العميل والخدمة والبرنامج قضايا يمكن أن يحدث إذا قمت بتغيير إعدادات الأمان وتعيينات حقوق المستخدم

ينطبق على: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)

ملخص


يمكن تغيير إعدادات الأمان وتعيينات حقوق المستخدم في النهج المحلية ونهج المجموعات تضييق نطاق الأمان على أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال. الجانب السلبي لزيادة الأمن غير المقدمة لعدم التوافق مع العملاء والخدمات والبرامج.

توضح هذه المقالة أوجه التعارض التي يمكن أن تحدث على أجهزة الكمبيوتر العميلة التي تقوم بتشغيل Windows XP أو إصدار سابق من Windows، عندما تقوم بتغيير إعدادات أمان محددة وتعيينات حقوق المستخدم في مجال Windows Server 2003 أو الإصدارات سابقة من Windows مجال الملقم.

لمزيد من المعلومات حول نهج المجموعة لنظام التشغيل Windows 7 ونظام التشغيل Windows Server 2008 R2 Windows Server 2008، راجع المقالات التالية:ملاحظة: Windows والإصدارات السابقة من Windows Server 2003 أو Windows XPالمحتوى المتبقي في هذه المقالة خاصة بنظام التشغيل

Windows XP

لزيادة الوعي بإعدادات أمان صحيح، استخدم أداة محرر كائن نهج المجموعة لتغيير إعدادات الأمان. عند استخدام "محرر كائن نهج المجموعة"، يتم تحسين تعيينات حقوق المستخدم على أنظمة التشغيل التالية:
  • Windows XP احترافي Service Pack 2 (SP2)
  • Windows Server 2003 Service Pack 1 (SP1)
الميزة المحسنة هو مربع حوار يحتوي على ارتباط إلى هذه المقالة. يظهر مربع الحوار عند تغيير إعداد أمان أو تعيين حقوق مستخدم إلى إعداد يوفر توافق أقل وأكثر تقييداً. في حالة تغيير نفس الأمن الإعداد أو تعيين حقوق المستخدم مباشرة أو باستخدام قوالب الأمان باستخدام التسجيل، التأثير يماثل تغيير الإعداد في محرر كائن نهج المجموعة. ومع ذلك، لا يظهر مربع الحوار الذي يحتوي على الارتباط بهذه المقالة.

تحتوي هذه المقالة على أمثلة للعملاء والبرامج والعمليات التي تتأثر بتعيينات حقوق المستخدم أو إعدادات أمان محددة. غير أن الأمثلة غير مخول لكافة أنظمة التشغيل Microsoft لكافة أنظمة التشغيل الغير أو كافة إصدارات البرامج المتأثرة. ليست كافة إعدادات الأمان وتعيينات حقوق المستخدم المضمنة في هذه المقالة.

من المستحسن التحقق من التوافق لكافة تغييرات التكوين المتعلقة بالأمان في مجموعة اختبار قبل إدخالها في بيئة إنتاج. ويجب أن يعكس الغابة اختبار الغابة الإنتاج بالطرق التالية:
  • إصدارات نظام تشغيل الملقم والعميل، برامج الملقم والعميل، وإصدارات حزم الخدمة، الإصلاحات العاجلة وتغييرات المخطط، مجموعات الأمان، عضويات المجموعة وأذونات الكائنات الموجودة في نظام الملفات والمجلدات المشتركة، التسجيل والدليل Active directory حساب الخدمة المحلية وإعدادات "نهج المجموعة" وكائن النوع والموقع
  • المهام الإدارية التي يتم تنفيذها والأدوات الإدارية التي تستخدم أنظمة التشغيل التي يتم استخدامها لتنفيذ المهام الإدارية
  • العمليات التي يتم تنفيذها كالتالي:
    • مصادقة تسجيل دخول المستخدم والكمبيوتر
    • إعادة تعيين كلمة المرور بالمستخدمين، عن طريق أجهزة الكمبيوتر، والمسؤولين
    • استعراض
    • تعيين الأذونات لنظام الملفات، للمجلدات المشتركة، للتسجيل ولموارد Active Directory باستخدام محرر ACL في كافة أنظمة التشغيل العميلة في كافة المجالات الحساب أو الموارد من أنظمة تشغيل الأجهزة العميلة من كل حساب أو مورد المجالات
    • الطباعة من الحسابات الإدارية والاعتيادية

Windows Server 2003 SP1

تحذيرات في Gpedit.msc

للمساعدة في جعل العملاء على علم بأن تحرير حق مستخدم أو خيار الأمان يمكن أن يؤثر بشكل يؤثر على الشبكة، سيرون أضيفت gpedit.msc. عند تحرير المسؤولين حق مستخدم الذي يمكن أن يؤثر على المؤسسة الكامل، سيرون رمزاً جديداً يشبه علامة أفسح طريق. كما سيتلقون أيضا رسالة تحذير لها ارتباط بالمقالة قاعدة معارف Microsoft رقم 823659. يكون نص هذه الرسالة كما يلي:
قد يؤثر تعديل هذا الإعداد على التوافق مع العملاء والخدمات والتطبيقات. لمزيد من المعلومات، راجع < المستخدم خيار الأمان أو حق تعديل > (Q823659)
إذا تم توجيهك إلى هذه المقالة في قاعدة معارف من ارتباط في Gpedit.msc، تأكد من أن قراءة وفهم التفسير المتوفر والتأثير المحتمل لتغيير هذا الإعداد. وفيما يلي سرد "حقوق المستخدم" التي تحتوي على نص التحذير:
  • الوصول إلى هذا الكمبيوتر من شبكة الاتصال
  • تسجيل الدخول محلياً
  • تجاوز التدقيق الانتقالي
  • تمكين أجهزة الكمبيوتر والمستخدمين للتفويض الموثوق به
وفيما يلي سرد "خيارات الأمان" التي تشتمل على تحذير ورسالة منبثقة:
  • عضو المجال: رقمياً تشفير أو توقيع بيانات قناة مؤمنة (دوماً)
  • عضو المجال: يتطلب قوي (Windows 2000 أو إصدار أحدث) مفتاح جلسة العمل
  • وحدة التحكم بالمجال: متطلبات توقيع ملقم LDAP
  • ملقم شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)
  • الوصول إلى شبكة الاتصال: السماح Sid مجهول/ترجمة الاسم
  • الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات ومشاركات
  • أمان شبكة الاتصال: مستوى مصادقة إدارة LAN
  • تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان
  • الوصول إلى الشبكة: متطلبات توقيع عميل LDAP

مزيد من المعلومات


تصف المقاطع التالية أوجه التعارض التي يمكن أن تحدث عندما تقوم بتغيير إعدادات معينة في مجالات Windows NT 4.0 ومجالات Windows 2000 ومجالات Windows Server 2003.

حقوق المستخدم

القائمة التالية تصف حق مستخدم، تعريف إعدادات التكوين التي قد تسبب المشاكل، يصف لماذا يجب تطبيق حق المستخدم و لماذا قد تحتاج إلى إزالة حق المستخدم، ويوفر أمثلة على مشكلات التوافق التي قد تحدث عند المستخدم يتم تكوين اليمين.
  1. الوصول إلى هذا الكمبيوتر من شبكة الاتصال
    1. معلومات أساسية

      القدرة على التفاعل مع أجهزة الكمبيوتر المستندة إلى Windows عن بعد يتطلب حق المستخدم الوصول إلى هذا الكمبيوتر من شبكة الاتصال . تتضمن أمثلة على تلك العمليات الخاصة بالشبكة ما يلي:
      • النسخ المتماثل ل "Active Directory" بين وحدات تحكم المجال في مجال أم أو مجال عام
      • طلبات مصادقة لوحدات التحكم بالمجال من مستخدمين ومن أجهزة الكمبيوتر
      • الوصول إلى المجلدات والطابعات وخدمات الأنظمة الأخرى الموجودة على أجهزة الكمبيوتر البعيدة على الشبكة


      المستخدمون وأجهزة الكمبيوتر وحسابات الخدمة على حق أو تفقد حق المستخدم الوصول إلى هذا الكمبيوتر من شبكة الاتصال التي يتم بشكل صريح أو ضمني إضافتها أو إزالتها من مجموعة أمان تم منح حق المستخدم هذا. على سبيل المثال، مصادقة حساب مستخدم أو حساب كمبيوتر قد صراحة تضاف إلى مجموعة أمان مخصصة أو مجموعة أمان مضمنة بمسؤول، أو قد ضمنياً إضافة حسب نظام التشغيل إلى مجموعة أمان محسوبة مثل "مستخدمي المجال"، المستخدمين، أو وحدات تحكم المجال في المؤسسة.

      بشكل افتراضي، حسابات الكمبيوتر وحسابات المستخدمين وتمنح مجموعات مثل Everyone أو، من الأفضل، Authenticated Users و، لوحدات التحكم بالمجال، مجموعة Enterprise Domain Controllers حق عند حساب المستخدم الوصول إلى هذا الكمبيوتر من شبكة الاتصال ، يتم تعريفها في وحدات التحكم بالمجال الافتراضي كائن نهج المجموعة (GPO).
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • إزالة مجموعة Enterprise Domain Controllers الأمان من حق المستخدم هذا
      • إزالة مجموعة Authenticated Users أو مجموعة صريحة يسمح للمستخدمين وأجهزة الكمبيوتر وحسابات الخدمة حق المستخدم للاتصال بأجهزة الكمبيوتر على شبكة الاتصال
      • إزالة كافة المستخدمين وأجهزة الكمبيوتر من حق المستخدم هذا
    3. أسباب منح حق المستخدم هذا
      • منح مجموعة Enterprise Domain Controllers حق المستخدم الوصول إلى هذا الكمبيوتر من شبكة الاتصال يفي بمتطلبات المصادقة التي يجب النسخ المماثل Active Directory للنسخ المتماثل بين وحدات تحكم المجال في نفس الغابة.
      • يسمح حق المستخدم هذا المستخدمين وأجهزة الكمبيوتر للوصول إلى الملفات المشتركة والطابعات وخدمات النظام، بما في ذلك "خدمة active Directory".
      • مطلوب حق المستخدم هذا للمستخدمين بالوصول إلى البريد باستخدام إصدارات سابقة من Microsoft Outlook Web Access (OWA).
    4. أسباب إزالة حق المستخدم هذا
      • المستخدمين الذين يمكن توصيل أجهزة الكمبيوتر الخاصة بهم بشبكة الاتصال الوصول إلى الموارد الموجودة على أجهزة الكمبيوتر البعيدة التي لديهم أذونات لها. على سبيل المثال، مطلوب حق المستخدم هذا لمستخدم للاتصال بالطابعات المشتركة على المجلدات. إذا تم منح حق المستخدم هذا إلى كل فرد المجموعة، وإذا كان بعض المجلدات المشتركة كل من المشاركة وأذونات نظام ملفات NTFS تكوينها حيث يكون لنفس المجموعة حق الوصول للقراءة، يمكن لأي شخص عرض الملفات في تلك المجلدات المشتركة. ومع ذلك، هذه حالة غير المحتمل لعمليات تثبيت حديثة ل Windows Server 2003 نظراً لمشاركة الافتراضي وأذونات NTFS في Windows Server 2003 لا تتضمن المجموعة Everyone. للأنظمة التي تمت ترقيتها من نظام التشغيل Microsoft Windows NT 4.0 أو Windows 2000، مشكلة عدم الحصانة هذه قد يتوفر مستوى أعلى من المخاطر بسبب مشاركة الافتراضي وأذونات نظام الملفات لأنظمة التشغيل هذه ليست مقيدة كالأذونات الافتراضية في نظام التشغيل Windows Server 2003.
      • ليس هناك أي سبب وجيه لإزالة مجموعة Enterprise Domain Controllers من حق المستخدم هذا.
      • إزالة المجموعة بشكل عام لصالح مجموعة Authenticated Users. في حالة إزالة المجموعة، يجب منح المجموعة Authenticated Users حق المستخدم هذا.
      • لا على مجالات Windows NT 4.0 التي تمت ترقيتها إلى Windows 2000 منح المستخدم الوصول إلى هذا الكمبيوتر من شبكة الاتصال إلى المجموعة Everyone مجموعة Authenticated Users أو مجموعة Enterprise Domain Controllers حق بوضوح. لذلك، عند إزالة المجموعة Everyone من نهج المجال Windows NT 4.0، سيفشل النسخ المماثل Active Directory مع رسالة خطأ "تم رفض الوصول" بعد الترقية إلى نظام التشغيل Windows 2000. تجنب Winnt32.exe في Windows Server 2003 هذا التكوين عن طريق منح مجموعة Enterprise Domain Controllers حق المستخدم هذا عند ترقية نظام التشغيل Windows NT 4.0 وحدات تحكم المجال الأساسية (Pdc). منح مجموعة Enterprise Domain Controllers حق إذا كان غير موجود في ' محرر كائنات نهج المجموعة المستخدم هذا.
    5. أمثلة على مشكلات التوافق
      • Windows 2000 و Windows Server 2003: سوف تفشل النسخ المتماثل الأقسام التالية مع وجود خطأ "تم رفض الوصول" كما جاء في تقرير رصد الأدوات مثل REPLMON و REPADMIN أو النسخ المتماثل للأحداث في سجل الأحداث.
        • قسم "مخطط الدليل" النشط
        • قسم التكوين
        • قسم
        • القسم كتالوج عمومي
        • قسم التطبيق
      • أنظمة تشغيل Microsoft كافة شبكات الاتصال: سوف تفشل مصادقة حساب المستخدم من أجهزة الكمبيوتر العميلة على الشبكة عن بعد ما لم يكن المستخدم أو مجموعة أمان التي يكون المستخدم عضوا تم منح حق المستخدم هذا.
      • أنظمة تشغيل Microsoft كافة شبكات الاتصال: تفشل عملية مصادقة حساب من عملاء شبكة الاتصال البعيدة إلا الحساب أو مجموعة أمان التي يكون الحساب عضوا تم منح حق المستخدم هذا. ينطبق هذا السيناريو على حسابات المستخدمين وحسابات الكمبيوتر وحسابات الخدمة.
      • أنظمة تشغيل Microsoft كافة شبكات الاتصال: إزالة كافة الحسابات من حق المستخدم هذا إلى منع أي حساب من تسجيل الدخول إلى المجال أو من الوصول إلى موارد شبكة الاتصال. حالة المجموعات المحتسبة، مثل Enterprise Domain Controllers، تتم إزالة الكل أو Authenticated Users، يجب بشكل صريح منح حق المستخدم هذا لحسابات أو مجموعات الأمان يكون الحساب عضوا من الوصول إلى أجهزة الكمبيوتر البعيدة عبر الشبكة. ينطبق هذا السيناريو على كافة حسابات المستخدمين وكافة حسابات الكمبيوتر وحسابات خدمة كافة.
      • أنظمة تشغيل Microsoft كافة شبكات الاتصال: يستخدم حساب المسؤول المحلي كلمة مرور "فارغة". الاتصال بالشبكة باستخدام كلمات المرور الفارغة غير مسموح لحسابات المسؤولين في بيئة مجال. باستخدام هذا التكوين، يمكنك أن تتوقع تلقي رسالة خطأ "تم رفض الوصول".
  2. السماح بتسجيل الدخول محلياً
    1. معلومات أساسية

