Everyone grubunun anonim güvenlik tanımlayıcısı içerir

Makale çevirileri Makale çevirileri
Makale numarası: 278259 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Microsoft Windows XP ve Microsoft Windows Server 2003, Everyone grubu güvenlik kimliği (SID) içermiyor "Anonim" Bu nedenle, kullanıcılar veya anonim olarak, bir nesneye erişilmeye çalışıldı hizmetlerin listesi (ACL) nesne üzerindeki erişimlerini denetlemek için access, Everyone grubu içerir verilen değil. Anonim erişim, yalnızca, ACL, açıkça anonim SıD'SI içeren nesneleri için verilir.

Daha fazla bilgi

Windows çalıştıran bilgisayarlarda, ACL ve Sıd kaynaklara erişimi kontrol eder. Her kaynak için tüm kullanıcılar ve gruplar, verilen veya kaynağa erişim engellendi, Sıd içeren bir ACL vardır.

Windows, etkileşimli olarak veya bir ağ üzerinden çalışan bir bilgisayarda, kullanıcı oturum açtığında, bunların Sıd'lerini, kullanıcı hesaplarını ve kullanıcı hesabının üyesi olduğu tüm güvenlik grupları içeren bir erişim belirtecine verilir. Windows, kullanıcı bir kaynağa erişmeye çalıştığında, Sıd kullanıcının erişim simgesindeki kaynağın ACL içindeki karşı denetler. Sıd ile eşleşirse, kullanıcı ACL belirtilen kaynağa erişim izni verilir. Sıd ile eşleşmiyorsa, kullanıcı erişim engellendi.

Anonim kullanıcıların (kullanıcı veya bir null kullanıcı hesap adı, etki alanı ve parola kullanarak, bir ağ bağlantısı üzerinden kaynaklara erişmelerine Hizmetleri), Anonymous Logon yerleşik güvenlik grubuna otomatik olarak eklenir. Windows'un önceki sürümlerinde, Anonymous Logon güvenlik grubunun üyeleri, kaynaklara erişmek arayamayacaktır. Yöneticiler, Anonymous Logon güvenlik grubunun üyeleri Everyone olarak içerdiği algılamayan, bazı durumlarda, güvenlik grubunun anonim kullanıcılar yalnızca hedeflenen kaynaklarına kimliği doğrulanmış kullanıcılar için erişim verilmesi.

Windows XP ve sonraki sürümlerinde, Anonymous Logon güvenlik grubunu Everyone kaldırılmıştır güvenlik grubu. Bu değişiklik, varsayılan olarak anonim kullanıcılar için kullanılabilir ağ kaynaklarının sayısını sınırlamak için ve ağ yöneticileri anonim kullanıcı erişimi denetimi basitleştirmek için yardımcı olur. Everyone grubu artık anonim kullanıcılar içerdiğinden, aşağıdaki nedenlerle güvenli bir sistemi yapılandırmak, yöneticiler için kolaydır:
  • Windows'un önceki sürümlerinde varsayılan ACL'lerin (özellikle Windows NT 4.0), Everyone güvenlik kaynaklarına erişmek için Grup ve olası saldırı için <a0></a0>, sitenin karşı karşıya etkinleştirmek bilgisayarı Windows XP'ye yükseltildikten sonra anonim kullanıcılara erişim izni vermeyin.
  • Anonim kullanıcılar, yönetici, uyumlu olan kaynaklara erişimi verilir.
  • Anonim kullanıcıların açıkça açıkça adlandırılmış Anonymous Logon güvenlik grubu aracılığıyla belirli kaynaklara erişim hakkı verilebilir.
Not Bu güvenlik geliştirmesi varsa, yalnızca Windows XP çalışan bilgisayarlarda veya sonraki bir sürümü var. Bu nedenle, Windows XP çalıştıran bir bilgisayarda barındırılan ya da daha yeni olan kaynaklara erişmeye çalıştığınız yalnızca anonim kullanıcıları etkiler.

