Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

A RestrictAnonymous rendszerleíró azonosító használata Windows 2000 rendszerben

FONTOS: Ebben a cikkben a rendszerleíró adatbázis módosításával kapcsolatos tudnivalók olvashatók. A rendszerleíró adatbázis módosítása előtt feltétlenül készítsen biztonsági másolatot arról, és csak akkor fogjon hozzá, ha tisztában van a rendszerleíró adatbázis visszaállításának módjával probléma esetén. További információt a rendszerleíró adatbázis biztonsági mentéséről, visszaállításáról és szerkesztéséről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése (Előfordulhat, hogy a cikk csak angol nyelven érhető el.)
Összefoglaló
Ez a cikk azt írja le, hogy a rendszergazdák miképpen korlátozhatják a névtelen kapcsolaton keresztüli hozzáférést a RestrictAnonymous rendszerleíró azonosító segítségével Windows 2000 alapú számítógépeken.
További információ
Figyelem: A Rendszerleíróadatbázis-szerkesztő helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja a Rendszerleíróadatbázis-szerkesztő nem megfelelő használata miatt fellépő problémák megoldhatóságát. A Rendszerleíróadatbázis-szerkesztőt saját kockázatára használhatja.

A rendszergazdák beállíthatják a Windows 2000 alapú számítógépeket az összes erőforráshoz való névtelen hozzáférés megakadályozására; azokhoz az erőforrásokhoz való hozzáférés azonban nem tiltható le, amelyek elérésére a felhasználó kifejezett engedéllyel rendelkezik. A hozzáférés szabályozásához használja az alábbi módszerek valamelyikét:

Helyi biztonsági házirend MMC beépülő modul

  1. Mutasson a Start menü Programok almenüjének Felügyeleti eszközök pontjára, majd kattintson a Helyi biztonsági házirend parancsra.

    MEGJEGYZÉS: Ha ez a lépés nem hajtható végre, mivel a „Felügyeleti eszközök” parancs nem található a Programok listában, kattintson a Start gombra, mutasson a Beállítások, majd a Vezérlőpult pontra, kattintson a Felügyeleti eszközök parancsra, végül válassza a Helyi biztonsági házirend elemet. Ezután folytassa a második lépéssel.
  2. A Biztonsági beállítások csomópont alatt kattintson duplán a Helyi házirend elemre, majd kattintson a Biztonsági beállítások elemre.
  3. Kattintson duplán a Névtelen kapcsolatok további korlátozása elemre, majd válassza a Névtelen hozzáférés csak külön engedéllyel lehetőséget az Érték a helyi házirendben legördülő listából.
  4. Indítsa újra a tagszámítógépet vagy tartományvezérlőt a változások életbe léptetéséhez.

A RestrictAnonymous rendszerleíró azonosító

A Rendszerleíróadatbázis-szerkesztő segítségével jelenítse meg az alábbi rendszerleíró kulcsot, majd adja hozzá a következő értéket (illetve módosítsa a már meglévő értéket):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Azonosítónév: RestrictAnonymous
Értéktípus: REG_DWORD
Érték: 0x2 (Hex)

A RestrictAnonymous rendszerleíró kulcs módosítását követően indítsa újra a számítógépet.

Ha a RestrictAnonymous rendszerleíró kulcs a 2 értékre van állítva, a nem hitelesített felhasználók hozzáférési tokenje nem tartalmazza a Mindenki csoportot, ezért a hozzáférési token már nem rendelkezik hozzáféréssel a Mindenki csoport számára engedélyeket biztosító erőforrásokhoz. Ez nem várt működést eredményezhet, mivel a Windows 2000 számos szolgáltatása, illetve a külső féltől származó programok a névtelen hozzáférési módszert használják bizonyos feladatok elvégzéséhez.

Ha például egy meghatalmazó tartományban a rendszergazda helyi hozzáférési jogot kíván adni a megbízható (meghatalmazott) tartomány egy felhasználójának, lehetséges, hogy enumerálni kell a megbízható tartomány felhasználóit. Mivel a megbízható tartomány nem képes hitelesíteni a rendszergazdát a meghatalmazó tartományban, névtelen enumerációra kerülhet sor. A névtelen felhasználók engedélyeinek korlátozásából adódó biztonsági előnyöket szembe kell állítani azon programok vagy szolgáltatások megfelelő igényeivel, amelyek teljes körű működéséhez névtelen hozzáférés szükséges.

Ha Windows 2000 alapú tartományvezérlőn a 2 értékre állítja a RestrictAnonymous rendszerleíró kulcsot, az alábbi feladatok esnek korlátozás alá:
  • A régebbi verziójú tagmunkaállomások vagy kiszolgálók nem képesek biztonságos csatornát létrehozni a hálózati bejelentkezéshez.
  • A meghatalmazó tartományok régebbi verziójú tartományvezérlői nem képesek biztonságos csatornát létrehozni a hálózati bejelentkezéshez.
  • A Microsoft Windows NT rendszer felhasználói nem tudják megváltoztatni lejárt jelszavukat. A Macintosh-felhasználók egyáltalán nem tudják megváltoztatni a jelszavukat.
  • A tallózó szolgáltatás nem képes lekérni a tartományok vagy kiszolgálók listáját azon tartalék tallózókról, főtallózókról és tartományi főtallózókról, amelyeken a RestrictAnonymous rendszerleíró kulcshoz a 2 érték van beállítva. Emiatt a tallózó szolgáltatásra hagyatkozó programok nem futnak megfelelően.
Az előbbi okokból kifolyólag nem ajánlott a RestrictAnonymous rendszerleíró kulcshoz a 2 értéket beállítani régebbi verziójú ügyfeleket tartalmazó vegyes módú környezetekben. A RestrictAnonymous rendszerleíró kulcsot csak Windows 2000 alapú környezetben javasolt a 2 értékre állítani, illetve ilyen környezetben is csak azt követően, hogy a megfelelő minőségbiztosítási tesztek megerősítették, hogy az alapvető szolgáltatási szintek és programszolgáltatások működőképesek maradnak.

MEGJEGYZÉS: Az előre definiált „magas biztonsági szintű” biztonsági sablonok a RestrictAnonymous rendszerleíró kulcsot a 2 értékre állítják, ezért ezen sablonok használatakor körültekintően kell eljárni.

További információt a RestrictAnonymous rendszerleíró kulcsról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
178640 A bizalmi kapcsolat létrehozása során a tartományvezérlő nem található (Előfordulhat, hogy a cikk csak angol nyelven érhető el.)
A RestrictAnonymous azonosító értékének beállításához Windows NT 4.0 rendszerben állítsa az azonosító értékét a 0 vagy 1, Windows 2000 rendszerben pedig a 0, 1 vagy 2 értékre. Az értékek az alábbi beállításoknak felelnek meg:

0: Nincs korlátozás. A rendszer az alapértelmezett engedélyek szerint jár el.

1 A SAM-fiókok és -nevek felsorolása nem engedélyezett.

2 Névtelen hozzáférés csak külön engedéllyel.
Tulajdonságok

Cikkazonosító: 246261 - Utolsó ellenőrzés: 09/04/2003 16:38:00 - Verziószám: 2.0

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbhowto kbenv kbnetwork KB246261
Visszajelzés