      حسابات الذين يسعون إلى بدء تشغيل خدمة والمستخدمين الذين يحاولون تسجيل الدخول في وحدة التحكم الخاصة بجهاز كمبيوتر يستند إلى Windows (باستخدام اختصار لوحة المفاتيح CTRL + ALT + DELETE) يجب أن يكون لديك امتيازات تسجيل الدخول محلياً على جهاز الكمبيوتر المضيف. تتضمن أمثلة على عمليات تسجيل الدخول المحلي المسؤولين الذين يقومون بتسجيل الدخول إلى وحدات التحكم لأجهزة الكمبيوتر الأعضاء أو وحدات التحكم بالمجال في جميع أنحاء المؤسسة وكذلك مستخدمي المجال الذي قام بتسجيل الدخول إلى أجهزة الكمبيوتر الأعضاء الوصول إلى أسطح المكتب الخاصة بهم باستخدام حسابات ليس لديها امتيازات. يجب أن يكون المستخدمين الذين يمكنهم استخدام الاتصال "سطح المكتب البعيد" أو "الخدمات الطرفية" المستخدم السماح بتسجيل الدخول محلياً على أجهزة الكمبيوتر الوجهة التي تقوم بتشغيل Windows 2000 أو نظام التشغيل Windows XP لأن تعتبر هذه الأوضاع تسجيل الدخول المحلي لجهاز الكمبيوتر المضيف. المستخدمون بتسجيل الدخول إلى ملقم تم تمكين "ملقم المحطة الطرفية"، وليس لديهم حق المستخدم هذا يمكن مازال بدء تشغيل جلسة عمل تفاعلية بعيدة في مجالات Windows Server 2003 إذا كان لديهم حق المستخدم السماح بتسجيل الدخول عبر "خدمات المحطة الطرفية" .
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • إزالة مجموعات الأمان الإداري، بما في ذلك عوامل تشغيل الحساب أو Backup Operators، مشغلات الطباعة أو Server Operators والمجموعة Administrators المضمنة من نهج وحدة تحكم المجال الافتراضي.
      • إزالة حسابات الخدمة التي يتم استخدام المكونات والبرامج الموجودة على أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال في المجال، من نهج وحدة تحكم المجال الافتراضي.
      • إزالة مستخدمين أو مجموعات أمان تسجيل الدخول إلى وحدة التحكم لأجهزة الكمبيوتر الأعضاء في المجال.
      • إزالة حسابات الخدمة التي تم تعريفها في قاعدة بيانات إدارة حسابات الأمان (SAM) المحلية لأجهزة الكمبيوتر الأعضاء أو أجهزة كمبيوتر مجموعة العمل.
      • إزالة الحسابات الإدارية-المتضمنة التي تتم مصادقتها عبر "الخدمات الطرفية" التي يتم تشغيلها على وحدة تحكم مجال.
      • إضافة كافة حسابات المستخدمين في المجال بشكل صريح أو ضمني من خلال الجميع المجموعة رفض تسجيل الدخول محلياً حق تسجيل الدخول. سيمنع هذا التكوين المستخدمين من تسجيل الدخول إلى أي جهاز كمبيوتر عضو أو لأية وحدة تحكم مجال في المجال.
    3. أسباب منح حق المستخدم هذا
      • يجب على المستخدمين حق المستخدم السماح بتسجيل الدخول محلياً للوصول إلى وحدة التحكم أو سطح مكتب كمبيوتر مجموعة عمل أو جهاز كمبيوتر عضو أو وحدة تحكم بمجال.
      • يجب على المستخدمين حق المستخدم هذا تسجيل الدخول عبر جلسة عمل "الخدمات الطرفية" التي يتم تشغيلها على Window 2000 جهاز كمبيوتر عضو أو وحدة تحكم المجال.
    4. أسباب إزالة حق المستخدم هذا
      • يمكن أن يؤدي عدم تقييد الوصول إلى وحدة التحكم لحسابات المستخدمين الشرعيين المستخدمين غير المخولين تحميل وتنفيذ التعليمات البرمجية الضارة تغيير حقوق المستخدم الخاصة بهم.
      • تمنع إزالة حق المستخدم السماح بتسجيل الدخول محلياً على دخول غير معتمدة إلى وحدات التحكم لأجهزة الكمبيوتر، مثل وحدات التحكم بالمجال أو ملقمات التطبيقات.
      • تمنع إزالة حق تسجيل الدخول هذا إجراء حسابات مجال من تسجيل الدخول إلى وحدة التحكم لأجهزة الكمبيوتر الأعضاء في المجال.
    5. أمثلة على مشكلات التوافق
      • ملقمات المحطة الطرفية في Windows 2000: مطلوب حق المستخدم السماح بتسجيل الدخول محلياً للمستخدمين لتسجيل الدخول إلى ملقمات المحطة الطرفية في Windows 2000.
      • Windows NT 4.0 أو Windows 2000 أو Windows XP أو Windows Server 2003: يجب منح حسابات المستخدمين حق المستخدم هذا لتسجيل الدخول إلى وحدة التحكم لأجهزة الكمبيوتر التي تشغل Windows NT 4.0 أو Windows 2000، ونظام التشغيل Windows XP أو Windows Server 2003.
      • Windows NT 4.0 والإصدارات الأحدث: على أجهزة الكمبيوتر التي تشغل Windows NT 4.0 والإصدارات الأحدث، إذا قمت بإضافة المستخدم السماح بتسجيل الدخول محلياً إلى اليمين، لكن يمكنك بشكل صريح أو ضمني أيضا منح حق تسجيل الدخول رفض تسجيل الدخول محلياً ، الحسابات يتعذر تسجيل الدخول إلى وحدة تحكم المجال وحدات تحكم.
  3. تجاوز التدقيق الانتقالي
    1. معلومات أساسية

      يسمح حق المستخدم تجاوز عملية التحقق الاعتراضية المستخدم لاستعراض المجلدات في نظام الملفات NTFS أو في التسجيل دون التحقق من إذن الوصول الخاص اجتياز المجلد . لا يسمح حق المستخدم تجاوز التدقيق الانتقالي للمستخدم بسرد محتويات المجلد. يسمح للمستخدم باجتياز المجلدات الخاصة به.
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • إزالة الحسابات غير الإدارية تسجيل الدخول إلى الخدمات الطرفية المستندة إلى Windows 2000 أو أجهزة كمبيوتر "الخدمات الطرفية" المستندة إلى Windows Server 2003 التي ليس لديك أذونات للوصول إلى الملفات والمجلدات في نظام الملفات.
      • إزالة المجموعة Everyone من قائمة حساب الأمان الأساسي يملك هذا الحق بشكل افتراضي. تم تصميم أنظمة تشغيل Windows، وكذلك برامج عديدة، مع توقع أي شخص يمكنه الوصول إلى الكمبيوتر قانونيا سيكون حق تجاوز التدقيق الانتقالي الخاص بالمستخدم. ولذلك، إزالة الكل المجموعة من القائمة حساب الأمان الأساسي التي لديها حق المستخدم هذا بشكل افتراضي يمكن أن يؤدي إلى عدم استقرار نظام التشغيل أو فشل البرامج. أنه من الأفضل ترك هذا الإعداد الافتراضي الخاص به.
    3. أسباب منح حق المستخدم هذا

      الإعداد الافتراضي للمستخدم تجاوز عملية التحقق الاعتراضية الصحيح هو السماح لأي شخص تجاوز عملية التحقق الاعتراضية. مسؤولي النظام Windows ذوي الخبرة، يعتبر هذا سلوكاً متوقعا، وتكوين ملف النظام قوائم التحكم بالوصول (Sacl) وفقا لذلك. يكون السيناريو الوحيد الذي قد يؤدي التكوين الافتراضي إلى حدوث خطأ إذا فهم السلوك غير المسؤول الذي يقوم بتكوين أذونات ويتوقع أن المستخدمين الذين لا يمكن الوصول إلى مجلد أصل لن قادراً على الوصول إلى محتويات أي طفل مجلدات.
    4. أسباب إزالة حق المستخدم هذا

      في محاولة لمنع الوصول إلى الملفات أو المجلدات الموجودة في نظام الملفات، قد يميل المؤسسات قلقون جداً إزاء الأمن إلى إزالة المجموعة Everyone، أو حتى مجموعة Users، من قائمة المجموعات التي لديها تجاوز التدقيق الانتقالي حق المستخدم.
    5. أمثلة على مشكلات التوافق
      • Windows 2000 و Windows Server 2003: في حالة إزالة حق المستخدم تجاوز عملية التحقق الاعتراضية أو تكوينها على أجهزة الكمبيوتر التي تشغل Windows 2000 أو Windows Server 2003، لا سيكرر إعدادات "نهج المجموعة" الموجودة في المجلد SYVOL بين وحدات التحكم بالمجال في المجال.
      • Windows 2000، Windows XP Professional، Windows Server 2003: أجهزة كمبيوتر تعمل بنظام التشغيل Windows 2000 أو Windows XP Professional أو Windows Server 2003 بتسجيل الحدثين 1000 و 1202 ولن قادراً على تطبيق نهج الكمبيوتر ونهج المستخدم عند إزالة أذونات نظام الملفات المطلوبة من شجرة SYSVOL إذا التجاوز اجتياز تدقيق حق المستخدم إزالة أو لم يتم تكوينها.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
         
        290647 يتم تسجيل معرف الحدث 1000، 1001 كل خمس دقائق في سجل أحداث التطبيق
         
      • Windows 2000 و Windows Server 2003: سوف تختفي علامة التبويب " الحصة النسبية " في مستكشف Windows على أجهزة كمبيوتر تعمل بنظام التشغيل Windows 2000 أو Windows Server 2003، عند عرض خصائص وحدة تخزين.
      • Windows 2000: المسؤولين عدم الذي قام بتسجيل الدخول إلى ملقم المحطة طرفية ل Windows 2000 قد تظهر رسالة الخطأ التالية:
        حدث خطأ أثناء تطبيق Userinit.exe. فشل في التهيئة بشكل صحيح 0xc0000142 التطبيق انقر فوق "موافق" لإنهاء التطبيق.
      • Windows NT 4.0 و Windows 2000، Windows XP و Windows Server 2003: تجاوز المستخدمين على أجهزة الكمبيوتر التي تشغل Windows NT 4.0 أو Windows 2000، ونظام التشغيل Windows XP أو Windows Server 2003 قد لا يمكنك الوصول إلى المجلدات المشتركة أو الملفات الموجودة في المجلدات المشتركة، وقد تظهر رسائل الخطأ "تم رفض الوصول" إذا لم يتم منحهم عبور التحقق من حق المستخدم.


        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
         
        277644 "وصول مرفوض" ظهور رسالة خطأ عند محاولة المستخدمين الوصول إلى المجلدات المشتركة
         
      • Windows NT 4.0: سيؤدي إزالة حق المستخدم تجاوز عملية التحقق الاعتراضية نسخة ملف لإسقاط تدفقات الملفات على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows NT 4.0. في حالة إزالة حق المستخدم هذا عند نسخ أحد ملفات من عميل Windows أو من عميل Macintosh إلى وحدة تحكم مجال Windows NT 4.0 الذي يقوم بتشغيل خدمات لماكنتوش، يتم فقدان دفق ملف الوجهة، ويظهر الملف كملف نص فقط.
      • Microsoft Windows 95، نظام التشغيل Microsoft Windows 98: على جهاز كمبيوتر عميل الذي يقوم بتشغيل Windows 95 أو Windows 98، استخدام net */الرئيسية سيفشل الأمر مع رسالة خطأ "تم رفض الوصول" إذا لم يتم منح المجموعة Authenticated Users حق المستخدم تجاوز عملية التحقق الاعتراضية .
      • Outlook Web Access: لن تتمكن من تسجيل الدخول إلى Microsoft Outlook Web Access المسؤولين دون، وسيتلقون رسالة خطأ "تم رفض الوصول" إذا لم يتم منحهم حق المستخدم تجاوز عملية التحقق الاعتراضية .

إعدادات الأمان

وتبين القائمة التالية إعداد أمان، ويقدم وصفاً حول إعداد الأمان قائمة متداخلة، ويحدد إعدادات التكوين التي قد تسبب مشاكل، يصف لماذا يجب تطبيق إعداد الأمان، وثم يصف أسباب لماذا قد تحتاج إلى إزالة إعداد الأمان. يوفر قائمة متداخلة ثم اسم رمزي لإعداد الأمان ومسار التسجيل إعداد الأمان. وأخيراً، تقدم أمثلة مشاكل التوافق التي قد تحدث عند تكوين إعداد الأمان.
  1. تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان
    1. معلومات أساسية
      • تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان من تحديد ما إذا كان يتم إيقاف تشغيل النظام في حالة تعذر تسجيل أحداث الأمان. هذا الإعداد مطلوباً لتقييم C2 برنامج موثوق بها الكمبيوتر الأمن تقييم المعايير (TCSEC) و "معايير مشتركة" "تقييم أمان تكنولوجيا المعلومات" لمنع أحداث القابلة إذا لا يمكن تسجيل نظام تدوين هذه الأحداث. في حالة فشل نظام التدقيق، يتم إيقاف تشغيل النظام، وتظهر رسالة خطأ الإيقاف Stop.
      • إذا كان الكمبيوتر لا يمكن تسجيل الأحداث إلى سجل الأمان، دليل ضروري أو معلومات استكشاف الأخطاء وإصلاحها مهمة قد لا تتوفر للمراجعة بعد حادث أمني.
    2. التكوينات

      التالي إعداد تكوين ضارة: تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان تشغيل الإعداد، وحجم سجل أحداث الأمان، مقيد ب عدم الكتابة فوق الأحداث (مسح السجل يدوياً) الخيار، خيار "الكتابة فوق الأحداث" حسب الحاجة ، أو الكتابة فوق الأحداث الأقدم من عدد الأيام في "عارض الأحداث". راجع القسم "أمثلة على مشكلات التوافق" للحصول على معلومات حول مخاطر معينة لأجهزة الكمبيوتر التي تعمل بالإصدار الأصلي الصادر لنظام التشغيل Windows 2000 أو Windows 2000 Service Pack 1 (SP1)، Windows 2000 SP2 أو Windows 2000 SP3.
    3. الأسباب لتمكين هذا الإعداد

