Cómo habilitar los recursos compartidos de sesión nula en un equipo con Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 289655 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E289655
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo habilitar los recursos compartidos de sesión nula en un equipo que ejecuta Windows 2000.

Más información

Cuando un programa o servicio se inicia mediante la cuenta de usuario Sistema, el programa o servicio inicia sesión con credenciales nulas. Si ese programa o servicio intentan tener acceso a un recurso de servidor Windows 2000 remoto, por ejemplo a un recurso compartido de archivos (con una sesión nula), es posible que la operación no se pueda llevar a cabo si el recurso compartido de archivos no está configurado como recurso compartido de sesión nula, o hay en vigor restricciones del Registro, los grupos o las directivas en el servidor que hospeda el recurso compartido de archivos.

Hay varias opciones de configuración que gobiernan el acceso a una sesión nula en Windows 2000. Cuando configure recursos compartidos de sesión nula, primero debe habilitar explícitamente el acceso a una sesión nula en los recursos compartidos o canalizaciones con nombre. Para ello, modifique el Registro de cada equipo del recurso remoto.

Advertencia
Si configura un recurso compartido de esta manera, no será seguro. Microsoft no recomienda que use esta configuración si le importa la seguridad de las sesiones nulas..

Habilitar los recursos compartidos de sesión nula

Advertencia
Pueden producirse graves problemas si modifica incorrectamente el Registro mediante el Editor del Registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

Para habilitar el acceso de sesión nula, debe modificar el Registro en cada nodo del clúster:
  1. Inicie el Editor del Registro (Regedt32.exe).
  2. Busque la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\NullSessionShares
    NOTA
    NullSessionShares es un valor REG_MULTI_SZ.

  3. En una línea nueva, en la clave NullSessionShares, escriba el nombre del recurso compartido al que desee tener acceso con una sesión nula (por ejemplo, public).
  4. Si el programa usa canalizaciones con nombre y requiere compatibilidad con las sesiones nulas, busque la siguiente clave en el Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\NullSessionPipes
    NOTA
    NullSessionPipes es un valor REG_MULTI_SZ.

    En una línea nueva, en la clave NullSessionPipes, escriba el nombre de la canalización a la que desee tener acceso con una sesión nula.
  5. Busque la siguiente clave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  6. En el menú Edición, haga clic en Agregar valor y agregue el valor siguiente al Registro:
    Nombre de valor: RestrictAnonymous
    Tipo de datos: REG_DWORD
    Valor: 0
  7. Salga del Editor del Registro.
  8. Reinicie el servidor.

Permitir el acceso anónimo a los clientes que ejecutan Windows NT 4.0 (opcional)

Puede que tenga que ajustar los grupos y directivas de seguridad de Windows 2000 para permitir el acceso anónimo desde los clientes de Microsoft Windows NT 4.0. Para ello, utilice uno de los métodos siguientes:
  • Si usó el Asistente para instalación de Active Directory con el fin de crear un dominio basado en Windows 2000 actualizando un servidor como controlador de dominio, habilite la opción Permitir a los servidores anteriores a Windows 2000 el acceso a Active Directory.

    O bien
  • Si agrega un cliente basado en Windows NT 4.0 a un dominio que no haya sido ajustado para permitir el acceso de los servidores anteriores a Windows 2000, use el comando siguiente para ajustar la seguridad en el controlador de dominio de Windows 2000:
    net localgroup "pre-windows 2000 compatible access" everyone /add
    Cuando usa este comando, la seguridad se puede ver comprometida porque permite a los usuarios anónimos leer la información de este dominio. Cuando ya no haya ningún cliente basado en Windows NT 4.0 en el dominio, puede usar el comando siguiente para quitar el acceso anterior:
    net localgroup "pre-windows 2000 compatible access" everyone /delete
    NOTA
    También puede ejecutar los comandos net localgroup en un servidor miembro o independiente de Windows 2000 para permitir el acceso anónimo localmente en ese servidor.
Para impedir conexiones con sesiones (nulas) anónimas, establezca en No Access la directiva de seguridad Restricciones adicionales para conexiones anónimas que se encuentra en Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad. Cuando lo hace, las conexiones de sesiones anónimas (nulas) se impiden en los equipos en los que se aplica esta directiva.

Nota
Debe habilitar la cuenta de invitado para permitir a los usuarios anónimos iniciar sesión. De forma predeterminada, esta cuenta está deshabilitada.

Referencias

Para obtener más información al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
132679 Cuenta del sistema local y sesiones nulas en Windows NT

Propiedades

Id. de artículo: 289655 - Última revisión: miércoles, 23 de agosto de 2006 - Versión: 6.0
La información de este artículo se refiere a:
  • Service Pack 1 de Microsoft Windows 2000
  • Microsoft Windows 2000 Advanced Server
  • Service Pack 1 de Microsoft Windows 2000
Palabras clave: 
kbhowtomaster kbenv KB289655

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com