Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

A beállításjegyzék (rendszerleíró adatbázis) távoli számítógépről történő elérésének korlátozása

Ezt a cikket korábban a következõ néven tették közzé: HU153183
A cikk Microsoft Windows XP rendszerre vonatkozó változata a következő: 314837 (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.).
Fontos! A cikk a beállításjegyzék módosításával is foglalkozik. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, illetve győződjön meg arról, hogy szükség esetén helyre tudja állítani a beállításjegyzéket. A beállításjegyzék biztonsági mentéséről, visszaállításáról és módosításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése
Összefoglaló
A beállításszerkesztő eszköz (Rendszerleíróadatbázis-szerkesztő) támogatja a Windows beállításjegyzékének távoli elérését, ugyanakkor korlátozható is ez a hozzáférés.
További információ
Alapértelmezés szerint Windows NT 3.51 rendszerben bármely hálózaton keresztül kapcsolódó felhasználó hozzáférhet a beállításjegyzékhez. Windows NT 4.0 vagy újabb rendszerben alapértelmezés szerint csak a Rendszergazdák csoport érheti el hálózaton keresztül a beállításjegyzéket.

A tartományi felhasználók a Regedit.exe segédprogram segítségével kapcsolódhatnak távolról az adott tartomány beállításjegyzékéhez. A HKEY_CLASSES_ROOT és a HKEY_USERS bejegyzés értékeit tekinthetik meg, és csak olvasási hozzáféréssel rendelkeznek. Ez szándékosan van így.

Megjegyzés: Bizonyos szolgáltatásoknak a megfelelő működés érdekében hozzáférésre van szükségük a beállításjegyzékhez. Ha például hozzáadja az alábbi kulcsot egy címtár-replikációs szolgáltatást futtató NT 3.51 rendszerhez, a replikáló fiók számára hozzáférést kell biztosítani a beállításjegyzékhez. Ennek módját a cikk egy későbbi része ismerteti.

A beállításjegyzék hálózati elérésének korlátozása

Figyelem: A beállításszerkesztő (Rendszerleíróadatbázis-szerkesztő) helytelen használata az operációs rendszer újratelepítését is szükségessé tehető, komoly problémákhoz vezethet. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, A beállításszerkesztőt csak saját felelősségére használhatja.
Megjegyzés: Windows 2000 vagy újabb rendszerben alapértelmezés szerint csak a rendszergazdák és a biztonságimásolat-felelősök érhetik el hálózaton keresztül a beállításjegyzéket. Előfordulhat, hogy az ebben a részben szereplő információk bizonyos esetekre nem érvényesek. A beállításjegyzék hálózati elérésének korlátozásához hozza létre az alábbi beállításkulcsot (korábbi nevén rendszerleíró kulcs) a következőképpen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

Név: Description
Típus: REG_SZ
Érték: Beállításjegyzék-kiszolgáló
Az ennél a kulcsnál beállított biztonsági engedélyek határozzák meg, hogy mely felhasználók és csoportok kapcsolódhatnak a rendszerhez a beállításjegyzék távoli eléréséhez. Az alapértelmezett Windows-telepítés létrehozza ezt a kulcsot, és a következőképpen állítja be a hozzáférés-szabályozási listát a beállításjegyzék távoli elérésének korlátozására:
A rendszergazdák jogköre teljes
A Windows alapértelmezett konfigurációja csak a rendszergazdák számára engedélyezi a beállításjegyzék távoli elérését. A beállításjegyzék távoli elérésének engedélyezését célzó kulcsmódosítások csak a rendszer újraindítása után lépnek érvénybe.

