Ограничение поиска изолированных имен во внешних доверенных доменах с помощью параметра реестра LsaLookupRestrictIsolatedNameLevel

Переводы статьи Переводы статьи
Код статьи: 818024 - Vizualiza?i produsele pentru care se aplic? acest articol.
Существенный:Статья содержит сведения об изменении реестра. Убедитесь в наличии резервной копии реестра перед внесением изменений.. и изучить процедуру его восстановления.. Для получения дополнительных сведений о способах резервного копирования, восстановления и внесения изменений в реестр, обратитесь к следующей статье Microsoft Knowledge Base::
322756Создание резервных копий и восстановление реестра Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

По умолчанию в операционных системах семейства Microsoft Windows Server 2003 и в операционных системах семейства Microsoft Windows 2000 Server когдаLookupAccountNameфункция илиLsaLookupNamesРазрешает функциюизолированные именадля идентификаторов безопасности (SID) производится вызов удаленных процедур (RPC) контроллеров домена на внешних доверенных доменов. (Изолированное имя является неоднозначным, поскольку домен неполное пользователя учетной записи). В ситуациях, где основной домен имеет несколько внешних доверительных отношений с другими доменами или когда выполняются многие просмотров в то же время производительность может снизиться. Увеличение памяти и повышение загрузки ЦП может появиться на контроллере домена.

надписьюLookupAccountNameфункция иLsaLookupNamesфункция также называется сценарии или средства, изменение параметров безопасности, где имена учетных записей должны быть сопоставлены идентификаторы безопасности. Средства, которые можно использовать для изменения параметров безопасности относятся Cacls.exe, Xcacls.exe, DSACLS.exe и Subinacl.exe.

Статья содержит сведения о том, как изменить реестр для управления ли при выполнении поиска изолированных имен внешних доверенных доменов в Windows Server 2003 и Windows 2000 Server.

Дополнительная информация

Функции просмотра принимают имена, которые используют следующие форматы:
  • NetBIOSDomainName\Имя учетной записи
  • имя_домена_dns\Имя учетной записи
  • (UPN)Имя учетной записи@имя_домена_dns
  • (Isolated)Имя учетной записи
For the first three name formats in the list, the lookup functions can directly target a domain controller on the appropriate domain because these name formats contain the domain that is authoritative for the security principal.

The fourth name format, (Isolated)Имя учетной записи, is ambiguous. The lookup functions must systematically try to resolve the name to an SID by making an RPC to every trusted domain. For environments where many external trusts exist, this operation may require a serial enumeration of the trusted domains that involves making an RPC to a domain controller on each domain. In this scenario, performance decreases as the number of trusted domains increases.

If a script or a program tries to resolve an isolated name, performance may be slow. For example, this problem may occur if the script or the program is configured to run at logon time. The problem may also occur if the script or the program runs on many clients at the same time. In environments with many external trusted domains that use such programs, you may want to disable the lookup and resolution of isolated names to SIDs for external trusted domains.

Edit the registry to disable (or enable) the lookup of isolated names in external trusted domains

Существенный:If you are running Windows 2000 Server, you have to first install the hotfix that is described in the "Windows 2000 Server hotfix information" section later in this article before you can use this procedure.

To edit the registry to control whether lookup of isolated names is performed in external trusted domains, create the following registry entry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • If this entry does not exist, or if the value is set to 0, lookup for isolated names is performed across external trusted domains.
  • If this registry entry is set to 1, lookup for isolated names is not performed across external trusted domains.
By default, lookup for isolated names is performed across external trusted domains, and the
LsaLookupRestrictIsolatedNameLevel
entry is not present in the registry.

Для создания
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
registry entry and to disable or to enable the lookup of isolated names in external trusted domains, follow these steps.

Примечание.Create this registry entry only on domain controllers.

ПредупреждениеНеправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок.. Эти проблемы могут привести к необходимости переустановки операционной системы.. Корпорация Майкрософт не гарантирует, что эти проблемы можно будет устранить.. Изменения в реестр вы вносите на свой страх и риск..
  1. затем –START ::и выберите командуВыполнить.
  2. В диалоговом окнеOPENполе типаregeditи выберите командуOk..
  3. Locate, and then click the following registry subkey:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  4. в менюВ файлеВыберите пункт менюСОЗДАТЬ.и выберите командуПараметр DWORD.
  5. TYPE :LsaLookupRestrictIsolatedNameLevelи нажмите клавишу ВВОД..
  6. в менюВ файлевыберите пунктModify.
  7. Do one of the following, depending on your situation:
    • To disable the lookup of isolated names in external trusted domains, type1В диалоговом окнеЗначениеполе.
    • To enable the lookup of isolated names in external trusted domains, type0В диалоговом окнеЗначениеполе.
  8. затем –Ok., а затем закройте редактор реестра.

Windows 2000 Server hotfix information

Вам доступно исправление от корпорации Майкрософт.. Это исправление предназначено для устранения проблемы, описанной в этой статье.. Его необходимо применять только в тех системах, в которых наблюдается данная проблема..

Если исправление доступно для загрузки, имеется раздел «Доступные загрузки» в верхней части этой статьи базы знаний.. Если этого раздела нет, отправьте запрос на получение исправления в службу поддержки клиентов корпорации Майкрософт..

Примечание.Другие проблемы или если требуется устранить неполадки, возможно, потребуется создать отдельный запрос. Дополнительные услуги по технической поддержке, не связанные с данным исправлением, оплачиваются вами дополнительно.. Полный список телефонов поддержки и обслуживания клиентов Microsoft или информацию по созданию отдельного запроса на обслуживание вы можете найти на веб-сайте Майкрософт::
http://support.microsoft.com/contactus/?ws=support
Примечание.В форме "Исправление доступно для загрузки" отображаются языки, для которых доступно исправление. Если язык не отображается, это значит, что исправление не доступно для данного языка..

Предвартельные требования

This hotfix requires Microsoft Windows 2000 Service Pack 3 (SP3).

Необходимость перезагрузки

You have to restart the computer after you apply this hotfix.

Сведения о заменяемых исправлениях

Это исправление не заменяет других исправлений..

СВЕДЕНИЯ О ФАЙЛАХ

Английская версия исправления содержит версии файлов, приведенные в следующей таблице (или более поздние).. Дата и время для файлов указаны во всеобщем скоординированном времени (UTC).. При просмотре сведений о файле, время изменяется на местное.. Чтобы узнать разницу между временем по Гринвичу и местным временем,Часовой поясна вкладкеДата и времяэлемент панели управления.
Date         Time   Version        Size     File name 
--------------------------------------------------------
25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 
25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 
25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 
25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 
25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 
25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 
25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 
25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 
20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 
20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 
25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 
25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 
20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 
25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 
25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 
25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 
25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 
20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 
25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

Свойства

Код статьи: 818024 - Последний отзыв: 25 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
Ключевые слова: 
kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:818024

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com