      إذا كان الكمبيوتر لا يمكن تسجيل الأحداث إلى سجل الأمان، دليل ضروري أو معلومات استكشاف الأخطاء وإصلاحها مهمة قد لا تتوفر للمراجعة بعد حادث أمني.
    4. أسباب تعطيل هذا الإعداد
      • تمكين تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان يتوقف إعداد النظام في حالة تعذر تسجيل تدوين أمان لأي سبب من الأسباب. عادة، لا يتم تسجيل حدث عندما يكون سجل تدوين الأمان الكامل وعندما يكون أسلوب الاحتفاظ المحدد به أما الخيار عدم الكتابة فوق الأحداث (مسح السجل يدوياً) أو الكتابة فوق الأحداث الأقدم من عدد الأيام .
      • العبء الإداري لتمكين تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان الإعداد قد تكون مرتفعة جداً، خاصة إذا تم تشغيل خيار عدم الكتابة فوق الأحداث (مسح السجل يدوياً) لسجل الأمان. يوفر هذا الإعداد للمساءلة الفردية إجراءات عامل التشغيل. على سبيل المثال، يمكن إعادة تعيين الأذونات على كافة المستخدمين وأجهزة الكمبيوتر والمجموعات في وحدة تنظيمية (OU) حيث تم تمكين التدقيق باستخدام حساب المسؤول المضمن أو حساب آخر مشترك مسؤول وثم ينكرون قيامهم بإعادة تعيين هذه الأذونات. ومع ذلك، تمكين هذا الإعداد في ضعف قوة أداء النظام لأن ملقم قد يتم إجبار إيقاف بواسطة زيادة أحداث تسجيل الدخول وأحداث الأمان الأخرى التي تتم كتابتها إلى سجل الأمان. بالإضافة إلى ذلك، نظراً لإيقاف التشغيل بشكل غير أمن، قد يؤدي إلى ضرر يتعذر إصلاحه نظام التشغيل أو البرامج أو البيانات. وبينما يضمن NTFS الحفاظ على تكامل نظام الملفات أثناء إيقاف تشغيل نظام تكامل، لا يضمن أن يكون كل ملف بيانات، خاص بكل برنامج، في شكل قابل للاستخدام عند إعادة تشغيل النظام.
    5. الاسم الرمزي:

      CrashOnAuditFail
       
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. أمثلة على مشكلات التوافق
      • Windows 2000: نظراً لوجود خطأ، قد تتوقف أجهزة الكمبيوتر التي تعمل بالإصدار الأصلي الصادر لنظام التشغيل Windows 2000 أو Windows 2000 SP1 أو Windows 2000 SP2 أو Windows Server SP3 عن تسجيل الأحداث قبل الحجم المحدد في خيار الحد الأقصى لحجم سجل الأمان الوصول إلى سجل الأحداث. تم إصلاح هذه الأخطاء في Windows 2000 Service Pack 4 (SP4). تأكد من أن وحدات تحكم المجال Windows 2000 الخاصة بك Windows 2000 Service Pack 4 مثبت قبل تمكين هذا الإعداد في اعتبارك.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
         
        312571 توقف سجل الأحداث عن تسجيل الأحداث قبل الوصول إلى حجم السجل الأقصى
         
      • Windows 2000 و Windows Server 2003: أجهزة الكمبيوتر التي تشغل Windows 2000 أو Windows Server 2003 قد توقف عن الاستجابة وقد تلقائياً إعادة إذا تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان تشغيل الإعداد، سجل الأمان الكامل، وموجود لا يمكن الكتابة فوق إدخال سجل الأحداث. عند إعادة تشغيل جهاز الكمبيوتر، تظهر رسالة خطأ الإيقاف Stop التالية:
        إيقاف: C0000244 {فشل التدقيق}
        فشلت محاولة لإنشاء تدوين أمان.
        لاسترداد، مسؤول يجب تسجيل الدخول أرشفة سجل الأمان (اختياري)، ومسح سجل الأمان وثم إعادة تعيين هذا الخيار (اختياري وحسب الحاجة).
      • عميل شبكة اتصال Microsoft MS-DOS و Windows 95، Windows 98، Windows NT 4.0، نظام التشغيل Windows 2000، Windows XP و Windows Server 2003: عدم-المسؤولين الذين يحاولون تسجيل الدخول إلى مجال ستتلقى رسالة الخطأ التالية:
        تم تكوين الحساب الخاص بك يمنعك من استخدام هذا الكمبيوتر. الرجاء محاولة كمبيوتر آخر.
      • Windows 2000: على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000، لن تتمكن من تسجيل الدخول إلى ملقمات الوصول البعيد غير المسؤولين، وسيتلقون رسالة خطأ مشابهة لما يلي:
        مستخدم غير معروف أو كلمة مرور غير صالحة
        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
         
        خطأ 285665 : تم تكوين الحساب الخاص بك يمنعك من استخدام هذا الكمبيوتر
         
      • Windows 2000: على وحدات تحكم مجال Windows 2000، ستتوقف خدمة "الرسائل بين المواقع" (Ismserv.exe) ولا يمكن إعادة تشغيله. سيبلغ DCDIAG عن خطأ مثل "فشل في اختبار الخدمات ISMserv"، وسيتم تسجيل معرف الحدث 1083 في سجل الأحداث.
      • Windows 2000: على وحدات تحكم مجال Windows 2000، سيفشل النسخ المماثل Active Directory، وستظهر رسالة "تم رفض الوصول" في حالة امتلاء سجل أحداث الأمان.
      • Microsoft Exchange 2000: لن تتمكن من تحميل قاعدة بيانات مخزن معلومات الملقمات التي تستخدم Exchange 2000، وسيتم تسجيل الحدث 2102 في سجل الأحداث.
      • وصول ويب outlook، Outlook: لن المسؤولين دون الوصول إلى البريد الإلكتروني الخاص به من خلال Microsoft Outlook أو من خلال Microsoft Outlook Web Access، وستتلقى خطأ 503.
  2. وحدة التحكم بالمجال: متطلبات توقيع ملقم LDAP
    1. معلومات أساسية

      وحدة التحكم بالمجال: متطلبات توقيع خادم LDAP يحدد إعداد الأمان ما إذا كان ملقم بروتوكول الوصول الخفيف إلى الدليل (LDAP) يتطلب من عملاء LDAP التفاوض بخصوص توقيع البيانات. تعد القيم الممكنة لهذا النهج فيما يلي:
      • بلا: توقيع البيانات غير مطلوب للربط مع الخادم. إذا طلب العميل توقيع بيانات، كان معتمداً من الملقم.
      • يتطلب التوقيع: يجب التفاوض حول خيار توقيع بيانات LDAP ما لم يستخدم "طبقة مأخذ التوصيل" الأمن/أمن طبقة النقل (TLS/SSL).
      • غير معرف: هذا الإعداد غير ممكنة أو معطلة.
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • مما يتطلب التوقيع في بيئات حيث العملاء لا تدعم توقيع LDAP أو حيث توقيع LDAP العميل غير ممكنة على العميل
      • تطبيق Windows 2000 أو Windows Server 2003 Hisecdc.inf قالب الأمان في بيئات حيث الأجهزة العميلة لا تدعم توقيع LDAP أو حيث توقيع LDAP العميل معطلاً
      • تطبيق Windows 2000 أو Windows Server 2003 واسطة Hisecws.inf قالب الأمان في بيئات حيث الأجهزة العميلة لا تدعم توقيع LDAP أو حيث توقيع LDAP العميل معطلاً
    3. الأسباب لتمكين هذا الإعداد

      يعتبر نقل البيانات عبر الشبكة عرضه لهجمات الرجل في الوسط حيث متطفل تلتقط بين العميل والخادم وتعديل الحزم وثم تعيد توجيهها إلى الخادم. عندما يحدث هذا السلوك على ملقم LDAP، يمكن أن يتسبب مهاجم في أن يقوم ملقم بإصدار قرارات بناء على استعلامات خاطئة من عميل LDAP. يمكنك تقليل هذا الخطر في شبكة شركة عن طريق تطبيق إجراءات أمان فعلية قوي لحماية البنية الأساسية للشبكة. وضع رأس مصادقة أمان (IPSec) "بروتوكول إنترنت" المساعدة في منع هجمات الرجل في الوسط. يجري وضع رأس المصادقة مصادقة متبادلة وتكاملاً الحزمة لحركة مرور IP.
    4. أسباب تعطيل هذا الإعداد
      • لن يتمكن من تنفيذ استعلامات LDAP على وحدات التحكم بالمجال وعلى الكتالوجات العامة في حالة التفاوض بخصوص مصادقة NTLM وكذلك في حالة عدم تثبيت حزم الخدمة الصحيحة على وحدات تحكم مجال Windows 2000 الأجهزة العميلة التي لا تدعم توقيع LDAP.
      • سيتم تشفير عمليات تتبع الشبكات نقل بيانات LDAP فيما بين العملاء والملقمات. وهذا يجعل من الصعب على اختبار محادثات LDAP.
      • الخوادم التي تستند إلى Windows 2000 يجب أن يكون لديك Windows 2000 Service Pack 3 (SP3) أو تثبيتها عند إدارتها مع برامج دعم توقيع LDAP تعمل من أجهزة الكمبيوتر العميلة التي تقوم بتشغيل Windows Server 2003 أو نظام التشغيل Windows XP أو حزمة الخدمة Windows 2000 SP4. للحصول على مزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
         
        تتطلب وحدات التحكم بالمجال 325465 Windows 2000 Service Pack 3 أو إصدار أحدث عند استخدام أدوات الإدارة في Windows Server 2003
         
    5. الاسم الرمزي:

      لدابسيرفيرينتيجريتي
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. أمثلة على مشكلات التوافق
      • ستفشل الروابط البسيطة، وسوف تتلقى رسالة الخطأ التالية:
        Ldap_simple_bind_s() فشل: مطلوب مصادقة قوية.
      • Windows 2000 Service Pack 4، Windows XP Windows Server 2003: على الأجهزة العميلة التي تقوم بتشغيل Windows Server 2003 أو نظام التشغيل Windows XP أو حزمة الخدمة Windows 2000 SP4، لن تعمل بعض أدوات الإدارة "Active Directory" على وحدات التحكم بالمجال التي تستخدم إصدارات من Windows 2000 أقدم من حزمة الخدمة sp3 الخاصة بشكل صحيح عند NTLM التفاوض بخصوص مصادقة.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
         
        تتطلب وحدات التحكم بالمجال 325465 Windows 2000 Service Pack 3 أو إصدار أحدث عند استخدام أدوات الإدارة في Windows Server 2003
         
      • Windows 2000 Service Pack 4، Windows XP Windows Server 2003: على الأجهزة العميلة التي تقوم بتشغيل حزمة الخدمة Windows 2000 SP4 أو نظام التشغيل Windows XP أو Windows Server 2003، بعض أدوات الإدارة "Active Directory" التي تستهدف وحدات التحكم بالمجال التي تعمل بإصدارات من نظام التشغيل Windows 2000 التي أقدم من لن تعمل حزمة الخدمة sp3 الخاصة بشكل صحيح إذا كانت استخدام عناوين IP (على سبيل المثال، "dsa.msc/server =x.x.x.x" حيث
        x.x.x.x عنوان IP).


        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
         
        تتطلب وحدات التحكم بالمجال 325465 Windows 2000 Service Pack 3 أو إصدار أحدث عند استخدام أدوات الإدارة في Windows Server 2003
         
      • Windows 2000 Service Pack 4، Windows XP Windows Server 2003: على الأجهزة العميلة التي تقوم بتشغيل حزمة الخدمة Windows 2000 SP4 أو نظام التشغيل Windows XP أو Windows Server 2003، بعض أدوات الإدارة "Active Directory" التي تستهدف وحدات التحكم بالمجال التي تعمل بإصدارات من نظام التشغيل Windows 2000 التي أقدم من حزمة الخدمة SP3 لن تعمل بشكل صحيح.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
         
        تتطلب وحدات التحكم بالمجال 325465 Windows 2000 Service Pack 3 أو إصدار أحدث عند استخدام أدوات الإدارة في Windows Server 2003
         
  3. عضو المجال: يتطلب مفتاح جلسة عمل قوي (Windows 2000 أو الإصدارات اللاحقة)
    1. معلومات أساسية
      • عضو المجال: يتطلب مفتاح جلسة عمل قوي (Windows 2000 أو الإصدارات اللاحقة) من تحديد ما إذا كان يمكن تأسيس قناة آمنة مع وحدة تحكم مجال بإمكانية تشفير نقل بيانات القناة الآمنة بمفتاح جلسة عمل قوي، 128 بت. أن تمكين هذا الإعداد يمنع إنشاء قناة آمنة بأية وحدة تحكم مجال بإمكانية تشفير بيانات القنوات الآمنة بمفتاح قوي. يسمح تعطيل هذا الإعداد مفاتيح الجلسة 64 بت.
      • قبل قيامك بتمكين هذا الإعداد على محطة عمل عضو أو على ملقم، كافة وحدات تحكم المجال في المجال الذي ينتمي إليه العضو يجب أن تكون قادرة على تشفير بيانات القنوات الآمنة بمفتاح قوي فئة 128 بت. وهذا يعني أن كافة وحدات التحكم بالمجال يجب تشغيل Windows 2000 أو الإصدارات اللاحقة.
    2. التكوينات

      تمكين عضو المجال: يتطلب مفتاح جلسة عمل قوي (Windows 2000 أو الإصدارات اللاحقة) الإعداد إعداد تكوين ضارة.
    3. الأسباب لتمكين هذا الإعداد
      • مفاتيح جلسة العمل المستخدمة لتأسيس اتصالات قناة آمنة بين أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال أقوى بكثير في نظام التشغيل Windows 2000 مما عليه في الإصدارات السابقة من أنظمة تشغيل Microsoft.
      • عندما يكون ذلك ممكناً، أنها لفكرة جيدة للاستفادة من مفاتيح جلسة العمل هذه أقوى لحماية الاتصالات عبر القنوات الآمنة من التنصت ومن هجمات الشبكة في جلسات. التصنت شكل من أشكال الهجمات الضارة حيث يتم قراءة بيانات شبكة الاتصال أو تغييرها أثناء النقل. يمكن تعديل البيانات لإخفاء أو لتغيير المرسل، أو إعادة توجيهها.
      هام: يدعم كمبيوتر يعمل بنظام التشغيل Windows Server 2008 R2 أو ويندوز 7 مفاتيح القوى فقط عند استخدام القنوات الآمنة. يمنع هذا التقييد ثقة بين أي المجال المستندة إلى Windows NT 4.0 وأي مجال المستندة إلى نظام التشغيل Windows Server 2008 R2. بالإضافة إلى ذلك، يمنع هذا التقييد عضوية المجال المستندة إلى Windows NT 4.0 لأجهزة الكمبيوتر التي تشغل Windows 7 أو Windows Server 2008 R2، والعكس بالعكس.
    4. أسباب تعطيل هذا الإعداد

      يحتوي المجال على أجهزة الكمبيوتر الأعضاء التي تعمل بأنظمة تشغيل مختلفة عن Windows 2000 أو Windows XP أو Windows Server 2003.
    5. الاسم الرمزي:

      سترونجكيي
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. أمثلة على مشكلات التوافق

      Windows NT 4.0: إعادة تعيين القنوات الآمنة علاقات ثقة بين نظام التشغيل Windows NT 4.0 ومجالات Windows 2000 باستخدام NLTEST فشل في أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows NT 4.0. ظهور رسالة خطأ "تم رفض الوصول":
      فشل علاقة الثقة بين المجال الأساسي والمجال الموثوق به.

