya dari sistem operasi. Agar kompatibel dengan layanan yang memerlukan akses anonim data domain tertentu, Windows 2000 menyediakan cara untuk beralih antara pengaturan keamanan tinggi (konfigurasi pilihan ketika Kompatibilitas ini tidak diperlukan) untuk mundur kompatibel keamanan pengaturan yang memberikan pengguna anonim akses seperti yang diwajibkan oleh sistem yang menjalankan Windows NT 4.0 dan Windows versi sebelumnya.

Pre-Windows 2000 Kompatibel grup keamanan akses, yang diperkenalkan pada Windows 2000, kontrol pilihan keamanan ini. Kompatibilitas dicapai pada komputer yang menjalankan Windows 2000 dengan membuat semua orang keamanan kelompok anggota Grup keamanan pre-Windows 2000 kompatibel akses. Dapat mengkonfigurasi pengaturan keamanan tinggi dengan menghapus semua anggota dari Pre-Windows 2000 Kelompok akses yang kompatibel.

Pada pengontrol domain Windows Server 2003, kelompok tidak lagi meliputi semua orang anonim Logon. Oleh karena itu, mundur pengaturan kompatibel mengharuskan semua kedua orang dan Logon anonim keamanan kelompok adalah anggota grup Pre-Windows 2000 kompatibel akses. Untuk memenuhi Persyaratan ini, gunakan salah satu metode berikut:
  • Jika Anda mempromosikan komputer yang menjalankan Windows Server 2003 ke kontroler domain dengan menggunakan Wisaya promosi direktori aktif (Dcpromo.exe), klik Izin kompatibel dengan pre-Windows 2000 server untuk menambahkan Logon anonim dan semua orang keamanan kelompok untuk Grup keamanan pre-Windows 2000 kompatibel akses.
  • Jika Anda meningkatkan kontroler domain berbasis Windows 2000 untuk Windows Server 2003, grup keamanan anonim Logon ditambahkan ke Grup keamanan pre-Windows 2000 kompatibel akses selama meng-upgrade. Hal ini terjadi jika semua orang grup keamanan sudah anggota Grup keamanan pre-Windows 2000 kompatibel akses (menunjukkan mundur kompatibilitas pengaturan).
Anda dapat secara manual beralih antara backward kompatibel dan pengaturan keamanan tinggi pada objek Active Directory dengan memperbarui keanggotaan grup keamanan Pre-Windows 2000 kompatibel akses dengan menggunakan aktif Pengguna dan komputer direktori snap-in.

Kompatibilitas dengan program yang bekerja dengan Windows 2000

Ketika Anda meng-upgrade Windows 2000 untuk Windows XP, sumber daya dengan ACLs yang memberikan akses ke semua orang group (dan tidak secara eksplisit untuk anonim Logon kelompok) tidak lagi tersedia untuk pengguna anonim setelah upgrade. Dalam umumnya, ini adalah sesuai pembatasan akses anonim. Namun, Anda mungkin perlu untuk mengizinkan akses anonim untuk sumber daya untuk mendukung program-program yang sudah ada sebelumnya. Dalam kasus ini, Anda harus secara eksplisit menambahkan Anonymous Grup keamanan logon untuk ACL pada sumber daya tertentu.

Dalam beberapa situasi, mungkin sulit untuk menentukan sumber daya yang pada komputer yang menjalankan Windows XP Anda harus memberikan akses anonim. Mungkin juga menjadi sulit untuk mengubah hak akses pada semua yang diperlukan sumber daya.

Dalam situasi ini, Anda mungkin perlu untuk memaksa komputer yang menjalankan Windows XP untuk menyertakan grup keamanan Logon anonim di Semua orang grup keamanan. Untuk mendukung fungsi ini, Windows XP memperkenalkan nilai registri baru, EveryoneIncludesAnonymous. Nilai ini dapat digunakan untuk beralih antara default Windows XP perilaku (semua orang grup keamanan tidak termasuk Logon anonim grup keamanan) dan perilaku Windows 2000 (semua orang grup keamanan termasuk grup keamanan Logon anonim).

Ketika token akses untuk seorang pengguna anonim dibangun, jika EveryoneIncludesAnonymous nilai registri diatur ke nilai REG_DWORD 0X0, otoritas keamanan lokal (LSA) komputer yang menjalankan Windows XP tidak mencakup SID semua orang grup keamanan di pengguna anonim access token. Ini adalah pengaturan default.

Jika The EveryoneIncludesAnonymous nilai registri diatur ke nilai REG_DWORD 0X00000001, LSA termasuk SID semua orang grup keamanan di pengguna anonim access token.

Untuk mengatur EveryoneIncludesAnonymous registri nilai, gunakan salah satu metode berikut.

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows
  • Untuk mengatur EveryoneIncludesAnonymous nilai registri dengan menggunakan pengaturan keamanan lokal:
    1. Klik Mulai, arahkan ke Program, arahkan ke Alat administratif, lalu klik baik Kebijakan keamanan lokal atau Kebijakan keamanan domain (pada pengontrol domain hanya).
    2. Klik Pengaturan keamanan, klik dua kali Kebijakan lokal, lalu klik Opsi keamanan.
    3. Klik kanan Membiarkan semua orang izin yang berlaku untuk pengguna anonim, lalu klik Properti.
    4. Untuk memungkinkan pengguna anonim untuk menjadi anggota dari setiap orang grup keamanan, klik Aktif. Untuk mencegah masuknya orang keamanan kelompok SID di pengguna anonim akses tanda (default Windows XP), klik Nonaktif.
  • Untuk menetapkan nilai registri EveryoneIncludesAnonymous menggunakan Peninjau Suntingan Registri:
    1. Klik Mulai, klik Menjalankan, jenis regedit, lalu klik Oke.
    2. Cari dan klik kunci registri berikut:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. Klik kanan EveryoneIncludesAnonymous, lalu klik Memodifikasi.
    4. Untuk memungkinkan pengguna anonim untuk menjadi anggota dari setiap orang Keamanan grup, dalam Data nilai kotak, jenis 1. Untuk mencegah masuknya semua orang keamanan kelompok SID di pengguna anonim akses tanda ( Windows XP standar), Data nilai kotak, jenis 0.
    5. Tutup Penyunting Registri.
Catatan Perubahan ini dapat mempengaruhi teknologi berbasis Windows berikut: Com, Dcom, IIS, pesan antrian dan teknologi lainnya di mana anonim otentikasi sering digunakan.

Properti

ID Artikel: 278259 - Kajian Terakhir: 23 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Kata kunci: 
kbacl kbinfo kbmt KB278259 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:278259

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com