Como restringir a pesquisa de nomes isolados a domínios fidedignos externos no Windows Server

Traduções de Artigos Traduções de Artigos
Artigo: 818024 - Ver produtos para os quais este artigo se aplica.
Importante Este artigo contém informações sobre como modificar o registo. Certifique-se de que faça uma cópia de segurança do registo antes de o modificar. Certifique-se de que sabe como restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança, restaurar e modificar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756 Como efectuar cópias de segurança e restaurar o registo no Windows
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Por predefinição, quando a função deLookupAccountName ou a função LsaLookupNames resolve namesto isolado de identificadores de segurança (SIDs) no Windows Server, é efectuada uma chamada de procedimento remoto (RPC) para controladores de domínio em domínios fidedignos externos. (Um nome isolado é uma conta de utilizador ambíguo, não qualificado-domínio.) Em situações em que o domínio primário tem muitas relações de fidedignidade externa com outros domínios ou em que são efectuadas pesquisas muitas ao mesmo tempo, poderá diminuir o desempenho. Poderá ver a utilização de memória aumentado e um aumento de utilização da CPU no controlador de domínio.

Também podem ser chamados a função de LookupAccountName e a função de LsaLookupNamespor scripts ou ferramentas que editar definições de segurança. Aí, nomes de conta tem de ser mapeados para SID. Exemplos de ferramentas que pode utilizar para editar definições de segurança são Cacls.exe, Xcacls.exe, icacls, Dsacls.exe e Subinacl.exe.

Este artigo descreve como editar o registo para controlar se a pesquisa de nomes isolados é efectuada em domínios fidedignos externos no Windows Server.

Mais Informação

As funções de pesquisa aceitar nomes que utilizem os seguintes formatos:
  • NetBIOSDomainName\AccountName
  • NomeDomínioDNS\AccountName
  • (UPN) AccountName@NomeDomínioDNS
  • (Isolada) AccountName
Para os formatos de três nome primeiros na lista, as funções de pesquisa directa podem direccionar um controlador de domínio no domínio apropriado porque estes formatos de nome contém o domínio que seja autoritativo para o principal de segurança.

O formato de nome quarto, (isolada) AccountName, é ambíguo. As funções de pesquisa tem sistematicamente a tentar resolver o nome a um SID fazendo uma RPC a todos os domínios fidedignos. Para ambientes onde existem muitos fidedignidades externas, esta operação pode exigir uma enumeração série dos domínios fidedignos que envolve tomar um RPC para um controlador de domínio em cada domínio. Neste cenário, o desempenho diminui como o número de domínios fidedignos aumenta.

Se um script ou um programa tentar resolver um nome isolado, o desempenho poderá ser lento. Por exemplo, este problema poderá ocorrer se o script ou o programa está configurado para executar à hora de início de sessão. O problema também poderá ocorrer se o script ou o programa for executado num muitos clientes ao mesmo tempo. Em ambientes com muitos domínios fidedignos externos que utilizam esses programas, poderá pretender desactivar a pesquisa e a resolução de nomes isolados de SIDs para domínios fidedignos externos.

Editar o registo para desactivar (ou activar) a pesquisa de nomes isolados em domínios fidedignos externos

Importante Se estiver a executar o Windows 2000 Server, tem primeiro de instalar a correcção descrita na secção "Windows 2000 Server hotfix informações" deste artigo antes de poder utilizar este procedimento.

Para editar o registo para o controlo é efectuada a pesquisa de nomes isolados em domínios fidedignos externos, crie a seguinte entrada de registo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Se esta entrada não existir ou se o valor estiver definido como 0, pesquisa de nomes isolados é efectuada através de domínios fidedignos externos.
  • Se esta entrada de registo estiver definida como 1, a pesquisa para nomes isolados não é efectuada através de domínios fidedignos externos.
Por predefinição, pesquisa de nomes isolados é efectuada através de domínios fidedignos externos e o
LsaLookupRestrictIsolatedNameLevel
entrada não existir no registo.

Para criar o
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
entrada de registo e para desactivar ou activar a pesquisa de nomes isolados em domínios fidedignos externos, siga estes passos.

Nota Crie esta entrada de registo apenas em controladores de domínio.

Aviso Poderão ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Modificar o registo por sua conta e risco.
  1. Clique em Iniciare, em seguida, clique em Executar.
  2. Na caixa Abrir , escreva Regedite, em seguida, clique em OK.
  3. Localize e, em seguida, clique na seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  4. No menu Editar , aponte para Novoe, em seguida, clique em Valor DWORD.
  5. Tipo LsaLookupRestrictIsolatedNameLevel, e, em seguida, prima ENTER.
  6. No menu Editar , clique em Modificar.
  7. Efectue um dos seguintes procedimentos, dependendo da situação:
    • Para desactivar a pesquisa de nomes isolados em domínios fidedignos externos, escreva 1 na caixa dados do valor .
    • Para activar a pesquisa de nomes isolados em domínios fidedignos externos, escreva 0 na caixa dados do valor .
  8. Clique em OKe, em seguida, saia do Editor de registo.

Informações de correcções do Windows 2000 Server

Existe uma correcção suportada da Microsoft. No entanto, esta correcção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.

Se a correcção está disponível para transferência, existe uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentado, submeta um pedido para suporte e serviço de cliente Microsoft para obter a correcção.

Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correcção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Esta correcção requer o Microsoft Windows 2000 Service Pack 3 (SP3).

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações de ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora Universal Coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário no item data e hora no painel de controlo.
Date         Time   Version        Size     File name 
--------------------------------------------------------
25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 
25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 
25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 
25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 
25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 
25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 
25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 
25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 
20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 
20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 
25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 
25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 
20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 
25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 
25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 
25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 
25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 
20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 
25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

Propriedades

Artigo: 818024 - Última revisão: 9 de janeiro de 2014 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Palavras-chave: 
kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 818024

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com