      ويندوز 7 و Server 2008 R2: ويندوز 7 والإصدارات الأحدث و Windows Server 2008 R2 والإصدارات الأحدث، هذا الإعداد يتم تسديدها بعد ويستخدم مفتاح قوي دائماً. ولهذا السبب، علاقات ثقة مع مجالات Windows NT 4.0 لا تعمل بعد الآن.
  4. عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دوماً) رقمياً
    1. معلومات أساسية
      • تمكين عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دوماً) رقمياً يمنع إنشاء قناة آمنة بأية وحدة تحكم مجال لا يمكنه توقيع أو تشفير كافة بيانات القناة الآمنة. للمساعدة في حماية نقل بيانات المصادقة من هجمات الرجل في الوسط وهجمات إعادة التشغيل وأنواع أخرى من الهجمات على شبكة الاتصال، أجهزة الكمبيوتر المستندة إلى Windows إنشاء قناة اتصال تعرف باسم قناة آمنة من خلال خدمة Net Logon مصادقة حسابات الكمبيوتر. كما تستخدم القنوات الآمنة عند مستخدم في مجال الاتصال بمورد شبكة اتصال في مجال بعيد. يسمح هذا مصادقة متعددة المجالات، أو مصادقة المرور، جهاز كمبيوتر يستند إلى Windows وقد انضمت إلى مجال للوصول إلى قاعدة بيانات حسابات المستخدمين في هذا المجال وفي مجالات الثقة.
      • لتمكين عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دوماً) رقمياً الإعداد على كمبيوتر عضو، كافة وحدات تحكم المجال في المجال الذي ينتمي إليه العضو يجب أن تكون قادرة على توقيع أو تشفير كافة بيانات القناة الآمنة. وهذا يعني أن كافة وحدات التحكم بالمجال يجب تشغيل Windows NT 4.0 مع Service Pack 6a (SP6a) أو الإصدار الأحدث.
      • تمكين عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دوماً) رقمياً الإعداد تلقائياً يتيح عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (عند الإمكان) رقمياً الإعداد.
    2. التكوينات

      تمكين عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دوماً) رقمياً الإعداد في مجالات حيث يمكن توقيع أو تشفير بيانات القناة الآمنة ليست كافة وحدات التحكم بالمجال إعداد تكوين ضارة.
    3. الأسباب لتمكين هذا الإعداد

      يعتبر نقل البيانات عبر الشبكة عرضه لهجمات الرجل في الوسط، حيث تلتقط بين الملقم والعميل متطفل وقم بتعديلها، قبل توجيهها إلى العميل. عندما يحدث هذا السلوك على ملقم بروتوكول وصول الخفيف إلى دليل (LDAP)، يمكن أن يؤدي الدخيل يقوم عميل بإصدار قرارات بناء على سجلات خاطئة من دليل LDAP. يمكن تقليل مخاطر هجوم من هذا القبيل على إحدى شبكات شركة عن طريق تطبيق إجراءات أمان فعلية قوي لحماية البنية الأساسية للشبكة. بالإضافة إلى ذلك، تطبيق أمان "بروتوكول إنترنت" (IPSec) وضع رأس مصادقة المساعدة في منع هجمات الرجل في الوسط. يقوم هذا الوضع مصادقة متبادلة وتكاملاً الحزمة لحركة مرور IP.
    4. أسباب تعطيل هذا الإعداد
      • تعتمد أجهزة الكمبيوتر في المجالات المحلية أو الخارجية القنوات الآمنة المشفرة.
      • ليست كافة وحدات التحكم بالمجال في المجال لديك مستويات مراجعة حزمة الخدمة المناسبة لدعم القنوات الآمنة المشفرة.
    5. الاسم الرمزي:

      سترونجكيي
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. أمثلة على مشكلات التوافق
      • Windows NT 4.0: أجهزة الكمبيوتر الأعضاء المستندة إلى نظام التشغيل Windows 2000، لن تتمكن من الانضمام إلى مجالات Windows NT 4.0 وستتلقى رسالة الخطأ التالية:
        الحساب غير مخول لتسجيل الدخول من هذه المحطة.
        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
         
        رسالة الخطأ 281648 : الحساب غير مخول لتسجيل الدخول من هذه المحطة
         
      • Windows NT 4.0: لا يمكن تأسيس علاقة ثقة ذات مستوى منخفض مع مجال Windows 2000 مجالات Windows NT 4.0 وستتلقى رسالة الخطأ التالية:
        الحساب غير مخول لتسجيل الدخول من هذه المحطة.
        القائمة ذات المستوى المنخفض قد أيضا مصادقة المستخدمين من المجال الموثوق به. بعض المستخدمين قد تواجه مشاكل في تسجيل الدخول إلى المجال، وظهور رسالة خطأ تنص على أن العميل لا يمكن العثور على المجال.
      • نظام التشغيل Windows XP: لا يمكن لمصادقة محاولات تسجيل الدخول عملاء Windows XP المنضمة إلى مجالات Windows NT 4.0 وقد تظهر رسالة الخطأ التالية أو قد يتم تسجيل الأحداث التالية في سجل الأحداث:
        يتعذر على Windows الاتصال بالمجال أما لأن وحدة تحكم المجال متوقفة عن العمل أو عدم توفرها أو بسبب عدم إيجاد حساب للكمبيوتر الخاص بك
      • شبكة اتصال Microsoft: عملاء شبكة اتصال Microsoft تتلقى إحدى رسائل الخطأ التالية:
        فشل تسجيل الدخول: اسم مستخدم غير معروف أو كلمة مرور غير صالحة.
        هناك لا يوجد مفتاح جلسة عمل مستخدم لجلسة عمل تسجيل الدخول المحددة.
  5. عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)
    1. معلومات أساسية

      هو كتلة رسالة الملقم (SMB) بروتوكول مشاركة الموارد معتمد من قبل العديد من أنظمة تشغيل Microsoft. هو الأساس لنظام الإدخال/الإخراج الأساسي شبكة الاتصال (NetBIOS) والعديد من البروتوكولات الأخرى. يصادق توقيع SMB على كل من المستخدم والخادم الذي يستضيف البيانات. إذا فشلت عملية المصادقة لأي من الجانبين، لن يتم نقل البيانات.

      يبدأ توقيع smb أثناء تفاوض بروتوكول SMB. تحديد نهج توقيع SMB ما إذا كان الكمبيوتر توقيع اتصالات العميل دائماً رقمياً.

      يعتمد بروتوكول مصادقة Windows 2000 SMB المصادقة المتبادلة. وتصد المصادقة المتبادلة هجوم "الرجل-في-الوسط". يعتمد بروتوكول مصادقة Windows 2000 SMB أيضا مصادقة الرسائل. مصادقة الرسائل يساعد على منع هجمات الرسائل النشطة. لإعطاء هذه المصادقة، يضع توقيع SMB توقيع رقمي في كل SMB. العميل والخادم التحقق من التوقيع الرقمي.

      لاستخدام توقيع SMB، يجب تمكين توقيع SMB أو طلب توقيع SMB على كل من عميل SMB وملقم SMB. إذا تم تمكين توقيع SMB على ملقم، الأجهزة العميلة الممكنة لإجراء توقيع بروتوكول توقيع الرزم أثناء كافة جلسات العمل اللاحقة استخدام SMB أيضا. إذا تم طلب توقيع SMB على ملقم، لا العملاء إنشاء أية جلسة ما لم يتم تمكين العميل أو يطلب منه توقيع SMB.


      يتيح تمكين التوقيع الرقمي في الشبكات عالية الأمان يساعد على منع الانتحال للعملاء والخوادم. يعرف هذا النوع من التمثيل التحكم في جلسات العمل. يستخدم مهاجم الذي لديه حق الوصول إلى نفس الشبكة مثل العميل أو الملقم أدوات التحكم في الجلسات لمقاطعة أو إنهاءها أو سرقة أي جلسة قيد التنفيذ. مهاجم يمكن اعتراض وتعديل رزم SMB غير الموقعة وتعديل نقل البيانات وإعادة توجيهها حيث يقوم الخادم بعض الإجراءات غير المرغوب فيها. أو يمكن أن تشكل كالخادم أو العميل بعد عملية مصادقة شرعية والوصول غير المصرح به إلى البيانات.

      يعتمد بروتوكول SMB التي يتم استخدامها لمشاركة الملفات ومشاركة الطباعة في أجهزة الكمبيوتر التي تشغل Windows 2000 Server أو Windows 2000 Professional، Windows XP Professional أو Windows Server 2003 المصادقة المتبادلة. إغلاق جلسات هجمات المصادقة المتبادلة ودعم مصادقة الرسائل. وبالتالي، منع هجمات الرجل في الوسط. يوفر توقيع SMB هذه المصادقة بوضع توقيع رقمي في كل SMB. العميل والخادم ثم التحقق من التوقيع.

      ملاحظات
      • كأحد الإجراءات الوقائية بديلة، يمكنك تمكين التواقيع الرقمية باستخدام IPSec للمساعدة في حماية كافة حركة مرور شبكة الاتصال. وتوجد برامج تسريع تعتمد على الأجهزة لتشفير IPSec والتوقيع يمكن استخدامها لتقليل تأثير الأداء من وحدة المعالجة المركزية للملقم. لا توجد أية برامج تسريع المتوفرة لتوقيع SMB.

        لمزيد من المعلومات، راجع الفصل ملقم الاتصالات رقمياً على موقع Microsoft MSDN على ويب.

        تكوين توقيع SMB من خلال محرر كائن نهج المجموعة لتغيير قيمة تسجيل محلي ليس له أي تأثير إذا لم يكن هناك نهج مجال الرئيسي.
      • في نظام التشغيل Windows 95, Windows 98 و Windows 98 Second Edition، يستخدم "عميل خدمات الدليل" توقيع SMB عند المصادقة مع ملقمات Windows Server 2003 باستخدام مصادقة NTLM. ومع ذلك، هذه الأجهزة العميلة باستخدام توقيع SMB عند المصادقة مع هذه الملقمات باستخدام مصادقة NTLMv2. بالإضافة إلى ذلك، لا تستجيب ملقمات Windows 2000 إلى طلبات توقيع SMB من هذه الأجهزة العميلة. لمزيد من المعلومات، انظر البند 10: "أمان شبكة الاتصال: مستوى مصادقة إدارة Lan."
    2. التكوينات

      ما يلي إعداد تكوين ضارة: ترك كل من عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) الإعداد و عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (عند موافقة الملقم) تعيين إعداد " غير معرف "أو معطل. يتيح هذان الإعدادان معيد التوجيه إرسال كلمات مرور بالنص العادي إلى ملقمات SMB غير Microsoft لا تدعم تشفير كلمة المرور أثناء المصادقة.
    3. الأسباب لتمكين هذا الإعداد

      تمكين عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) الأجهزة العميلة توقيع نقل بيانات SMB عند الاتصال بملقمات لا تتطلب توقيع SMB. هذا يجعل الأجهزة العميلة أقل تعرضا لعمليات الهجوم جلسات.
    4. أسباب تعطيل هذا الإعداد
      • تمكين عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) منع أجهزة الكمبيوتر العميلة من الاتصال بالخوادم الهدف التي لا تدعم توقيع SMB.
      • تكوين أجهزة الكمبيوتر لتجاهل كافة اتصالات SMB غير الموقعة منع البرامج وأنظمة التشغيل السابقة من الاتصال.
    5. الاسم الرمزي:

      ريكويريسمبسيجنردر
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. أمثلة على مشكلات التوافق
      • Windows NT 4.0: لا يمكنك إعادة تعيين القناة الآمنة لثقة بين مجال Windows Server 2003 ومجال Windows NT 4.0 باستخدام NLTEST أو NETDOM، وسوف تتلقى رسالة خطأ "تم رفض الوصول".
      • نظام التشغيل Windows XP: نسخ الملفات من نظام التشغيل Windows XP عملاء للخوادم التي تستند إلى Windows 2000 والخوادم التي تستند إلى Windows Server 2003 قد وقتاً أطول.
      • لن تتمكن من تعيين محرك أقراص شبكة اتصال من عميل بتمكين هذا الإعداد، وسوف تتلقى رسالة الخطأ التالية:
        الحساب غير مخول لتسجيل الدخول من هذه المحطة.
    8. متطلبات إعادة التشغيل

      قم بإعادة تشغيل جهاز الكمبيوتر، أو قم بإعادة تشغيل خدمة محطة العمل. للقيام بذلك، اكتب الأوامر التالية في موجه الأوامر. اضغط مفتاح الإدخال Enter بعد كتابة كل أمر.
      محطة عمل net stop
      محطة العمل ابدأ الصافي
  6. ملقم شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)
    1. معلومات أساسية
      • هو server Messenger Block (SMB) بروتوكول مشاركة الموارد معتمد من قبل العديد من أنظمة تشغيل Microsoft. هو الأساس لنظام الإدخال/الإخراج الأساسي شبكة الاتصال (NetBIOS) والعديد من البروتوكولات الأخرى. يصادق توقيع SMB على كل من المستخدم والخادم الذي يستضيف البيانات. إذا فشلت عملية المصادقة لأي من الجانبين، لن يتم نقل البيانات.

        يبدأ توقيع smb أثناء تفاوض بروتوكول SMB. تحديد نهج توقيع SMB ما إذا كان الكمبيوتر توقيع اتصالات العميل دائماً رقمياً.

        يعتمد بروتوكول مصادقة Windows 2000 SMB المصادقة المتبادلة. وتصد المصادقة المتبادلة هجوم "الرجل-في-الوسط". يعتمد بروتوكول مصادقة Windows 2000 SMB أيضا مصادقة الرسائل. مصادقة الرسائل يساعد على منع هجمات الرسائل النشطة. لإعطاء هذه المصادقة، يضع توقيع SMB توقيع رقمي في كل SMB. العميل والخادم التحقق من التوقيع الرقمي.

        لاستخدام توقيع SMB، يجب تمكين توقيع SMB أو طلب توقيع SMB على كل من عميل SMB وملقم SMB. إذا تم تمكين توقيع SMB على ملقم، الأجهزة العميلة الممكنة لإجراء توقيع بروتوكول توقيع الرزم أثناء كافة جلسات العمل اللاحقة استخدام SMB أيضا. إذا تم طلب توقيع SMB على ملقم، لا العملاء إنشاء أية جلسة ما لم يتم تمكين العميل أو يطلب منه توقيع SMB.


