Groep Iedereen bevat geen anonieme beveiligings-id

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 278259 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

In Microsoft Windows XP en Microsoft Windows Server 2003 bevat de groep Iedereen niet de beveiligings-id (SID) "Anonieme". Dus gebruikers of services die toegang hebben tot een object anoniem zijn geen toegangs rechten als de access control list (ACL) op de object omvat de groep Iedereen. Anonieme toegang wordt alleen verleend voor objecten waarvan ACL expliciet de anonieme SID bevat.

Meer informatie

Op computers met Windows, ACL's en SID's toegang tot bronnen te beheren. Elke resource heeft een ACL de SID's van bevat alle gebruikers en groepen die zijn verleend of toegang geweigerd tot de bron.

Wanneer gebruikers zich aanmelden bij een computer waarop Windows wordt uitgevoerd ofwel interactief of via een net werk ze zijn uitgegeven een token dat bevat de SID's van de gebruikersaccount en de beveiligings groepen de gebruikersaccount is lid van. Wanneer de gebruiker probeert toegang te krijgen tot een bron Windows controleert de SID's in het toegangstoken van de gebruiker vergeleken met de in de de ACL van de resource. Als de beveiligings-id's overeenkomen, de gebruiker toegang heeft tot de bron dat is opgegeven in de ACL. Als de beveiligings-id's niet overeenkomen, krijgt de gebruiker geen toegang.

Anonieme gebruikers (gebruikers of services die toegang hebben tot bronnen via een net werk verbinding met behulp van een null gebruikersaccountnaam, domein en wacht woord) worden automatisch toegevoegd aan de ingebouwde beveiliginsgroep Anoniem aanmelden. In leden van de beveiliginsgroep anonieme aanmelding zijn voor eerdere versies van Windows geen toegang tot vele bronnen. In sommige gevallen, als beheerders op de hoogte zijn leden van de beveiliginsgroep anonieme aanmelding uitmaken als leden van Iedereen de beveiligingsgroep anonieme gebruikers kunnen toegang worden verleend tot bronnen dat zijn alleen bedoeld voor geverifieerde gebruikers.

In Windows XP en later, is de beveiliginsgroep anonieme aanmelding verwijderd uit de groep Iedereen beveiligingsgroep. Deze wijziging zorgt het aantal net werk bronnen die beschikbaar zijn voor anonieme gebruikers en vereenvoudigen beheer van net werk beheerders toegang van anonieme gebruikers. Omdat iedereen groep Anonieme gebruikers niet langer bevat, is het gemakkelijker voor beheerders een beveiligd systeem configureren om de volgende redenen:
  • De standaard ACL's in eerdere versies van Windows (met name Windows NT 4. 0) die ervoor zorgen dat iedereen toegang tot beveiligingsgroep bronnen en bloots tellen de site voor een aanval, geen toegang tot anonieme gebruikers nadat de computer wordt bijgewerkt naar Windows XP.
  • Anonieme gebruikers geen toegang tot bronnen die de beheerder is niet bekend.
  • Anonieme gebruikers kunnen expliciet toegang worden verleend tot bepaalde bronnen via het duidelijk benoemde anonieme aanmeldings beveiliging groep.
OpmerkingDeze beveiligings verbetering is op computers die alleen aanwezig met Windows XP of hoger. Alleen anonieme gebruikers die zijn daarom proberen te krijgen tot bronnen die worden gehost op computers met Windows XP of hoger worden beïnvloed.

Implementatie

Naar Deze beveiligings verbetering implementeert, moet u de inhoud van de toegang token voor anonieme gebruikers wordt gegenereerd. In eerdere versies van Windows het toegangstoken voor anonieme gebruikers bevat voor SID's:
  • Iedereen beveiligingsgroep
  • De beveiliginsgroep anonieme aanmelding
  • Het aanmeldings type (meestal net werk)
In Windows XP en later de beveiligingsgroep is iedereen verwijderd uit het toegangstoken voor anonieme gebruikers. Daarom het toegangstoken bevat de SID's voor anonieme gebruikers:
  • Anonieme aanmelding
  • Het aanmeldings type (meestal net werk)
Als een anonieme gebruiker probeert toegang te krijgen tot een bron op een computer met Windows XP of later, de gebruiker Anoniem niet is toegekend machtigingen of lidmaatschappen die beschikbaar voor iedereen zijn beveiliging groep. De SID voor iedereen beveiligingsgroep is aanwezig in de anonieme toegangstoken van de gebruiker.

