Použití hodnoty registru RestrictAnonymous v systému Windows 2000

Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zálohovat. Seznamte se také s postupem při obnovení registru v případě, že nastanou potíže. Další informace o zálohování, obnovení a úpravě registru najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows

Souhrn

V tomto článku je popsáno, jak mohou správci použít hodnotu registru RestrictAnonymous v počítači se systémem Windows 2000 k omezení přístupu přes anonymní připojení.

Další informace

Upozornění: Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Správce může konfigurovat počítač se systémem Windows 2000 tak, aby anonymní přístup nebyl možný k žádným prostředkům s výjimkou prostředků, ke kterým může být anonymnímu uživateli přístup výslovně udělen. Chcete-li řídit toto chování, použijte jednu z následujících metod.Poznámka: Pokud je v počítači se systémem Windows 2000 spuštěna Správa licencí Terminálového serveru, nebudou moci další servery, u kterých je povolena Terminálová služba, požadovat z tohoto počítače licence.

Modul snap-in konzoly MMC Místní zásady zabezpečení

  1. Klepněte na tlačítko Start, přejděte na příkaz Programy, potom na položku Nástroje pro správu a klepněte na položku Místní zásady zabezpečení.

    Poznámka: Pokud nemůžete provést tento krok, protože se položka Nástroje pro správu nezobrazuje v seznamu aplikací, klepněte na tlačítko Start, přejděte na příkaz Nastavení, přejděte na položku Ovládací panely a klepněte na položku Nástroje pro správu a na položku Místní zásady zabezpečení. Potom přejděte ke kroku dvě.
  2. V části Nastavení zabezpečení poklepejte na položku Místní zásady a přejděte na položku Možnosti zabezpečení.
  3. Poklepejte na položku Další omezení anonymních připojení a klepněte na možnost Nepovolit přístup anonymních uživatelů bez explicitních oprávnění v části Nastavení místních zásad.
  4. Změna bude použita po restartování členského počítače nebo řadiče domény.

Hodnota registru RestrictAnonymous

Pomocí Editoru registru zobrazte následující klíč registru a potom k tomuto klíči přidejte následující hodnotu nebo ji upravte, pokud již existuje:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Hodnota: RestrictAnonymous
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0x2 (Hex)

Po provedení jakékoli změny klíče RestrictAnonymous v registru restartujte počítač.

Při nastavení položky registru RestrictAnonymous na hodnotu 2 nebude přístupový token pro neověřované uživatele obsahovat skupinu Everyone a v důsledku toho již nebude mít přístup k těm prostředkům, které udělují oprávnění skupině Everyone. Může tak dojít k neočekávanému chování, protože mnoho služeb systému Windows 2000 i aplikací jiných výrobců potřebuje k tomu, aby mohly provádět oprávněné úlohy, funkce anonymního přístupu.

Pokud chce například správce v důvěřující doméně přidělit místní přístup uživateli v důvěryhodné doméně, je možné, že bude muset uvést výčet uživatelů v důvěryhodné doméně. Protože důvěryhodná doména nemůže ověřit správce v důvěřující doméně, je možné, že bude použit anonymní výčet. Výhody omezení možností anonymních uživatelů z hlediska bezpečnosti je třeba zvážit vzhledem k příslušným požadavkům služeb a aplikací, jejichž úplná funkčnost závisí na anonymním přístupu.

Při nastavení položky registru RestrictAnonymous na hodnotu 2 v řadiči domény se systémem Windows 2000 budou omezeny následující úlohy:

  • Členské pracovní stanice nebo servery na nižší úrovni nebudou schopné nastavit zabezpečený kanál služby NetLogon.
  • Řadiče domény nižší úrovně v důvěřujících doménách nebudou schopné nastavit zabezpečený kanál služby NetLogon.
  • Uživatelé systému Windows NT nebudou moci měnit hesla po vypršení jejich platnosti. Uživatelé systému Macintosh nebudou moci hesla měnit vůbec.
  • Služba prohledávání počítačů nebude moci načíst seznamy domén nebo serverů za záložních prohledávačů, hlavních prohledávačů ani hlavních prohledávačů domén, které jsou spuštěny v počítačích s položkou registru RestrictAnonymous nastavenou na hodnotu 2. V důsledku toho nebude žádná aplikace, která závisí na službě prohledávání počítačů, fungovat správně.
Vzhledem k těmto důsledkům nedoporučujeme nastavit položku registru RestrictAnonymous na hodnotu 2 v prostředí se smíšenými režimy, která obsahují klienty nižší úrovně. O nastavení položky registru RestrictAnonymous na hodnotu 2 byste měli uvažovat pouze v prostředích systému Windows 2000 a po ověření dostatečně účinnými testy pro zajištění kvality, zda budou zachovány příslušné úrovně služeb a funkce aplikací.

Poznámka: Předem definované šablony s vysokým zabezpečením nastaví položku registru RestrictAnonymous na hodnotu 2 a v důsledku toho je nutné tyto šablony používat opatrně.Další informace o hodnotě registru RestrictAnonymous získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

178640 Při vytváření vztahu důvěryhodnosti nebylo možné najít řadič domény (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Položku registru RestrictAnonymous nastavíte změnou klíče registru z hodnoty 0 na 1 pro systém Windows NT 4.0 nebo na hodnotu 0, 1 či 2 pro systém Windows 2000. Tyto hodnoty odpovídají následujícímu nastavení:

0 – žádné, vycházet z výchozích oprávnění;

1 – nepovolit rozpoznávat názvy účtů SAM a sdílených položek;

2 – nepovolit přístup anonymních uživatelů bez explicitních oprávnění.
Vlastnosti

ID článku: 246261 - Poslední kontrola: 21. 12. 2005 - Revize: 1

Váš názor