        يتيح تمكين التوقيع الرقمي في الشبكات عالية الأمان يساعد على منع الانتحال للعملاء والخوادم. يعرف هذا النوع من التمثيل التحكم في جلسات العمل. يستخدم مهاجم الذي لديه حق الوصول إلى نفس الشبكة مثل العميل أو الملقم أدوات التحكم في الجلسات لمقاطعة أو إنهاءها أو سرقة أي جلسة قيد التنفيذ. مهاجم يمكن اعتراض وتعديل الحزم إدارة النطاق الترددي "الشبكة الفرعية" (SBM) غير الموقعة وتعديل نقل البيانات وإعادة توجيهها حيث يقوم الخادم بعض الإجراءات غير المرغوب فيها. أو يمكن أن تشكل كالخادم أو العميل بعد عملية مصادقة شرعية والوصول غير المصرح به إلى البيانات.

        يعتمد بروتوكول SMB التي يتم استخدامها لمشاركة الملفات ومشاركة الطباعة في أجهزة الكمبيوتر التي تشغل Windows 2000 Server أو Windows 2000 Professional، Windows XP Professional أو Windows Server 2003 المصادقة المتبادلة. إغلاق جلسات هجمات المصادقة المتبادلة ودعم مصادقة الرسائل. وبالتالي، منع هجمات الرجل في الوسط. يوفر توقيع SMB هذه المصادقة بوضع توقيع رقمي في كل SMB. العميل والخادم ثم التحقق من التوقيع.
      • كأحد الإجراءات الوقائية بديلة، يمكنك تمكين التواقيع الرقمية باستخدام IPSec للمساعدة في حماية كافة حركة مرور شبكة الاتصال. وتوجد برامج تسريع تعتمد على الأجهزة لتشفير IPSec والتوقيع يمكن استخدامها لتقليل تأثير الأداء من وحدة المعالجة المركزية للملقم. لا توجد أية برامج تسريع المتوفرة لتوقيع SMB.
      • في نظام التشغيل Windows 95, Windows 98 و Windows 98 Second Edition، يستخدم "عميل خدمات الدليل" توقيع SMB عند المصادقة مع ملقمات Windows Server 2003 باستخدام مصادقة NTLM. ومع ذلك، هذه الأجهزة العميلة باستخدام توقيع SMB عند المصادقة مع هذه الملقمات باستخدام مصادقة NTLMv2. بالإضافة إلى ذلك، لا تستجيب ملقمات Windows 2000 إلى طلبات توقيع SMB من هذه الأجهزة العميلة. لمزيد من المعلومات، انظر البند 10: "أمان شبكة الاتصال: مستوى مصادقة إدارة Lan."
    2. التكوينات

      إعداد تكوين ضارة ما يلي: تمكين ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) على الخوادم وعلى وحدات التحكم بالمجال التي يتم الوصول إليها من قبل أجهزة الكمبيوتر المستندة إلى Windows غير متوافق وخارجية أجهزة الكمبيوتر العميلة المستندة إلى نظام التشغيل في المجالات المحلية أو الخارجية.
    3. الأسباب لتمكين هذا الإعداد
      • تدعم أجهزة الكمبيوتر العميلة التي تمكن هذا الإعداد من خلال التسجيل مباشرة أو من خلال إعداد "نهج المجموعة" توقيع SMB. وبعبارة أخرى، كافة أجهزة الكمبيوتر العميلة التي تحتوي على تمكين هذا الإعداد بتشغيل أما Windows 95 مع عميل DS تثبيت نظام التشغيل Windows 98 أو Windows NT 4.0 Windows XP Professional أو Windows Server 2003.
      • إذا ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) يتم تعطيل توقيع SMB تماما معطل. تعطيل كافة SMB تماما توقيع يترك أجهزة الكمبيوتر معرضا للهجمات في جلسات.
    4. أسباب تعطيل هذا الإعداد
      • يؤدي تمكين هذا الإعداد قد يسبب أبطأ ملف نسخة وأداء الشبكة على عميل أجهزة الكمبيوتر.
      • تمكين هذا الإعداد إلى منع الأجهزة العميلة التي لا يمكنها التفاوض في توقيع SMB من الاتصال بالخوادم ووحدات التحكم بالمجال. يؤدي هذا بالبرامج إلى فشل عمليات مثل عمليات الانضمام إلى المجال أو مصادقة المستخدم والكمبيوتر أو الوصول إلى شبكة الاتصال.
    5. الاسم الرمزي:

      ريقويريسمبسيجنسيرفير
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. أمثلة على مشكلات التوافق
      • Windows 95: عملاء windows 95 التي لم يتم تثبيت العميل خدمات الدليل (DS) سوف تفشل مصادقة تسجيل الدخول وستتلقى رسالة الخطأ التالية:
        كلمة المرور التي تم إدخالها غير صحيحة، أو تم رفض الوصول إلى ملقم تسجيل الدخول.
        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
         
        ظهور رسالة خطأ 811497 عند العميل Windows 95 أو Windows NT 4.0 بتسجيل الدخول إلى مجال Windows Server 2003
         
      • Windows NT 4.0: أجهزة الكمبيوتر العميلة التي تعمل بإصدارات من نظام التشغيل Windows NT 4.0 التي أقدم من حزمة الخدمة service Pack 3 (SP3) سوف تفشل مصادقة تسجيل الدخول وستتلقى رسالة الخطأ التالية:
        لم يتمكن النظام من تسجيل. تأكد من صحة اسم المستخدم والمجال ثم اكتب كلمة المرور مرة أخرى.
        تدعم بعض خوادم SMB غير Microsoft عمليات تبادل كلمات المرور غير المشفرة فقط أثناء المصادقة. (عمليات التبادل هذه التبادلات "نص عادي" المعروف أيضا.) لنظام التشغيل Windows NT 4.0 SP3 والإصدارات الأحدث، يقوم معيد توجيه SMB بإرسال كلمة مرور غير مشفرة أثناء المصادقة لخادم SMB إلا إذا قمت بإضافة إدخال سجل معين.
        لتمكين كلمات المرور غير المشفرة لعميل SMB في "نظام التشغيل Windows NT 4.0 حزمة الخدمة sp3" والأنظمة الأحدث، تعديل التسجيل كما يلي: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters

        اسم القيمة: انابليبلاينتيكستباسوورد

        نوع البيانات: REG_DWORD

        البيانات: 1


        لمزيد من المعلومات حول المواضيع ذات الصلة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
         
        رسالة الخطأ 224287 : حدث خطأ النظام 1240. الحساب غير مخول لتسجيل الدخول من هذه المحطة.
      • Windows Server 2003: بشكل افتراضي، يتم تكوين إعدادات الأمان على وحدات التحكم بالمجال التي تعمل على Windows Server 2003 للمساعدة على منع اتصالات وحدة تحكم المجال من اعتراضها أو العبث بها من قبل المستخدمين المؤذيين. للمستخدمين بالاتصال بنجاح مع وحدة تحكم مجال الذي يقوم بتشغيل Windows Server 2003، يجب أن تستخدم أجهزة الكمبيوتر العميلة توقيع SMB والتشفير أو توقيع نقل بيانات القناة الآمنة. بشكل افتراضي، الأجهزة العميلة التي تستخدم Windows NT 4.0 مع Service Pack 2 (SP2) أو إصدار سابق مثبت وعملاء Windows 95 تشغيل لم يتم تمكين توقيع حزمة SMB. ولذلك، هؤلاء العملاء قد يتعذر بمصادقة وحدة تحكم مجال المستندة إلى Windows Server 2003.
      • إعدادات نهج نظام التشغيل Windows 2000 و Windows Server 2003: استناداً إلى احتياجات محددة التثبيت والتكوين، نوصي بتعيين إعدادات النهج التالية على أقل وحدة للنطاق الضروري في التسلسل الهرمي الأداة الإضافية محرر نهج المجموعة وحدة التحكم بالإدارة ل Microsoft:
        • الأمان \ كمبيوتر windows \ خيارات
        • إرسال كلمة مرور غير مشفرة للاتصال مع ملقمات smb متوفرة من جهة خارجية (هذا الإعداد Windows 2000)
        • عميل شبكة اتصال Microsoft: إرسال كلمة مرور غير مشفرة إلى ملقمات smb متوفرة من جهة خارجية (هذا الإعداد Windows Server 2003)

        ملاحظة: في بعض ملقمات CIFS خارجية، مثل الإصدارات القديمة من Samba، لا يمكنك استخدام كلمات المرور المشفرة.
      • العملاء التالية غير متوافقة مع ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) الإعداد:
        • عملاء ماكنتوش من Apple Computer, Inc.،
        • عملاء شبكة اتصال Microsoft MS-DOS (على سبيل المثال، Microsoft LAN Manager)
        • مايكروسوفت ويندوز لعملاء مجموعات العمل
        • تثبيت عملاء Microsoft Windows 95 دون العميل DS
        • Microsoft تثبيت نظام التشغيل Windows NT 4.0 أجهزة الكمبيوتر دون حزمة الخدمة SP3 أو أحدث
        • عملاء Novell Netware 6 CIFS
        • عملاء سامبا SMB التي ليس لديها دعم توقيع SMB
    8. متطلبات إعادة التشغيل

      قم بإعادة تشغيل جهاز الكمبيوتر، أو قم بإعادة تشغيل خدمة الملقم. للقيام بذلك، اكتب الأوامر التالية في موجه الأوامر. اضغط مفتاح الإدخال Enter بعد كتابة كل أمر.
      net stop server
      net بدء الملقم
  7. الوصول إلى شبكة الاتصال: السماح بترجمة SID/Name المجهول
    1. معلومات أساسية

      الوصول إلى شبكة الاتصال: السماح بترجمة SID/Name المجهول يحدد إعداد الأمان ما إذا كان لمستخدم مجهول طلب سمات رقم معرف الأمان (SID) لمستخدم آخر.
    2. التكوينات

      تمكين الوصول إلى شبكة الاتصال: السماح بترجمة SID/Name المجهول الإعداد إعداد تكوين ضارة.
    3. الأسباب لتمكين هذا الإعداد

      إذا كان الوصول إلى شبكة الاتصال: السماح بترجمة SID/Name المجهول الإعداد معطل، قبل أنظمة التشغيل أو قد لا تكون التطبيقات قادرة على الاتصال بمجالات Windows Server 2003. على سبيل المثال، التطبيقات أو الخدمات أو أنظمة التشغيل التالية قد لا تعمل:
      • Windows الملقمات المستندة إلى NT 4.0 خدمة الوصول البعيد
      • Microsoft SQL Server التي يتم تشغيلها على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows NT 4.0 أو Windows NT 3.x أجهزة
      • خدمة الوصول البعيد قيد التشغيل على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000 الموجودة في مجالات Windows NT 3.x أو مجالات Windows NT 4.0
      • SQL Server الذي يتم تشغيله على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000 التي تقع في مجالات Windows NT 3.x أو في مجالات Windows NT 4.0
      • المستخدمون في مجال موارد Windows NT 4.0 الذي تريد منحة أذونات الوصول إلى الملفات والمجلدات المشتركة وكائنات السجل إلى حسابات المستخدمين من مجالات الحسابات التي تحتوي على وحدات تحكم مجال Windows Server 2003
    4. أسباب تعطيل هذا الإعداد

      إذا تم تمكين هذا الإعداد، استخدام مستخدم ضار المسؤولين SID معروف جيدا للحصول على الاسم الحقيقي لحساب المسؤول المضمن، حتى إذا تمت إعادة تسمية الحساب. هذا الشخص بعد ذلك استخدام اسم الحساب لبدء هجوم لتخمين كلمة المرور.
    5. اسم رمزي: N/A
    6. مسار السجل: لا شيء. يتم تحديد المسار في رمز UI.
    7. أمثلة على مشكلات التوافق

      Windows NT 4.0: أجهزة الكمبيوتر الموجودة في مجالات موارد بعرض رسالة الخطأ "حساب غير معروف" في محرر ACL حالة الموارد، بما في ذلك المجلدات المشتركة والملفات المشتركة وكائنات السجل، قد تم تأمينها بواسطة حسابات الأمان الأساسية الموجودة في Windows NT 4.0 حساب المجالات التي يحتوي على وحدات التحكم بالمجال Windows Server 2003.
  8. الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام الحسابات
    1. معلومات أساسية
      • الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات من تحديد الأذونات الإضافية التي سيتم منحها للاتصالات المجهولة بالكمبيوتر. يسمح Windows للمستخدمين المجهولين بأداء أنشطة معينة، مثل تعداد أسماء حسابات إدارة حسابات الأمان (SAM) محطة العمل والملقم ومشاركات الشبكة. على سبيل المثال، مسؤول استخدام هذا لمنح حق الوصول إلى مستخدمين في مجال موثوق به لا يحتفظ بثقة متبادلة. بعد إجراء جلسة عمل مستخدم مجهول قد نفس حق الوصول التي يتم منحها للجميع المجموعة استناداً إلى الإعداد الموجود في الوصول إلى شبكة الاتصال: تطبيق أذونات Everyone للمستخدمين المجهولين الإعداد أو قائمة التحكم بالوصول المستقل (DACL) من الكائن.