Compatibiliteit met eerdere versies van Windows

In Windows 2000 zijn een mechanisme voor het wijzigen van de aanbevolen beveiligingsinstellingen die bepaalde anonieme gebruikers strikte beveiligingsinstellingen toegang tot Active Directory-objecten die nodig zijn voor services die zijn in eerdere versies van het besturings systeem uitgevoerd. Vanwege de beveiliging verbetering in Windows XP is een lichte wijziging in de manier waarop de Windows 2000 mechanisme werkt.

In Windows 2000 zijn strengere standaard beveiliging instellingen dan de beveiligingsinstellingen die beschikbaar in Windows NT 4. 0 waren en eerdere versies van het besturings systeem. Services die compatibel zijn met anonieme toegang nodig hebben tot bepaalde gegevens domein van Windows 2000 een manier om schakelen tussen hoge beveiligings instellingen (de voorkeurs configuratie wanneer achterwaartse compatibiliteit is niet verplicht) om achterwaarts compatibele beveiligings instellingen voor anonieme gebruikers toegang verlenen als je door systemen met Windows NT 4. 0 en eerdere versies van Windows.

De pre-Windows 2000 Compatibele beveiligingsgroep voor toegang, die is geïntroduceerd in Windows 2000 besturings elementen Deze beveiligings optie. Achterwaartse compatibiliteit is bereikt op computers die zijn met Windows 2000 door iedereen beveiligings groep lid van de De beveiligingsgroep pre-Windows 2000 Compatible Access. U zijn kunt configureren strenge beveiliging, instellingen door alle leden van de groep Pre-Windows 2000 verwijderen Compatibele toegangs groep.

Op Windows Server 2003-domeincontrollers de groep Iedereen anonieme aanmelding niet langer deel uit. Dus de achterwaartse compatibele instellingen vereist dat zowel de groep Iedereen en anonieme aanmeldings beveiliging groepen zijn leden van de groep Pre-Windows 2000 Compatible Access. Om te voldoen aan Deze vereiste is een van de volgende methoden gebruiken:
  • Als het promoveren van een computer waarop Windows Server wordt uitgevoerd 2003 naar een domeincontroller met behulp van de Wizard Active Directory promotie (Dcpromo. exe), klikt u opMachtigingen die compatibel zijn met pre-Windows 2000 serversAnonieme Logon en iedereen toe te voegen beveiligings groepen de De beveiligingsgroep pre-Windows 2000 Compatible Access.
  • Als u een van een Windows 2000-domeincontroller upgrade uitvoert Windows Server 2003, wordt de beveiliginsgroep Anonieme Logon toegevoegd aan de Beveiligingsgroep pre-Windows 2000-compatibele toegang tijdens de bijwerken. Dit gebeurt wanneer de beveiligingsgroep iedereen reeds lid van de Pre-Windows 2000 Compatible Access beveiligingsgroep (achteruit aangeeft compatibiliteitsinstellingen).
U kunt handmatig overschakelen tussen de achterwaarts compatibele en zwaarbeveiligde instellingen op Active Directory-objecten door het bijwerken van het lidmaatschap van de beveiligingsgroep pre-Windows 2000-compatibele toegang met behulp van de actieve Directory: gebruikers en Computers-module.

Compatibiliteit met programma's die met Windows 2000 werken

Wanneer u Windows 2000 upgraden naar Windows XP bronnen met toegangsbeheerlijsten die toegang verlenen aan iedereen groep (en niet expliciet aan de anonieme Logon, groep) zijn niet langer beschikbaar voor anonieme gebruikers nadat de upgrade. In Meestal is dit een geschikte beperking voor anonieme toegang. Echter, u moet mogelijk anonieme toegang tot deze bronnen voor ondersteuning bestaande programma's. In dit geval moet u expliciet de anoniem toevoegen Beveiligingsgroep aanmelden om de ACL's in de specifieke resources.