Uygulama

Bu güvenlik geliştirmesi uygulamak için <a0></a0>, anonim kullanıcılar için oluşturulan erişim belirteci içeriğini değiştirmeniz gerekir. Windows'un önceki sürümlerinde, anonim kullanıcıların erişim belirteci için Sıd içeriyordu:
  • Everyone güvenlik grubu
  • Anonymous Logon güvenlik grubunu
  • Oturum açma türü (genellikle ağ)
Windows XP ve sonraki sürümlerinde, Everyone güvenlik grubunun anonim kullanıcıların erişim belirteci'ndan kaldırılmıştır. Bu nedenle, anonim kullanıcıların erişim belirteci için Sıd'leri içerir:
  • ANONYMOUS LOGON (ANONİM OTURUM)
  • Oturum açma türü (genellikle ağ)
Anonim bir kullanıcı, Windows XP çalıştıran bir bilgisayarda bir kaynağa erişmeye veya daha sonra anonim kullanıcı izinleri veya Everyone için kullanılabilen bir grup üyeliklerini atanmadığı güvenlik grubu. SID için Everyone güvenlik grubunun anonim kullanıcı erişim belirteci yok.

Windows'un önceki sürümleriyle uyumluluk

Windows 2000 işletim sisteminin önceki sürümlerinde çalışan hizmetler için gerekli olan Active Directory nesnelerine bazı anonim kullanıcıların erişim güvenlik ayarları önerilen sıkı güvenlik ayarlarını değiştirmek için bir düzenek kullanılmaya başlandı. Windows XP'deki güvenlik geliştirmesi nedeniyle, Windows 2000 mekanizması çalışma biçimini küçük bir değişiklik yok.

Windows 2000, Windows NT 4.0 ve önceki bir işletim sistemi sürümlerinde kullanılabilir olan güvenlik ayarları'den daha katı varsayılan güvenlik ayarları kullanılmaya başlandı. Belirli bir etki alanı verileri anonim erişim gerektiren hizmetleri ile uyumlu için <a0></a0>, Windows 2000 (geriye dönük uyumluluk gerekli olmadığında tercih edilen yapılandırma) yüksek güvenlik ayarları arasında geçiş yapmak için bir yol sağlanan Windows NT 4.0 ve Windows'un önceki sürümlerini çalıştıran sistemleri tarafından gerekli gibi anonim kullanıcıların erişim geriye dönük olarak uyumlu güvenlik ayarlarına.

Windows 2000'de kullanılmaya başlanmasından, Pre-Windows 2000 Compatible Access güvenlik grubuna, bu güvenlik seçeneği denetler. Geriye dönük uyumluluk Everyone hale getirerek Windows 2000 çalıştıran bilgisayarlarda elde edilen güvenlik grubunu Pre-Windows 2000 Compatible Access güvenlik grubunun bir üyesi. Pre-Windows 2000 Compatible Access grubuna tüm üyelerini kaldırarak, yüksek güvenlik ayarlarını yapılandırmak arayamayacaktır.

Windows Server 2003 etki alanı denetleyicilerinde, Herkes grubu artık Anonymous Logon içermemektedir. Bu nedenle, geriye dönük uyumlu ayarları gerektiren her iki Everyone ve Anonymous Logon güvenlik gruplarının Pre-Windows 2000 Compatible Access grubunun bir üyesidir. Bu gereksinimi karşılamak için <a0></a0>, aşağıdaki yöntemlerden birini kullanın:
  • Windows Server 2003 etki alanı denetleyicisine Active Directory Yükseltme Sihirbazı'nı kullanarak çalıştıran bir bilgisayara yükseltme (Dcpromo.exe), Anonymous Logon ve Everyone eklemek için Windows 2000 sunucularıyla uyumlu izinler ' i güvenlik gruplarının Pre-Windows 2000 Compatible Access güvenlik grubuna.
  • Bir Windows 2000 tabanlı etki alanı denetleyicisini Windows Server 2003'e yükseltiyorsanız, Anonymous Logon güvenlik grubunu, yükseltme sırasında Pre-Windows 2000 Compatible Access güvenlik grubuna eklenir. Böyle, Everyone güvenlik grubu zaten (geriye dönük uyumluluk ayarlarını gösteren) Pre-Windows 2000 Compatible Access güvenlik grubunun üyesidir.
Active Directory Kullanıcıları kullanarak Pre-Windows 2000 Compatible Access güvenlik grubunun üyeliği güncelleştirme tarafından Active Directory nesnelerinde geriye dönük uyumlu ve yüksek güvenlik ayarları arasında el ile geçiş yapabilirsiniz ve Bilgisayarları ek bileşeni.

Windows 2000 ile çalışan programları ile uyumluluğu

Ne zaman Windows 2000 Kaynak için Everyone grubunun (ve açıkça Anonymous Logon grubu) artık yükseltmeden sonra anonim kullanıcılar tarafından kullanılabilir erişim ACL'lerini Windows XP'ye yükseltme. Çoğu durumda, anonim erişimi uygun bir kısıtlama budur. Ancak, önceden varolan programları desteklemek için bu kaynak için anonim erişime izin vermek gereksinim duyabilirsiniz. Bu durumda, Anonymous Logon güvenlik grubunu Belirli kaynaklardaki ACL'lerin için açıkça eklemelisiniz.