        عادة، يتم طلب الاتصالات المجهولة من قبل الإصدارات السابقة من العملاء (عملاء المستوى الأدنى) أثناء إعداد جلسة عمل SMB. في هذه الحالات، تتبع شبكة تبين أن معرف العملية SMB (PID) "معيد التوجيه" العميل مثل 0xFEFF في نظام التشغيل Windows 2000 أو 0xCAFE في نظام التشغيل Windows NT. RPC أيضا محاولة لجعل الاتصالات المجهولة.
      • هام لدى هذا الإعداد أي تأثير على وحدات التحكم بالمجال. على وحدات التحكم بالمجال، يتم التحكم في هذا السلوك بوجود "NT AUTHORITY/تسجيل دخول" في "الإصدار السابق ل windows 2000 المتوافقة الوصول إلى".
      • في Windows 2000، إعداد مماثلة تسمى قيود إضافية "الاتصالات المجهولة" بإدارة قيمة التسجيل RestrictAnonymous . موقع هذه القيمة كما يلي
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        لمزيد من المعلومات حول قيمة التسجيل RestrictAnonymous، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
         
        246261 كيفية استخدام قيمة التسجيل RestrictAnonymous في نظام التشغيل Windows 2000
         
        143474 تقييد المعلومات المتوفرة للمستخدمين تسجيل الدخول المجهول
         
    2. تكوينات غير آمنة

      تمكين الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات الإعداد إعداد تكوين ضارة من منظور توافق. تعطيل إعداد تكوين ضارة من منظور أمني.
    3. الأسباب لتمكين هذا الإعداد

      أحد المستخدمين غير المعتمدين سرد أسماء الحسابات بشكل مجهول كما ثم استخدام المعلومات لمحاولة تخمين كلمات المرور أو لإجراء هجمات الهندسة الاجتماعية . الهندسة الاجتماعية هي مصطلح دارج يعبر خداع الأشخاص لكشف كلمات المرور أو بعض نماذج معلومات الأمان.
    4. أسباب تعطيل هذا الإعداد

      إذا تم تمكين هذا الإعداد، فإنه من المستحيل إنشاء علاقات ثقة مع مجالات Windows NT 4.0. يؤدي هذا الإعداد أيضا مشكلات مع عملاء المستوى الأدنى (مثل عملاء Windows NT 3.51 وعملاء Windows 95) الذين يحاولون استخدام موارد على الملقم.
    5. الاسم الرمزي:


      ريستريكتانونيموسام
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. أمثلة على مشكلات التوافق
    • اكتشاف الشبكة SMS لن تتمكن من الحصول على معلومات نظام التشغيل وسيتم كتابة "غير معروف" في خاصية أوبيراتينجسيستيمناميندفيرسيون.
    • Windows 95, Windows 98: لن تتمكن من تغيير كلمات المرور الخاصة بهم عملاء windows 95 وعملاء Windows 98.
    • Windows NT 4.0: لن إمكانية مصادقة Windows أجهزة الكمبيوتر الأعضاء المستندة إلى NT 4.0.
    • Windows 95, Windows 98: لن تستطيع قيام وحدات التحكم بالمجال ل Microsoft بمصادقة أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 98 والمستنده إلى نظام التشغيل Windows 95.
    • Windows 95, Windows 98: لن تتمكن من تغيير كلمات المرور لحسابات المستخدمين المستخدمين على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 98 والمستنده إلى نظام التشغيل Windows 95.
  9. الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات ومشاركات
    1. معلومات أساسية
      • الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات ومشاركات (المعروف أيضا RestrictAnonymous) من تحديد ما إذا كان مسموحاً التعداد غير المعروف لحسابات إدارة حسابات الأمان (SAM) ومشاركات. يسمح Windows للمستخدمين المجهولين بأداء أنشطة معينة، مثل تعداد أسماء حسابات المجال (المستخدمين وأجهزة الكمبيوتر والمجموعات) ومشاركات الشبكة. يكون هذا ملائماً، على سبيل المثال، عندما يرغب مسؤول بمنح حق الوصول إلى مستخدمين في مجال موثوق به لا يحتفظ بثقة متبادلة. إذا أردت عدم السماح لمجهول بتعداد حسابات SAM والمشاركات الخاصة، تمكين هذا الإعداد.
      • في Windows 2000، إعداد مماثلة تسمى قيود إضافية "الاتصالات المجهولة" بإدارة قيمة التسجيل RestrictAnonymous . موقع هذه القيمة كما يلي:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. التكوينات

      تمكين الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات ومشاركات الإعداد إعداد تكوين ضارة.
    3. الأسباب لتمكين هذا الإعداد
      • تمكين الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات ومشاركات يمنع تعداد حسابات SAM والمشاركات من قبل المستخدمين وأجهزة الكمبيوتر التي تستخدم حسابات مجهولة.
    4. أسباب تعطيل هذا الإعداد
      • إذا تم تمكين هذا الإعداد، يمكن سرد أسماء الحسابات بشكل مجهول مستخدم غير مصرح له وثم استخدام المعلومات لمحاولة تخمين كلمات المرور أو لإجراء هجمات الهندسة الاجتماعية . الهندسة الاجتماعية هي مصطلح دارج يعبر خداع الأشخاص لكشف كلمة المرور أو بعض نماذج معلومات الأمان.
      • إذا تم تمكين هذا الإعداد، لن يمكن إنشاء علاقات ثقة مع مجالات Windows NT 4.0. كما سيؤدي هذا الإعداد إلى حدوث مشكلات مع عملاء المستوى الأدنى مثل عملاء Windows NT 3.51 و Windows 95 الذين يحاولون استخدام موارد على الملقم.
      • وسوف يكون من المستحيل على منح الوصول لمستخدمين مجالات الموارد لأن المسؤولين في المجال المانح للثقة لا يمكن تعداد قوائم الحسابات في المجال الآخر. لن تتمكن من سرد موارد الشبكة المشتركة على هذه الخوادم المستخدمين الوصول إلى ملقمات الطباعة والملفات كمجهول. يجب على المستخدمين المصادقة قبل أن يتمكنوا من عرض قوائم المجلدات والطابعات.
    5. الاسم الرمزي:

      RestrictAnonymous
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. أمثلة على مشكلات التوافق
      • Windows NT 4.0: لن تتمكن من تغيير كلمات المرور الخاصة بهم من محطات عمل Windows NT 4.0 في حالة تمكين RestrictAnonymous على وحدات تحكم المجال في مجال المستخدمين المستخدمين.
      • Windows NT 4.0: فشل إضافة مستخدمين أو مجموعات عمومية من مجالات Windows 2000 موثوق بها للمجموعات المحلية إدارة المستخدمين في Windows NT 4.0، وتظهر رسالة الخطأ التالية:
        لا توجد حاليا أي ملقمات تسجيل دخول متوفرة لخدمة طلب تسجيل الدخول.
      • Windows NT 4.0: لن قادرة على الانضمام إلى مجالات أثناء الإعداد أو باستخدام واجهة المستخدم لربط مجال Windows NT 4.0 أجهزة الكمبيوتر التي تعمل.
      • Windows NT 4.0: سيفشل إنشاء ثقة ذات مستوى منخفض مع مجالات موارد Windows NT 4.0. تظهر رسالة الخطأ التالية عند تمكين RestrictAnonymous في المجال الموثوق به:
        تعذر العثور وحدة تحكم المجال لهذا المجال.
      • Windows NT 4.0: المستخدمون بتسجيل الدخول إلى أجهزة كمبيوتر "ملقم المحطة الطرفية" المستندة إلى Windows NT 4.0 بالتعيين إلى الدليل الرئيسي الافتراضي بدلاً من الدليل الرئيسي المحدد في User Manager للمجالات.
      • Windows NT 4.0: لن تتمكن من بدء تشغيل خدمة Net Logon أو الحصول على قائمة بالمستعرضات الاحتياطية، أو مزامنة قاعدة بيانات SAM من نظام التشغيل Windows 2000 أو Windows Server 2003 وحدات تحكم المجال في نفس المجال Windows NT 4.0 وحدات تحكم مجال احتياطية (Bdc).
      • Windows 2000: أجهزة الكمبيوتر الأعضاء المستندة إلى Windows 2000 في مجالات غير ستكون قادراً على عرض الطابعات في المجالات الخارجية إذا تم تمكين إعداد لا الوصول بدون أذونات صريحة في نهج الأمان المحلي للكمبيوتر العميل Windows NT 4.0.
      • Windows 2000: لن تتمكن من إضافة طابعات شبكة الاتصال من "Active Directory"؛ مستخدمي مجال Windows 2000 ومع ذلك، ستكون قادراً على إضافة طابعات بعد تحديدها من طريقة العرض الشجري.
      • Windows 2000: على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000، "محرر ACL" لن تتمكن من إضافة مستخدمين أو مجموعات عمومية من مجالات Windows NT 4.0 الموثوقة.
      • ADMT الإصدار 2: ستفشل عملية الترحيل كلمة المرور لحسابات المستخدمين التي تم ترحيلها بين الغابات مع Active دليل الهجرة أداة (ADMT) الإصدار 2.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
         
        كيفية استكشاف أخطاء ترحيل كلمة المرور باستخدام ADMTv2 322981
      • عملاء outlook: سوف تظهر قائمة العناوين العمومية فارغاً لعملاء Microsoft Exchange Outlook.

        لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
        321169 SMB بطء الأداء عند نسخ الملفات من نظام التشغيل Windows XP إلى وحدة تحكم مجال Windows 2000
      • SMS: لن تتمكن من الحصول على معلومات نظام التشغيل Microsoft Systems Management Server (SMS) "اكتشاف الشبكة". ولذلك، سيتم كتابة "غير معروف" في خاصية أوبيراتينجسيستيمناميندفيرسيون للخاصية SMS DDR لاكتشاف بيانات سجل (DDR).
      • SMS: عند استخدام معالج مستخدم مسؤول SMS للاستعراض للمستخدمين والمجموعات، سيتم سرد أية مستخدمين أو مجموعات. بالإضافة إلى ذلك، لا يمكن الاتصال العملاء المتقدمة مع نقطة إدارة. لا يلزم على نقطة إدارة الوصول المجهول.
      • SMS: عند استخدام ميزة "' اكتشاف الشبكة '" في الإصدار 2.0 من SMS وفي "تثبيت العميل البعيد" المخطط والعميل، وأنظمة تشغيل الأجهزة العميلة الشبكة اكتشاف الخيار قيد التشغيل، يمكن اكتشاف أجهزة الكمبيوتر ولكن قد لا يكون مثبتاً.
  10. أمان شبكة الاتصال: مستوى مصادقة إدارة Lan
    1. معلومات أساسية

      مصادقة LAN Manager (LM) هو البروتوكول الذي يتم استخدامه لمصادقة عملاء Windows لعمليات الشبكة، بما في ذلك عمليات الانضمام إلى المجال، الوصول إلى موارد شبكة الاتصال، ومصادقة المستخدم أو الكمبيوتر. مستوى مصادقة LM على تحديد بروتوكول مصادقة الارتياب/الاستجابة الذي يتم التفاوض بشأنها بين العميل وأجهزة كمبيوتر خادم. وبوجه خاص، يعمل مستوى مصادقة LM تحديد بروتوكولات المصادقة التي سيقوم العميل بمحاولة التفاوض معها أو التي سيقبلها الملقم. تحدد القيمة التي تم تعيينها ل LmCompatibilityLevel يستخدم أي بروتوكول مصادقة الارتياب/الاستجابة لتسجيلات دخول شبكة الاتصال. تؤثر هذه القيمة على مستوى بروتوكول المصادقة الذي يستخدمه العملاء، ومستوى أمان جلسة العمل الذي تم التفاوض عليه ومستوى المصادقة الذي تم قبوله من قبل ملقمات.

      الإعدادات الممكنة ما يلي:
      القيمة الإعداد الوصف
      0 إرسال الاستجابات LM و NTLM العملاء استخدام مصادقة LM و NTLM ولا يستخدمون أمان جلسة العمل NTLMv2. تقبل وحدات تحكم المجال مصادقة LM و NTLM و NTLMv2.
      1 إرسال LM و NTLM-استخدام أمان جلسة عمل NTLMv2 في حال تم التفاوض العملاء استخدام مصادقة LM و NTLM ويستخدمون أمان جلسة العمل NTLMv2 إذا كان معتمداً من الملقم. تقبل وحدات تحكم المجال مصادقة LM و NTLM و NTLMv2.
      2 إرسال استجابة NTLM فقط العملاء استخدام مصادقة NTLM فقط ويستخدمون أمان جلسة العمل NTLMv2 إذا كان معتمداً من الملقم. تقبل وحدات تحكم المجال مصادقة LM و NTLM و NTLMv2.
      3 إرسال استجابة NTLMv2 فقط العملاء استخدام مصادقة NTLMv2 فقط ويستخدمون أمان جلسة العمل NTLMv2 إذا كان معتمداً من الملقم. تقبل وحدات تحكم المجال مصادقة LM و NTLM و NTLMv2.
      4 إرسال استجابة NTLMv2 فقط \ رفض استجابات LM العملاء استخدام مصادقة NTLMv2 فقط ويستخدمون أمان جلسة العمل NTLMv2 إذا كان معتمداً من الملقم. وحدات تحكم المجال رفض استجابات LM وتقبل مصادقة NTLM و NTLMv2 فقط.
      5 إرسال استجابة NTLMv2 فقط \ رفض LM و NTLM العملاء استخدام مصادقة NTLMv2 فقط ويستخدمون أمان جلسة العمل NTLMv2 إذا كان معتمداً من الملقم. وحدات تحكم المجال LM و NTLM رفض وقبول مصادقة NTLMv2 فقط.
      ملاحظة: في نظام التشغيل Windows 95, Windows 98 و Windows 98 Second Edition، يستخدم "عميل خدمات الدليل" توقيع SMB عند المصادقة مع ملقمات Windows Server 2003 باستخدام مصادقة NTLM. ومع ذلك، هذه الأجهزة العميلة باستخدام توقيع SMB عند المصادقة مع هذه الملقمات باستخدام مصادقة NTLMv2. بالإضافة إلى ذلك، لا تستجيب ملقمات Windows 2000 إلى طلبات توقيع SMB من هذه الأجهزة العميلة.

      التحقق من مستوى مصادقة LM: يجب تغيير النهج على الخادم للسماح NTLM أو يجب تكوين جهاز الكمبيوتر العميل يعتمد NTLMv2.

      في حالة تعيين النهج إلى فقط استجابة NTLMv2 إرسال (5) \ رفض استجابات LM و NTLM على جهاز الكمبيوتر الهدف الذي تريد الاتصال به، يجب خفض الإعداد على جهاز الكمبيوتر هذا أو تعيين الأمان على نفس الإعداد الموجود على جهاز الكمبيوتر المصدر تكون كون اكتينج من.

      ابحث عن الموقع الصحيح حيث يمكنك تغيير إدارة LAN لتعيين العميل والخادم على نفس المستوى. بعد العثور على النهج الذي يتم تعيين إدارة LAN مستوى المصادقة، إذا كنت تريد الاتصال من أجهزة الكمبيوتر التي تقوم بتشغيل إصدارات سابقة من Windows، تخفيض القيمة الأقل (1) إرسال LM و NTLM-استخدام NTLM، الإصدار 2 أمان جلسة العمل إذا التفاوض على. أنه أحد تأثيرات الإعدادات غير المتوافقة إذا كان الخادم يتطلب NTLMv2 (القيمة 5)، ولكن تم تكوين العميل لاستخدام LM و NTLMv1 فقط (القيمة 0)، يواجه المستخدم الذي يحاول المصادقة فشل تسجيل دخول الذي يحتوي على كلمة مرور غير صحيحة والتي زيادة السيئة كلمة مرور حساب. إذا تم تكوين حساب تأمين السحب، المستخدم قد أخيرا يكون مؤمناً.

      على سبيل المثال، قد يلزم إلقاء نظرة على وحدة التحكم بالمجال، أو قد تحتاج إلى فحص نهج وحدة تحكم المجال.

      البحث على وحدة تحكم المجال

      ملاحظة: قد يلزم تكرار الإجراء التالي في كافة وحدات التحكم بالمجال.
      1. انقر فوق ابدأوأشر إلى البرامج، ومن ثم انقر فوق أدوات إدارية.
      2. ضمن إعدادات الأمان المحلي، قم بتوسيع النهج المحلية.
      3. انقر فوق خيارات الأمان.
      4. انقر نقراً مزدوجاً فوق "أمان شبكة الاتصال": مستوى مصادقة إدارة LAN، ثم انقر فوق قيمة في القائمة.

