C�mo habilitar los recursos compartidos de sesi�n nula en un equipo con Windows 2000

Id. de art�culo: 289655 - Ver los productos a los que se aplica este art�culo

Este art�culo se public� anteriormente con el n�mero E289655

Resumen

En este art�culo se describe c�mo habilitar los recursos compartidos de sesi�n nula en un equipo que ejecuta Windows 2000.

M�s informaci�n

Cuando un programa o servicio se inicia mediante la cuenta de usuario Sistema, el programa o servicio inicia sesi�n con credenciales nulas. Si ese programa o servicio intentan tener acceso a un recurso de servidor Windows 2000 remoto, por ejemplo a un recurso compartido de archivos (con una sesi�n nula), es posible que la operaci�n no se pueda llevar a cabo si el recurso compartido de archivos no est� configurado como recurso compartido de sesi�n nula, o hay en vigor restricciones del Registro, los grupos o las directivas en el servidor que hospeda el recurso compartido de archivos.

Hay varias opciones de configuraci�n que gobiernan el acceso a una sesi�n nula en Windows 2000. Cuando configure recursos compartidos de sesi�n nula, primero debe habilitar expl�citamente el acceso a una sesi�n nula en los recursos compartidos o canalizaciones con nombre. Para ello, modifique el Registro de cada equipo del recurso remoto.

Advertencia
Si configura un recurso compartido de esta manera, no ser� seguro. Microsoft no recomienda que use esta configuraci�n si le importa la seguridad de las sesiones nulas..

Habilitar los recursos compartidos de sesi�n nula

Advertencia
Pueden producirse graves problemas si modifica incorrectamente el Registro mediante el Editor del Registro o con cualquier otro m�todo. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la soluci�n de esos problemas. Modifique el Registro bajo su responsabilidad.

Para habilitar el acceso de sesi�n nula, debe modificar el Registro en cada nodo del cl�ster:

Inicie el Editor del Registro (Regedt32.exe).
Busque la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\NullSessionShares
NOTA
NullSessionShares es un valor REG_MULTI_SZ.
En una l�nea nueva, en la clave NullSessionShares, escriba el nombre del recurso compartido al que desee tener acceso con una sesi�n nula (por ejemplo, public).
Si el programa usa canalizaciones con nombre y requiere compatibilidad con las sesiones nulas, busque la siguiente clave en el Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\NullSessionPipes
NOTA
NullSessionPipes es un valor REG_MULTI_SZ.

En una l�nea nueva, en la clave NullSessionPipes, escriba el nombre de la canalizaci�n a la que desee tener acceso con una sesi�n nula.
Busque la siguiente clave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
En el men� Edici�n, haga clic en Agregar valor y agregue el valor siguiente al Registro:
Nombre de valor: RestrictAnonymous
Tipo de datos: REG_DWORD
Valor: 0
Salga del Editor del Registro.
Reinicie el servidor.

Permitir el acceso an�nimo a los clientes que ejecutan Windows NT 4.0 (opcional)

Puede que tenga que ajustar los grupos y directivas de seguridad de Windows 2000 para permitir el acceso an�nimo desde los clientes de Microsoft Windows NT 4.0. Para ello, utilice uno de los m�todos siguientes:

Si us� el Asistente para instalaci�n de Active Directory con el fin de crear un dominio basado en Windows 2000 actualizando un servidor como controlador de dominio, habilite la opci�n Permitir a los servidores anteriores a Windows 2000 el acceso a Active Directory.

O bien
Si agrega un cliente basado en Windows NT 4.0 a un dominio que no haya sido ajustado para permitir el acceso de los servidores anteriores a Windows 2000, use el comando siguiente para ajustar la seguridad en el controlador de dominio de Windows 2000:
net localgroup "pre-windows 2000 compatible access" everyone /add
Cuando usa este comando, la seguridad se puede ver comprometida porque permite a los usuarios an�nimos leer la informaci�n de este dominio. Cuando ya no haya ning�n cliente basado en Windows NT 4.0 en el dominio, puede usar el comando siguiente para quitar el acceso anterior:
net localgroup "pre-windows 2000 compatible access" everyone /delete
NOTA
Tambi�n puede ejecutar los comandos net localgroup en un servidor miembro o independiente de Windows 2000 para permitir el acceso an�nimo localmente en ese servidor.

Para impedir conexiones con sesiones (nulas) an�nimas, establezca en No Access la directiva de seguridad Restricciones adicionales para conexiones an�nimas que se encuentra en Configuraci�n de Windows\Configuraci�n de seguridad\Directivas locales\Opciones de seguridad. Cuando lo hace, las conexiones de sesiones an�nimas (nulas) se impiden en los equipos en los que se aplica esta directiva.

Nota
Debe habilitar la cuenta de invitado para permitir a los usuarios an�nimos iniciar sesi�n. De forma predeterminada, esta cuenta est� deshabilitada.