Bazı durumlarda, hangi kaynak için anonim erişimi vermelisiniz bir Windows XP çalıştıran bilgisayarda belirlemek zor olabilir. Ayrıca tüm gerekli kaynaklar üzerindeki izinleri değiştirmek güç olabilir.

Bu durumda, Anonymous Logon güvenlik grubunu Everyone eklemek için Windows XP çalıştıran bilgisayarda zorlamak gerekebilir güvenlik grubu. Bu işlevleri desteklemek için <a0></a0>, Windows XP, yeni bir kayıt defteri değeri Everyoneıncludesanonymous tanıtır. Bu değer varsayılan Windows XP arasında geçiş yapmak için kullanılan davranış (Everyone güvenlik grubuna Anonymous Logon içermemektedir güvenlik grubu) ve Windows 2000 davranışı (Everyone güvenlik grubuna Anonymous Logon güvenlik grubunu içeren).

Windows XP çalıştıran bir bilgisayarın yerel güvenlik yetkilisi (LSA) için bir anonim kullanıcı erişim belirteci oluşturulduğunda Everyoneıncludesanonymous kayıt değerini, REG_DWORD 0x0 değerine ayarlanmışsa, Everyone SıD'SI içermez güvenlik grubunun anonim kullanıcı erişim belirteci. Bu, varsayılan ayardır.

LSA, Everyoneıncludesanonymous kayıt değerini, REG_DWORD 0x1 değerine ayarlı ise, Everyone SıD'SI içeren güvenlik grubunun anonim kullanıcı erişim belirteci.

Everyoneıncludesanonymous kayıt değerini ayarlamak için <a0></a0>, aşağıdaki yöntemlerden birini kullanın.

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl söyleyin adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756Windows'da kayıt defterini yedekleme ve geri yükleme
  • Yerel güvenlik ayarlarını kullanarak Everyoneıncludesanonymous kayıt defteri değerini ayarlamak için <a0></a0>:
    1. Başlat ' ı tıklatın, Programlar ' ın üzerine gelin, Yönetimsel Araçlar ' ın üzerine gelin ve sonra (yalnızca etki alanı denetleyicileri üzerinde) veya Yerel güvenlik ilkesi, hem de Etki alanı güvenlik ilkesi ' ni tıklatın.
    2. Güvenlik ayarları ' nı tıklatın, Yerel ilkeler ' ı çift tıklatın ve sonra da Güvenlik seçenekleri ' ni tıklatın.
    3. Everyone izinlerinin anonim kullanıcılara uygulanan ' ı sağ tıklatın ve sonra da Properties ' i tıklatın.
    4. Anonim kullanıcıların Everyone üyeleri etkinleştirmek için güvenlik grubu için Etkin'i tıklatın. Güvenlik grubu SID Everyone girilmesini önlemek için anonim kullanıcı erişim belirteci (Windows XP varsayılan), devre dışı ' nı tıklatın.
  • Kayıt Defteri Düzenleyicisi'ni kullanarak Everyoneıncludesanonymous kayıt değerini ayarlamak için <a0></a0>:
    1. Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, regedit yazın ve Tamam ' ı tıklatın.
    2. Aşağıdaki kayıt defteri anahtarını bulup tıklatın:
      Hkey_local_machıne\system\currentcontrolset\control\lsa
    3. Everyoneıncludesanonymous ' ı sağ tıklatın ve sonra Değiştir ' i tıklatın.
    4. Anonim kullanıcıların Everyone üyeleri etkinleştirmek için güvenlik grubuna, Değer verisi kutusuna 1 yazın. Everyone girilmesini önlemek için güvenlik Grup SıD'SI anonim kullanıcı erişim belirteci (Windows XP varsayılan), Değer verisi kutusuna türü 0.
    5. Kayıt Defteri Düzenleyicisi'nden çıkın.
Not Bu değişiklik, aşağıdaki Windows tabanlı teknolojileri etkileyebilir: COM, DCOM, IIS, Message Queuing ve anonim kimlik doğrulaması sık kullanılan diğer teknolojisi.

Özellikler

Makale numarası: 278259 - Last Review: 22 Şubat 2007 Perşembe - Gözden geçirme: 4.5
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Anahtar Kelimeler: 
kbmt kbacl kbinfo KB278259 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:278259

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com