Jak omezit vyhledávání izolované názvů v externích důvěryhodných doménách pomocí položky registru LsaLookupRestrictIsolatedNameLevel

Překlady článku Překlady článku
ID článku: 818024 - Produkty, které se vztahují k tomuto článku.
Důležité Tento článek obsahuje informace o úpravě registru. Ujistěte se před úpravami je nutné zálohovat registr. Ujistěte se, že jste jak registr obnovit v případě, že dojde k potížím. Další informace o zálohování, obnovení a úpravách registru získáte následujícím článku báze Microsoft Knowledge Base:
322756Zálohování a obnovení registru v systému Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Ve výchozím nastavení v systémech řady Microsoft Windows Server 2003 a v systémech řady Microsoft Windows 2000 Server po funkce LookupAccountName nebo LsaLookupNames funkce překládá názvy izolována identifikátory zabezpečení (SID), vzdálené volání procedur (RPC) je provedeny řadičů domény v externích důvěryhodných domén. (Izolované název je dvojznačný, bez domény kvalifikovaná uživatelského účtu). V situacích, kde má primární domény mnoho externí vztah důvěryhodnosti vztahy s ostatními doménami nebo kde jsou prováděny mnoho vyhledávání ve stejnou dobu může snížit výkon. V řadiči domény se může zobrazit využití zvýšené paměti a zvýšení využití PROCESORU.

Funkce LookupAccountName a LsaLookupNames funkce lze také volat pomocí skriptů nebo nástrojů, které upravit nastavení zabezpečení, názvy účtů, které musí být mapována na ID zabezpečení. Nástroje, které lze použít k úpravám nastavení zabezpečení patří Cacls.exe nástroje Xcacls.exe, dsacls.exe a SubInACL.exe.

Tento článek obsahuje informace o tom, jak upravovat registr tak, aby ovládací prvek, zda provádí vyhledávání izolované názvů v externích důvěryhodných domén v systému Windows Server 2003 a Windows 2000 Server.

Další informace

Funkce vyhledávání přijmout názvy, které používají následující formáty:
  • NetBIOSDomainName\ AccountName
  • DnsDomainName\ AccountName
  • (UPN) AccountNameNázev_účtu @ DnsDomainName
  • (Izolované) AccountName
Pro první tři název formátů v seznamu můžete funkce vyhledávání přímo cíl řadiči domény v příslušné doméně, protože obsahují tyto formáty název domény, která je autoritativní pro zaregistrovaný objekt zabezpečení.

Čtvrtý formát názvu (Izolovaná) AccountName, je dvojznačný. Funkce vyhledávání musí systematicky pokusí přeložit na SID provedením každé důvěryhodné domény vzdáleného volání PROCEDUR. Tato operace pro prostředích, kde existuje mnoho externích vztahů důvěryhodnosti, požadovat sériový výčtu důvěryhodných domén, které zahrnuje poskytnutí vzdáleného volání PROCEDUR na řadiči domény v každé doméně. V tomto scénáři výkonu sníží jako počet důvěryhodných domén zvyšuje.

Pokud skript nebo program se pokusí překládat názvy izolováno, může být výkon pomalé. Například tento potížím dochází, pokud skript nebo program je zkonfigurována ke spuštění při přihlášení. Problém může také dojít, pokud skript nebo program spustí mnoho klientů současně. V prostředích s mnoha externích důvěryhodných domén používající tyto programy můžete zakázat vyhledávání a rozlišení izolované jmen na identifikátorů SID u externích důvěryhodných domén.

Úpravy registru zakázat (nebo povolit) vyhledávání izolované názvů v externích důvěryhodných domén

Důležité Pokud používáte systém Windows 2000 Server, musíte nejprve nainstalujte opravu hotfix, která je popsáno v části "Windows 2000 Server oprava hotfix informace" dále v tomto článku, před použitím tohoto postupu.