      إذا كان الإعداد الفعال والإعداد المحلي هي نفسها، تم تغيير النهج في هذا المستوى. إذا كانت الإعدادات مختلفة، يجب التحقق من نهج وحدة تحكم المجال لتحديد ما إذا كان "أمان شبكة الاتصال": مستوى مصادقة إدارة LAN الإعداد محدداً. في حالة عدم تحديد، فحص نهج وحدة تحكم المجال.

      فحص نهج وحدة تحكم المجال
      1. انقر فوق ابدأوأشر إلى البرامج، ومن ثم انقر فوق أدوات إدارية.
      2. في نهج أمان وحدة تحكم المجال ، توسيع إعدادات الأمان، ثم قم بتوسيع النهج المحلية.
      3. انقر فوق خيارات الأمان.
      4. انقر نقراً مزدوجاً فوق "أمان شبكة الاتصال": مستوى مصادقة إدارة LAN، ثم انقر فوق قيمة في القائمة.

      Note
      • قد يلزم أيضا التحقق من النهج المرتبطة على مستوى الموقع أو مستوى المجال أو الوحدة التنظيمية (OU) مستوى لتحديد أين يجب تكوين مستوى مصادقة إدارة LAN.
      • إذا قمت بتطبيق إعداد "نهج المجموعة" كنهج المجال الافتراضي، يتم تطبيق النهج على كافة أجهزة الكمبيوتر في المجال.
      • إذا قمت بتطبيق إعداد "نهج المجموعة" كنهج وحدة تحكم المجال الافتراضية، يتم تطبيق النهج فقط على الملقمات الموجودة في الوحدة التنظيمية لوحدة تحكم المجال.
      • أنها لفكرة جيدة لتعيين مستوى مصادقة إدارة LAN في أقل وحدة للنطاق الضروري في التسلسل الهرمي لتطبيق النهج.
       
       
      يحتوي Windows Server 2003 إعداد افتراضي جديد لاستخدام NTLMv2 فقط. بشكل افتراضي، تمكين Windows Server 2003 ووحدات تحكم المجال المستندة إلى Windows 2000 Server SP3 "ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)" نهج. يتطلب هذا الإعداد خادم SMB لتنفيذ توقيع حزمة SMB. تم إجراء تغييرات على Windows Server 2003 لأن وحدات التحكم بالمجال ملقمات الملفات، وملقمات البنية الأساسية للشبكة وخوادم الويب في أية مؤسسة تتطلب إعدادات مختلفة لزيادة الأمان الخاص بها.

      إذا كنت تريد تطبيق مصادقة NTLMv2 في الشبكة، يجب التأكد من أن كافة أجهزة الكمبيوتر في المجال قد تم تعيينها لاستخدام مستوى المصادقة هذا. إذا قمت بتطبيق نشط الدليل العميل ملحقات ل Windows 95 أو Windows 98 و Windows NT 4.0، استخدم ملحقات العميل مصادقة تحسين الميزات المتوفرة في NTLMv2. لأن أجهزة الكمبيوتر العميلة التي تقوم بتشغيل أي من أنظمة التشغيل التالية لا تتأثر بكائنات نهج المجموعة ل Windows 2000، قد يلزم تكوين هذه الأجهزة العميلة يدوياً:
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • نظام التشغيل Windows 98
      • نظام التشغيل Microsoft Windows 95
      ملاحظة: إذا قمت بتمكين أمان شبكة الاتصال: عدم تخزين قيمة تجزئة LAN manager عند التغيير التالي لكلمة المرور النهج أو تعيين مفتاح التسجيل نولمهاش ، لا يستند إلى نظام التشغيل Windows 95 ونظام التشغيل Windows 98 الذين لم يتم تثبيت "عميل خدمات الدليل" تسجيل الدخول إلى المجال بعد تغيير كلمة مرور.

      لا يدركون NTLMv2 العديد من ملقمات CIFS خارجية مثل Novell Netware 6، واستخدام NTLM فقط. ولذلك، مستويات أكبر من 2 لا تسمح بالاتصال. وهناك أيضا الجهة الخارجية SMB العملاء الذين لا يستخدمون أمان جلسة العمل الموسعة. في هذه الحالات، لمكومباتيبليتيليفيل خادم المورد لا يؤخذ في الاعتبار. الملقم ثم حزم التسجيل هذا الطلب القديم وإرسالها إلى "وحدة التحكم بالمجال المستخدم". ثم حدد الإعدادات الموجودة على "وحدة التحكم بالمجال" التجزئات التي تستخدم للتحقق من الطلب وما إذا كانت هذه الاجتماعات متطلبات الأمان "وحدة تحكم المجال".

      لمزيد من المعلومات حول كيفية تكوين مستوى مصادقة إدارة LAN يدوياً، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
       
      كيفية تعطيل مصادقة LM على Windows NT 147706
       
      كيفية منع Windows من تخزين تجزئة إدارة LAN كلمة المرور الخاصة بك في "خدمة active Directory" وقاعدة بيانات SAM محلية 299656
       
      312630 استمرار outlook لمطالبتك ببيانات اعتماد تسجيل الدخول
       
      2701704 يظهر حدث تدوين حزمة المصادقة ك NTLMv1 بدلاً من NTLMv2
      لمزيد من المعلومات حول مستويات مصادقة LM، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
       
      كيفية تمكين مصادقة NTLM 2 239869
       
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • الإعدادات غير المقيدة التي تقوم بإرسال كلمات المرور في نص واضح والتي ترفض تفاوض NTLMv2
      • الإعدادات المقيدة التي تمنع العملاء غير المتوافقين أو وحدات تحكم المجال من التفاوض مع بروتوكول مصادقة شائع
      • تطلب مصادقة NTLMv2 على أجهزة الكمبيوتر الأعضاء ووحدات التحكم بالمجال التي تقوم بتشغيل إصدارات Windows NT 4.0 أقدم من حزمة الخدمة service Pack 4 (SP4)
      • تطلب مصادقة NTLMv2 على عملاء Windows 95 أو عملاء Windows 98 التي لا تحتوي عميل خدمات الدليل Windows المثبتة.
      • في حالة النقر لتحديد خانة الاختيار أمان جلسة عمل NTLMv2 يتطلب في الأداة الإضافية محرر نهج المجموعة وحدة التحكم بالإدارة ل Microsoft على Windows Server 2003 أو على كمبيوتر يستند إلى Windows 2000 Service Pack 3، وتخفيض مستوى مصادقة إدارة LAN إلى 0، تعارض إعدادي، وقد تظهر رسالة الخطأ التالية في الملف Secpol.msc أو ملف GPEdit.msc:
        يتعذر على Windows فتح قاعدة بيانات النهج المحلي. حدث خطأ غير معروف أثناء محاولة فتح قاعدة البيانات.
        لمزيد من المعلومات حول أداة لتحليل وتكوين الأمان، راجع ملفات تعليمات Windows Server 2003 أو Windows 2000.
    3. أسباب لتعديل هذا الإعداد
      • تريد زيادة بروتوكول المصادقة الشائع الأدنى المعتمد بواسطة العملاء ووحدات التحكم بالمجال في المؤسسة الخاصة بك.
      • عندما تكون المصادقة الآمنة بين متطلبات عمل، تحتاج إلى عدم السماح بالتفاوض بشأن بروتوكول LM وبروتوكول NTLM.
    4. أسباب تعطيل هذا الإعداد

      تمت زيادة العميل أو متطلبات مصادقة الملقم أو الاثنين معا، بحيث لا يمكن حدوث مصادقة على بروتوكول شائع.
    5. الاسم الرمزي:

      LmCompatibilityLevel
    6. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. أمثلة على مشكلات التوافق
      • Windows Server 2003: بشكل افتراضي، يتم تمكين إعداد الاستجابات Windows Server 2003 NTLMv2 Send NTLM. لذلك، يتلقى Windows Server 2003 رسالة الخطأ "تم رفض الوصول" بعد التثبيت الأولى عند محاولة الاتصال بمجموعة يستند إلى نظام التشغيل Windows NT 4.0 أو ملقمات تستند إلى LanManager V2.1، مثل "لانسيرفير" OS/2. تحدث هذه المشكلة أيضا إذا كنت تحاول الاتصال من عميل بإصدار قديم إلى ملقم يستند إلى Windows Server 2003.
      • تثبيت Windows 2000 الأمان التراكمية حزمة 1 (SRP1). يفرض SRP1 NTLM، الإصدار 2 (NTLMv2). تم إصدار حزمة مجموعة التحديثات بعد إصدار Windows 2000 Service Pack 2 (SP2). لمزيد من المعلومات حول SRP1، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
         
        311401 Windows 2000 حزمة الأمان التراكمية 1، كانون الثاني/يناير 2002
         
      • ويندوز 7 و Windows Server 2008 R2: لا يدركون NTLMv2 العديد من ملقمات CIFS خارجية، مثل ملقمات Novell Netware 6 أو المستندة إلى نظام التشغيل Linux سامبا، واستخدام NTLM فقط. ولذلك، مستويات أكبر من "2" لا تسمح بالاتصال. الآن في هذا الإصدار من نظام التشغيل، تم تغيير الافتراضي ل LmCompatibilityLevel إلى "3". حتى عندما تقوم بترقية Windows، قد تتوقف هذه دافعي طرف ثالث عن العمل.
      • عملاء Microsoft Outlook قد تتم مطالبتك ببيانات الاعتماد حتى ولو كانت مسبقاً بتسجيل الدخول إلى المجال. عندما يقوم المستخدمين بتوفير بيانات الاعتماد الخاصة بهم، تظهر رسالة الخطأ التالية: ويندوز 7 و Windows Server 2008 R2
        بيانات اعتماد تسجيل الدخول التي تم توفيرها غير صحيحة. تأكد من صحة اسم المستخدم والمجال ثم اكتب كلمة المرور مرة أخرى.
        عند بدء تشغيل Outlook، قد تطالب بإدخال بيانات الاعتماد الخاصة بك حتى إذا تم تعيين إعداد "أمان تسجيل الدخول إلى شبكة الاتصال" الخاصة بك للعبور أو "مصادقة كلمة المرور". بعد كتابة بيانات الاعتماد الصحيحة، قد تتلقى رسالة الخطأ التالية:
        بيانات اعتماد تسجيل الدخول التي تم توفيرها غير صحيحة.
        قد تظهر عملية تتبع "مراقب شبكة الاتصال" إصدار النشرة المصورة العمومية خطأ (RPC) استدعاء إجراء بعيد بحالة 0x5. حالة 0x5 تعني "تم رفض الوصول".
      • Windows 2000: لقطة "مراقب شبكة الاتصال" قد إظهار الأخطاء التالية في NetBIOS عبر TCP/IP (NetBT) جلسة عمل (SMB) لمنع رسالة الملقم:
        خطأ Dos دليل البحث R SMB، معرف مستخدم غير صالح (91) STATUS_LOGON_FAILURE ACCESS_DENIED (109) (5)
      • Windows 2000: إذا كان مجال Windows 2000 مع NTLMv2 المستوى 2 أو أحدث موثوق بها من قبل مجال Windows NT 4.0، أجهزة الكمبيوتر الأعضاء المستندة إلى Windows 2000 في مجال الموارد قد تواجه أخطاء المصادقة.
      • Windows 2000 و Windows XP: بشكل افتراضي، نظام التشغيل Windows 2000 و Windows XP تعيين خيار LAN Manager مصادقة مستوى نهج الأمان المحلي إلى 0. إعداد 0 يعني "إرسال الاستجابات LM و NTLM."

        ملاحظة: يجب استخدام Windows NT 4.0 تعتمد الكتل LM للإدارة.
      • Windows 2000: مجموعات Windows 2000 غير مصادقة عقده انضمام إذا كان كلا العقدتين جزءا نظام التشغيل Windows NT 4.0 Service Pack 6a (SP6a) المجال.
      • أداة تأمين IIS (هيسيكويب) تعيين قيمة LMCompatibilityLevel إلى 5 والقيمه RestrictAnonymous على 2.
      • خدمات لماكنتوش

        الوحدة النمطية لمصادقة المستخدم (UAM): يوفر Microsoft UAM (الوحدة النمطية لمصادقة المستخدم) طريقة لتشفير كلمات المرور التي تستخدمها لتسجيل الدخول إلى ملقمات Windows AFP (البروتوكول AppleTalk Filing). الوحدة النمطية لمصادقة المستخدم (UAM) التفاح توفر حد أدنى أو عدم التشفير. لذلك، يمكن بسهولة اعتراض كلمة المرور الخاصة بك على شبكة الاتصال المحلية أو الإنترنت. على الرغم من أنه غير مطلوب UAM، إلا أنها توفر المصادقة المشفرة على ملقمات Windows 2000 تشغيل خدمات ل Macintosh. يتضمن هذا الإصدار دعما لمصادقة NTLMv2 128 بت المشفرة وبيان صدر 10.1 متوافقة مع MacOS X.

        افتراضياً، تسمح خدمات Windows Server 2003 لملقم ماكنتوش مصادقة Microsoft فقط.


        لمزيد من المعلومات، انقر فوق أرقام المقالات التالية لعرضها في "قاعدة معارف Microsoft":
         
        834498 يتعذر الاتصال عميل Macintosh إلى الخدمات لنظام التشغيل Mac على Windows Server 2003
      • Windows Server 2008 و Windows Server 2003، نظام التشغيل Windows XP و Windows 2000: إذا قمت بتكوين LMCompatibilityLevel القيمة 0 أو 1 وقم بتكوين قيمة نولمهاش 1، التطبيقات والمكونات قد رفض الوصول عبر NTLM. تحدث هذه المشكلة نظراً لتكوين جهاز الكمبيوتر لتمكين LM ولكن ليس لاستخدام كلمات مرور LM المخزنة.