In sommige situaties, is het moeilijk om te bepalen welke bronnen op de computer is waarop Windows XP moet u anonieme toegang wilt verlenen. Mogelijk ook moeilijk te wijzigen van de machtigingen op alle van de nodige bronnen.

In deze gevallen moet u mogelijk de computer opnemen van de beveiliginsgroep anonieme aanmelding in Windows XP wordt uitgevoerd het Iedereen beveiligingsgroep. Ter ondersteuning van deze functionaliteit in Windows XP is een nieuwe registerwaardeEveryoneIncludesAnonymous. Deze waarde kan worden gebruikt om te schakelen tussen de standaard Windows XP gedrag (iedereen beveiligingsgroep anonieme aanmelding bevat geen beveiligingsgroep) en de Windows 2000-gedrag (iedereen beveiligingsgroep de beveiliginsgroep anonieme aanmelding bevat).

Wanneer het toegangstoken voor een anonieme gebruiker is ingebouwd, als deEveryoneIncludesAnonymousregisterwaarde is ingesteld op de waarde vanREG_DWORD 0X0, de lokale beveiligings autoriteit (LSA) van de computer die is met Windows XP de SID van de groep Iedereen niet opgenomen in beveiligingsgroep token voor de anonieme gebruiker toegang. Dit is de standaard instelling.

Als hetEveryoneIncludesAnonymousregisterwaarde is ingesteld op de waarde vanREG_DWORD 0X1, de LSA de SID van de groep Iedereen bevat beveiligingsgroep in het toegangstoken voor anonieme gebruikers.

Instellen van deEveryoneIncludesAnonymousregister waarde, een van de volgende methoden gebruiken.

BelangrijkDeze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, kunnen ernstige problemen optreden als u het register onjuist bewerkt. Zorg ervoor dat u deze zorgvuldig uitvoert stappen. Voor extra bescherming, back-up van het register voordat u aanbrengt wijzigingen. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over back-up en terugzetten van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
322756Back-up en terugzetten van het register in Windows
  • Instellen van deEveryoneIncludesAnonymousregisterwaarde met behulp van lokale beveiligingsinstellingen:
    1. Klik opStart, wijsProgramma's, wijsSysteembeheer, en klik vervolgens opLokaal beveiligingsbeleidofBeveiligingsbeleid voor domein(op domeincontrollers alleen).
    2. Klik opBeveiligingsinstellingen, dubbelklikt u opLokaal beleid, en klik vervolgens opBeveiligings opties.
    3. RechterPermissies voor Iedereen toepassen op anonieme gebruikers, en klik vervolgens opEigenschappen.
    4. Leden van de groep Iedereen anonieme gebruikers inschakelen beveiligingsgroep, klik opIngeschakeld. Om te voorkomen dat de opneming van de groep Iedereen beveiligings groep in SID token voor de anonieme gebruiker (de Windows XP-standaard), klikt u opUitgeschakeld.
  • De registerwaarde EveryoneIncludesAnonymous instellen Gebruik Register-Editor:
    1. Klik opStart, klik opUitvoeren, typeRegedit, en klik vervolgens opOK.
    2. Zoek en klik op de volgende registersleutel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. RechterEveryoneIncludesAnonymous, en klik vervolgens opWijzigen.
    4. Leden van de groep Iedereen anonieme gebruikers inschakelen beveiligings groep in hetWaarde gegevensvak, typ1. Om te voorkomen dat de opneming van Iedereen beveiligings SID in de anonieme gebruiker toegangstoken (de groep Windows XP-standaard), in deWaarde gegevensvak, typ0.
    5. Sluit Register-Editor.
OpmerkingDeze wijziging kan invloed hebben op de volgende Windows-technologieën: Com, Dcom, IIS, Message Queuing en andere technologie waarbij anonieme verificatie wordt vaak gebruikt.

Eigenschappen

Artikel ID: 278259 - Laatste beoordeling: zaterdag 26 februari 2011 - Wijziging: 2.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Trefwoorden: 
kbacl kbinfo kbmt KB278259 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:278259

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com