Úpravy registru na ovládací prvek, zda je vyhledávací názvy izolované provedena v externích důvěryhodných doménách, vytvořte následující položku registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Pokud tato položka neexistuje nebo pokud je hodnota nastavena na hodnotu 0, se provádí vyhledávání izolované názvů v externích důvěryhodných doménách.
  • Je-li tato položka registru nastavena na hodnotu 1, vyhledávání izolované názvů neprovádí v externích důvěryhodných doménách.
Ve výchozím nastavení vyhledávání izolované názvů se provádí v externích důvěryhodných doménách, a položka
LsaLookupRestrictIsolatedNameLevel
není k dispozici v registru.

Vytvoření položky registru
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
a zakázat nebo povolit vyhledávání izolované názvů v externích důvěryhodných domén, postupujte následujícím způsobem.

Poznámka: Vytvoření této položky registru pouze v řadičích domény.

Upozornění Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.
  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz regedit a pak klepněte na tlačítko OK.
  3. Vyhledejte a klepněte na následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  4. V nabídce Úpravy přejděte na příkaz Nový a potom klepněte na příkaz Hodnota DWORD.
  5. Zadejte LsaLookupRestrictIsolatedNameLevel a stiskněte klávesu ENTER.
  6. V nabídce Úpravy klepněte na příkaz změnit.
  7. Jedním z níže uvedených v závislosti na situaci:
    • Chcete-li zakázat vyhledávání izolované názvů v externích důvěryhodných doménách, zadejte do pole Údaj hodnoty1.
    • Chcete-li povolit vyhledávání izolované názvů v externích důvěryhodných doménách, zadejte do pole Údaj hodnoty0.
  8. Klepněte na tlačítko OK a pak ukončete Editor registru.

Informace o opravě hotfix pro systém Windows 2000 Server

Podporovaná oprava hotfix k dispozici od společnosti Microsoft. Tato oprava hotfix je však určena pouze k odstranění problému popsaného v tomto článku. Tuto opravu hotfix použijte pouze v systémech, ve kterých dochází k tomuto konkrétnímu problému.

Pokud je oprava hotfix k dispozici ke stažení, je oddíl "K dispozici oprava Hotfix stahování" v horní části tohoto článku znalostní báze Knowledge Base. Pokud se nezobrazí v této části, podat žádost služby Microsoft a odbornou pomoc, můžete tuto opravu hotfix získat.

Poznámka: Pokud vyskytnout další problémy nebo řešení potíží je vyžadován, pravděpodobně budete muset vytvořit požadavek na samostatnou službu. Výdaje na podporu se obvykle týkají dalších otázek a problémů, které se netýkají této zvláštní opravy hotfix. Úplný seznam telefonních čísel služby Microsoft a podpora nebo vytvořit zvláštní požadavek na službu na následujícím webu společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=support
Poznámka: "K dispozici oprava Hotfix stahování" formulář zobrazí jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, je to, protože oprava hotfix není k dispozici pro daný jazyk.

Požadavky

Tato oprava hotfix vyžaduje systém Windows 2000 Service Pack 3 (SP3).

Požadavek na restartování

Bude nutné po instalaci této opravy hotfix restartovat počítač.

Informace o nahrazení opravy hotfix

Tato oprava hotfix nenahrazuje žádné další opravy hotfix.

Informace o souboru

Anglická verze této opravy hotfix má atributy souborů (nebo vyšší atributy souborů), jsou uvedeny v následující tabulce. Data a časy těchto souborů jsou uvedeny v koordinovaný světový čas (UTC). Při zobrazení informací o souboru, bude převedena na na místní čas. Rozdíl mezi místním časem a UTC časem kartě časové pásmo v položce datum a čas v Ovládacích panelech.
Date         Time   Version        Size     File name 
--------------------------------------------------------
25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 
25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 
25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 
25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 
25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 
25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 
25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 
25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 
20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 
20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 
25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 
25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 
20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 
25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 
25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 
25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 
25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 
20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 
25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

Vlastnosti

ID článku: 818024 - Poslední aktualizace: 15. dubna 2009 - Revize: 7.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
Klíčová slova: 
kbmt kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto KB818024 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:818024

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com