        إذا قمت بتكوين قيمة نولمهاش 1، يجب تكوين قيمة LMCompatibilityLevel 2 أو أعلى.
  11. أمان الشبكة: متطلبات توقيع عميل LDAP
    1. معلومات أساسية

      أمان الشبكة: متطلبات توقيع عميل LDAP يحدد إعداد مستوى توقيع البيانات التي يتم طلبها بالنيابة عن العملاء هذه المسألة ربط بروتوكول الوصول الخفيف إلى الدليل (LDAP) تطلب ما يلي:
      • بلا: يتم إصدار طلب LDAP BIND بالخيارات المحددة من قبل المتصل.
      • التفاوض حول التوقيع: إذا لم تبدأ تأمين مقابس الطبقة/"أمان طبقة" النقل (SSL/TLS)، يتم بدء طلب BIND ل LDAP بواسطة تعيين الخيارات المحددة من قبل المتصل خيار توقيع بيانات LDAP. إذا تم بدء تشغيل SSL/TLS، يتم بدء طلب BIND ل LDAP بالخيارات المحددة من قبل المتصل.
      • يتطلب التوقيع: هذا هو نفس توقيع التفاوض. ومع ذلك، إذا كان تنبيه خادم LDAP عدم الإشارة إلى أن توقيع نقل بيانات LDAP مطلوب، الطالب قال فشل طلب الأمر BIND ل LDAP.
    2. التكوينات

      تمكين أمان الشبكة: متطلبات توقيع عميل LDAP الإعداد إعداد تكوين ضارة. إذا قمت بتعيين الخادم ليطلب تواقيع LDAP، يجب أيضا تكوين توقيع LDAP على العميل. يؤدي عدم تكوين العميل لاستخدام تواقيع LDAP إلى منع الاتصال بالخادم. يؤدي مصادقة المستخدم، نهج المجموعة إعدادات والبرامج النصية لتسجيل الدخول وميزات أخرى إلى فشل.
    3. أسباب لتعديل هذا الإعداد

      يعتبر نقل البيانات عبر الشبكة عرضه لهجمات الرجل في الوسط حيث متطفل تلتقط بين العميل والخوادم وتعديلها وثم تعيد توجيهها إلى الخادم. عندما يحدث هذا على ملقم LDAP، يمكن أن يتسبب مهاجم في أن يقوم ملقم الاستجابة بناء على استعلامات خاطئة من عميل LDAP. يمكنك تقليل هذا الخطر في شبكة شركة عن طريق تطبيق إجراءات أمان فعلية قوي لحماية البنية الأساسية للشبكة. بالإضافة إلى ذلك، يمكنك المساعدة على منع كل أنواع هجمات الرجل في الوسط بطلب التواقيع الرقمية على كافة حزم الشبكة عن طريق رؤوس مصادقة IPSec.
    4. الاسم الرمزي:

      لدابكلينتينتيجريتي
    5. مسار السجل:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. سجل الأحداث: حجم سجل الأمان الحد الأقصى
    1. معلومات أساسية

      سجل الأحداث: الحد الأقصى لحجم سجل الأمان يحدد إعداد الأمان الحد الأقصى لحجم سجل أحداث الأمان. يحتوي هذا السجل كحد أقصى 4 غيغابايت. لتحديد هذا الإعداد، قم بتوسيع
      إعدادات Windows، ثم قم بتوسيع إعدادات الأمان.
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • تقييد حجم سجل الأمان وطريقة استبقاء سجل الأمان عند تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان الإعداد. انظر "تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان" قسم من هذه المقالة للحصول على مزيد من التفاصيل.
      • تقييد حجم سجل الأمان حيث أن تتم الكتابة فوق أحداث الأمان موضع الاهتمام.
    3. أسباب زيادة هذا الإعداد

      قد تضطرك متطلبات الأمان والعمل زيادة حجم سجل الأمان لمعالجة تفاصيل سجل أمان إضافية أو للاحتفاظ بسجلات الأمان لفترة أطول من الزمن.
    4. أسباب تقليل هذا الإعداد

      سجلات عارض الأحداث ملفات الذاكرة المعنونة. الحد الأقصى لحجم سجل أحداث مقيداً بمقدار الذاكرة الفعلية في الكمبيوتر المحلي والذاكرة الظاهرية المتوفرة لعملية سجل الأحداث. زيادة حجم السجل تتجاوز مقدار الذاكرة الظاهرية المتوفرة "عارض الأحداث" إلى زيادة عدد إدخالات السجل التي يتم الاحتفاظ بها.
    5. أمثلة على مشكلات التوافق

      Windows 2000: أجهزة الكمبيوتر التي تعمل بإصدارات من نظام التشغيل Windows 2000 التي أقدم من حزمة الخدمة service Pack 4 (SP4) قد تتوقف عن تسجيل الأحداث في سجل الأحداث قبل الوصول إلى الحجم المحدد في الإعداد في "عارض الأحداث" إذا عدم الكتابة فوق الأحداث الحد الأقصى لحجم السجل (مسح السجل يدوياً) يتم تشغيل الخيار.


      لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
       
      312571 توقف سجل الأحداث عن تسجيل الأحداث قبل الوصول إلى حجم السجل الأقصى
       
  13. سجل الأحداث: الاحتفاظ بسجل الأمان
    1. معلومات أساسية

      سجل الأحداث: الاحتفاظ بسجل الأمان يستخدم إعداد الأمان تحديد أسلوب "الالتفاف" لسجل الأمان. لتحديد هذا الإعداد، قم بتوسيع إعدادات Windowsثم قم بتوسيع إعدادات الأمان.
    2. تكوينات غير آمنة

      فيما يلي بعض إعدادات التكوين الضارة:
      • فشل الاحتفاظ تسجيل أحداث الأمان قبل أن يتم الكتابة فوق
      • تكوين الحد الأقصى لحجم سجل الأمان إعداد صغيرة جداً حيث تتم الكتابة فوق أحداث الأمان
      • سجل حجم واستبقاء أسلوب الأمان أثناء تقييد تدوين: إيقاف تشغيل النظام فورا في حال عدم إمكانية تسجيل تدوين الأمان تمكين إعداد الأمان
    3. الأسباب لتمكين هذا الإعداد

      تمكين هذا الإعداد فقط إذا قمت بتحديد أسلوب الاحتفاظ الكتابة فوق الأحداث حسب الأيام . إذا كنت تستخدم نظام ارتباط أحداث التي يستقصي عن أحداث، تأكد من أن عدد الأيام على الأقل ثلاث مرات تكرار الاستقصاء. قم بهذا للسماح بدورات الاستقصاء الفاشلة.
  14. الوصول إلى شبكة الاتصال: تطبيق أذونات للمستخدمين المجهولين Everyone
    1. معلومات أساسية

      بشكل افتراضي، الوصول إلى شبكة الاتصال: تطبيق أذونات Everyone للمستخدمين المجهولين تعيين غير معرف على Windows Server 2003. بشكل افتراضي، Windows Server 2003 لا يتضمن رمز "الوصول المجهول" الجميع في المجموعة.
    2. مثال على مشكلات التوافق

      قيمة التالية
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD] = 0 × 0 إنشاء الثقة بفواصل بين Windows Server 2003 و Windows NT 4.0، عند حساب المجال هو مجال Windows Server 2003 وهو مجال Windows NT 4.0 في مجال الموارد. وهذا يعني أن مجال الحساب موثوق به في نظام التشغيل Windows NT 4.0 وهو مورد المجال المانح للثقة على الجانب Windows Server 2003. يحدث هذا السلوك نظراً لأن عملية بدء الثقة بعد الاتصال المجهول الأولى ACL مع الرمز المميز الذي يتضمن SID مجهول في نظام التشغيل Windows NT 4.0 الجميع.
    3. أسباب لتعديل هذا الإعداد

      يجب تعيين إلى 0x1 القيمة أو تعيينها باستخدام كائن نهج مجموعة على أو وحدة تحكم المجال أن: الوصول إلى شبكة الاتصال: تطبيق أذونات Everyone للمستخدمين المجهولين-ممكن للتمكين من إنشاء علاقة الثقة.

      ملاحظة: إعدادات الأمان الأخرى ترتفع قيمة بدلاً من أسفل إلى 0 × 0 في حالتها الأكثر أمنا. سيكون الإجراء الأكثر أماناً لتغيير السجل على محاكي وحدة تحكم المجال الأساسية بدلاً من على كافة وحدات تحكم المجال. إذا تم نقل دور محاكي وحدة تحكم المجال الأساسية لأي سبب من الأسباب، يجب تحديث السجل على الخادم الجديد.

      مطلوب إعادة تشغيل بعد تعيين هذه القيمة.
    4. مسار التسجيل
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. مصادقة NTLMv2
     
    1. أمان جلسة العمل

      يحدد أمان جلسة العمل بالمعايير الأمنية الدنيا لجلسات عمل العميل والملقم. أنها لفكرة جيدة للتحقق من إعدادات نهج الأمان التالية في الأداة الإضافية "محرر نهج المجموعة وحدة التحكم بالإدارة ل Microsoft":
      • جهاز الكمبيوتر \ إعدادات النهج المحلية \ خيارات الأمان
      • أمان شبكة الاتصال: الحد الأدنى لأمان جلسة العمل ل NTLM SSP بناء (بما في ذلك RPC الأمن) ملقمات
      • أمان شبكة الاتصال: الحد الأدنى لأمان جلسة العمل ل NTLM SSP بناء (بما في ذلك RPC الأمن) العملاء
      خيارات هذه الإعدادات كما يلي:
      • مطلوب تكامل الرسالة
      • مطلوب سرية الرسالة
      • تتطلب NTLM، الإصدار 2 أمان جلسة العمل
      • مطلوب تشفير 128 بت
      يعتبر الإعداد الافتراضي ويندوز 7 لا متطلبات. بدءاً من Windows 7، تغيير الإعداد الافتراضي طلب 128 بت لتحسين الوضع الأمني. بشكل افتراضي، تكون الأجهزة المتوارثة التي لا تدعم تشفير 128-بت غير قادر على الاتصال.

      تحدد تلك السياسات المعايير الأمنية الدنيا لجلسة عمل اتصالات تطبيق إلى تطبيق على خادم لعميل.

      لاحظ أن على الرغم من أن توصف بأنها الإعدادات الصالحة، إشارات بحاجة إلى تكامل الرسالة وسرية لا تستخدم عندما يتم تحديد أمان جلسة عمل NTLM.

      من وجهة تاريخية، بدعم نظام التشغيل Windows NT المتغيرين التاليين لمصادقة الارتياب/الاستجابة لتسجيلات دخول شبكة الاتصال:
      • الارتياب/الاستجابة لم
      • الارتياب/الاستجابة ل NTLM، الإصدار 1
      يسمح LM بالتوافق مع قاعدة العملاء والملقمات المثبتة. يوفر NTLM أماناً محسنًا للاتصالات بين العملاء والملقمات.

      مفاتيح التسجيل المقابلة كما يلي:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
    2. تكوينات غير آمنة

      يتحكم هذا الإعداد في كيفية معالجة جلسات العمل التي تم تأمينها باستخدام NTLM. يؤثر هذا على جلسات عمل تستند إلى RPC مصادقة NTLM، على سبيل المثال. هناك المخاطر التالية:
      • استخدام أساليب مصادقة الأقدم من NTLMv2 يسهل الاتصال للهجوم سبب أبسط أساليب التجزئة المستخدمة.
      • استخدام مفاتيح التشفير أقل من 128 بت تسمح للمهاجمين قطع الاتصال باستخدام الهجمات الضارية.

مزامنة الوقت

فشل مزامنة الوقت. لقد حان الوقت إيقاف بأكثر من 30 دقيقة على جهاز كمبيوتر متأثر. تأكد من أن ساعة جهاز الكمبيوتر العميل متزامنة مع ساعة وحدة تحكم المجال.

حل بديل لتوقيع SMB

نحن ننصحك بتثبيت Service Pack 6a (SP6a) على عملاء Windows NT 4.0 التفاعل في مجال المستندة إلى Windows Server 2003. يجب تشغيل يستند إلى نظام التشغيل Windows 98 Second Edition العملاء والعملاء التي تستند إلى نظام التشغيل Windows 98 وعملاء نظام التشغيل Windows 95 "عميل خدمات الدليل" لتنفيذ NTLMv2. إذا لم يكن لديك عملاء نظام التشغيل Windows NT 4.0 على Windows NT 4.0 SP6 مثبتاً، أو إذا كان العملاء التي تستند إلى نظام التشغيل Windows 95 وعملاء Windows 98 تعتمد Windows 98SE العميلة لم يتم تثبيت، "عميل خدمات الدليل" تعطيل SMB توقيع في المجال الافتراضي النهج وحدات التحكم على وحدة تحكم المجال للوحدة التنظيمية ثم قم بربط هذا النهج لكافة وحدات تنظيمية التي تستضيف وحدات التحكم بالمجال.

دليل خدمات عميل ل Windows 98 الإصدار الثاني و Windows 98 و Windows 95 سيتم إجراء توقيع SMB مع ملقمات Windows 2003 تحت مصادقة NTLM، ولكن ليس تحت مصادقة NTLMv2. بالإضافة إلى ذلك، لن تستجيب ملقمات Windows 2000 إلى طلبات توقيع SMB من هذه الأجهزة العميلة.

على الرغم من أننا لا ننصح بذلك، يمكنك منع توقيع SMB من مطالبتها على كافة وحدات تحكم المجال التي تقوم بتشغيل Windows Server 2003 في أحد المجالات. لتكوين إعداد الأمان هذا، اتبع الخطوات التالية:
  1. فتح نهج وحدة تحكم المجال الافتراضي.
  2. افتح المجلد الكمبيوتر \ \ النهج المحلية \ خيارات الأمان .
  3. ثم انقر فوق ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً) النهج، ثم انقر فوق معطل.
هام: يحتوي هذا المقطع أو الأسلوب أو المهمة على الخطوات التي توضح كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. لذلك، تأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية للسجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows
بدلاً من ذلك، قم بتعطيل توقيع SMB على الملقم عن طريق تعديل السجل. للقيام بذلك، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، اكتب regedit، وثم انقر فوق موافق.
  2. تحديد موقع وثم انقر فوق المفتاح الفرعي التالي:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. انقر فوق الإدخال انابليسيكوريتيسيجناتوري .
  4. من القائمة تحرير ، انقر فوق تعديل.
  5. في المربع " بيانات القيمة "، اكتب 0ومن ثم انقر فوق موافق.
  6. اخرج من "محرر السجل".
  7. قم بإعادة تشغيل جهاز الكمبيوتر، أو إيقاف وقم بإعادة تشغيل خدمة الملقم. للقيام بذلك، اكتب الأوامر التالية في موجه الأوامر، ومن ثم اضغط مفتاح الإدخال Enter بعد كتابة كل أمر:
    net stop server
    net بدء الملقم
ملاحظة: المفتاح المطابق على الكمبيوتر العميل في مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
وفيما يلي سرد أرقام رمز خطأ مترجم لرموز الحالة ورسائل الخطأ الحرفية المذكورة سابقا:
خطأ 5
ERROR_ACCESS_DENIED

تم رفض الوصول.
خطأ 1326

ERROR_LOGON_FAILURE

فشل تسجيل الدخول: اسم مستخدم غير معروف أو كلمة مرور غير صالحة.
خطأ 1788

ERROR_TRUSTED_DOMAIN_FAILURE

فشل علاقة الثقة بين المجال الأساسي والمجال الموثوق به.
خطأ عام 1789

ERROR_TRUSTED_RELATIONSHIP_FAILURE

فشل علاقة الثقة بين محطة العمل هذه والمجال الأساسي.
لمزيد من المعلومات، انقر فوق أرقام المقالات التالية لعرضها في "قاعدة معارف Microsoft":
 
كيفية تكوين "نهج المجموعة" لتعيين أمان لخدمات النظام في Windows Server 2003 324802
 
كيفية تمكين تسجيل الدخول Windows NT SMB 161372
 
816585 كيفية تطبيق قوالب الأمان المعرفة مسبقاً في Windows Server 2003
 
820281 يجب توفير بيانات اعتماد حساب Windows عند الاتصال ب Exchange Server 2003 باستخدام Outlook 2003 RPC عبر ميزة HTTP