A beállításjegyzék elérését korlátozó beállításkulcs létrehozása:
  1. Indítsa el a Rendszerleíróadatbázis-szerkesztőt (Regedt32.exe), keresse meg és jelölje ki a következő alkulcsot:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  2. Kattintson a Szerkesztés menü Kulcs hozzáadása parancsára.
  3. Adja meg a következő értékeket:
    Kulcsnév: SecurePipeServers
    Osztály: REG_SZ
  4. Keresse meg és jelölje ki a következő alkulcsot:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
  5. Kattintson a Szerkesztés menü Kulcs hozzáadása parancsára.
  6. Adja meg a következő értékeket:
    Kulcsnév: winreg
    Osztály: REG_SZ
  7. Keresse meg és jelölje ki a következő alkulcsot:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  8. Kattintson a Szerkesztés menü Azonosító hozzáadása parancsára.
  9. Adja meg a következő értékeket:
    Azonosítónév: Description
    Adattípus: REG_SZ
    Érték: Beállításjegyzék-kiszolgáló
  10. Keresse meg és jelölje ki a következő alkulcsot:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  11. Kattintson a Biztonság, majd az Engedélyek elemre. Adja hozzá azokat a felhasználókat és csoportokat, amelyek számára engedélyezni kívánja a hozzáférést.
  12. Lépjen ki a Rendszerleíróadatbázis-szerkesztőből, és indítsa újra a Windows rendszert.
  13. Ha később módosítani szeretné a beállításjegyzékhez hozzáférési engedéllyel rendelkező felhasználók listáját, ismételje meg a 10–12. lépést.

A hozzáférési korlátozás megkerülése

Bizonyos szolgáltatásoknak a megfelelő működés érdekében hozzáférésre van szükségük a beállításjegyzékhez. Ha például a címtár-replikációs szolgáltatás és a nyomtatásisor-kezelő szolgáltatás hálózaton keresztül kapcsolódik egy nyomtatóhoz, el kell érniük a távoli beállításjegyzéket.

Ezt kétféleképpen biztosíthatja: adja hozzá a szolgáltatást futtató fiók nevét a „winreg” kulcs hozzáférési listájához, vagy konfigurálja úgy a Windows rendszert, hogy kerülje meg azoknak a kulcsoknak a hozzáférési korlátozását, amelyeket hozzáad az AllowedPaths kulcs Machine (Számítógép) vagy Users (Felhasználók) értékeihez.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
   Azonosítónév:     Machine   Azonosítótípus:   REG_MULTI_SZ (karakterláncsor)   Alapértelmezett értékek: System\CurrentControlSet\Control\ProductOptions                 System\CurrentControlSet\Control\Print\Printers                 System\CurrentControlSet\Services\Eventlog                 Software\Microsoft\Windows NT\CurrentVersion                 System\CurrentControlSet\Services\Replicator   Az érvényes értékek tartománya: A beállításjegyzékben érvényes elérési utak.   Az azonosító funkciója: Az értéklistában felsorolt beállításbejegyzések számítógépek általi elérése,                 hacsak külön korlátozás nem vonatkozik egy adott bejegyzése.   Azonosítónév:     Users   Azonosítótípus:   REG_MULTI_SZ (karakterláncsor)   Alapértelmezett értékek: (Nincs alapértelmezett érték)   Az érvényes értékek tartománya: A beállításjegyzékben érvényes elérési utak.   Az azonosító funkciója: Az értéklistában felsorolt beállításbejegyzések felhasználók általi elérése,                 hacsak külön korlátozás nem vonatkozik egy adott bejegyzése. 
A Windows 2000 és az ennél újabb rendszerekben mindez némileg módosul:
   Azonosítónév:     Machine   Azonosítótípus:   REG_MULTI_SZ (karakterláncsor)   Alapértelmezett értékek: System\CurrentControlSet\Control\ProductOptions                 System\CurrentControlSet\Control\Print\Printers                 system\CurrentControlSet\control\Server Applications                 System\CurrentControlSet\Services\Eventlog                 Software\Microsoft\Windows NT\CurrentVersion                    Azonosítónév:  Users (alapértelmezés szerint nem létezik az azonosító) 
Windows beállításjegyzékének programozott módosításáról és a beállításkulcsok biztonságossá tételéről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
146906 A teljesítményadatok védelme Windows 2000, Windows NT és Windows XP rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)


Megjegyzés: Az ebben a cikkben ismertetett lépések végrehajtása után a beállításjegyzék továbbra is elérhető távolról, ha létezik a RestrictNullSessAccess rendszerbeállítási bejegyzés, és annak értéke 0. Ez az érték lehetővé teszi a beállításjegyzék távoli elérését üres munkamenetekkel, és felülír minden egyéb explicit korlátozó beállítást.
prodnt
Tulajdonságok

Cikkazonosító: 153183 - Utolsó ellenőrzés: 08/25/2006 14:41:00 - Verziószám: 8.0

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • kbnetwork KB153183
Visszajelzés