現在オフラインです。再接続するためにインターネットの接続を待っています

Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法

この記事は、以前は次の ID で公開されていました: JP246261
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
概要
この資料では、管理者がレジストリ値 RestrictAnonymous を使用して、Windows 2000 ベースのコンピュータで匿名接続のアクセスを制限する方法を説明します。
詳細
警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

管理者は Windows 2000 ベースのコンピュータを構成して、ユーザーが匿名でログオンした場合、明示的に匿名ユーザーのアクセスが許可されているリソースを除く、すべてのリソースにアクセスできないようにすることができます。この動作を制御するには、以下のどちらかの方法を使用します。

: Windows 2000 ベースのコンピュータでターミナル サーバーのライセンス サーバーが実行されている場合、ターミナル サービスが有効になっている他のサーバーからライセンスを要求することはできなくなります。

ローカル セキュリティ ポリシー Microsoft 管理コンソール (MMC) スナップ イン

  1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントし、[ローカル セキュリティ ポリシー] をクリックします。

    : [プログラム] のサブメニューの一覧に [管理ツール] が表示されず、この手順を実行できない場合は、[スタート] ボタンをクリックし、[設定] をポイントし、[コントロール パネル] をクリックします。[管理ツール] をダブルクリックし、[ローカル セキュリティ ポリシー] をダブルクリックし、手順 2. に進みます。
  2. [セキュリティの設定] の下の [ローカル ポリシー] をダブルクリックし、[セキュリティ オプション] をクリックします。
  3. [匿名接続の追加を制限する] をダブルクリックし、[ローカル ポリシーの設定] ボックスの一覧の [明示的な匿名アクセス権がない場合アクセスを許可しない] をクリックします。
  4. 変更を有効にするために、メンバ コンピュータまたはドメイン コントローラを再起動します。

レジストリ値 RestrictAnonymous

レジストリ エディタを使用して、以下のレジストリ キーを参照し、このキーに値を追加します。値が既に存在する場合は、その値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
値 : RestrictAnonymous
値の種類 : REG_DWORD
値のデータ : 0x2 (16 進数)

レジストリの RestrictAnonymous キーを変更後、コンピュータを再起動します。

レジストリ値 RestrictAnonymous に 2 を設定した場合、認証済みでないユーザー用に作成されるアクセス トークンには Everyone グループが含まれません。この結果、このアクセス トークンには、Everyone グループに対してアクセスが許可されているリソースへのアクセス権がなくなります。多くの Windows 2000 サービスおよびサードパーティのプログラムでは、正規の作業を実行するのに匿名アクセスの機能に依存しているため、この設定により好ましくない結果が生じる可能性があります。

たとえば、信頼する側のドメインの管理者が、信頼される側のドメインのユーザーにローカル アクセス権を付与したい場合、信頼される側のドメインのユーザーを列挙することが必要な場合があります。信頼される側のドメインで、信頼する側のドメインの管理者を認証できないため、匿名列挙が使用されることがあります。匿名ユーザーの機能の制限は、セキュリティの観点からだけでなく、匿名アクセスに依存して機能するサービスやプログラムの要件も考慮して、その利点を評価する必要があります。

Windows 2000 ベースのドメイン コントローラでレジストリ値 RestrictAnonymous を 2 に設定すると、以下の作業が制限されます。
  • ダウンレベル メンバ ワークステーションまたはサーバーは、Netlogon のセキュリティで保護されたチャネルをセットアップできません。
  • 信頼する側のドメインのダウンレベル ドメイン コントローラは、Netlogon のセキュリティで保護されたチャネルをセットアップできません。
  • Microsoft Windows NT ユーザーは、パスワードの有効期限が切れた後にパスワードを変更できません。また、Macintosh ユーザーはパスワードをまったく変更できません。
  • ブラウザ サービスは、レジストリ値 RestrictAnonymous が 2 に設定されているコンピュータで実行されているバックアップ ブラウザ、マスタ ブラウザ、またはドメイン マスタ ブラウザから、ドメインの一覧またはサーバーの一覧を取得できません。この結果、ブラウザ サービスに依存しているすべてのプログラムは正常に機能しません。
これらの理由により、ダウンレベルのクライアントが存在する混在モードの環境で、レジストリ値 RestrictAnonymous を 2 に設定することはお勧めできません。レジストリ値 RestrictAnonymous を 2 に設定することは、Windows 2000 環境でのみ検討し、適切なサービス レベルやプログラム機能が維持されることを確認する十分な品質保証検査を行った後に行うことをお勧めします。

: 組み込みの "高度なセキュリティで保護された" セキュリティ テンプレートを使用すると、RestrictAnonymous レジストリ値が 2 に設定されます。これらのテンプレートを使用するときは、注意が必要です。レジストリ値 RestrictAnonymous の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
178640 [NT] ドメインの信頼関係を確立できない
レジストリ値 RestrictAnonymous は、Windows NT 4.0 では 0 または 1 に、Windows 2000 では 0、1、または 2 に変更することにより設定します。これらの数値は、以下の設定に対応します。

0 [なし (既定のアクセス権に依存)]

1 [SAM のアカウントと共有の列挙を許可しない]

2 [明示的な匿名アクセス権がない場合アクセスを許可しない]
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 246261 (最終更新日 2005-05-26) を基に作成したものです。
プロパティ

文書番号:246261 - 最終更新日: 08/16/2005 09:49:00 - リビジョン: 5.0

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbhowto kbenv kbnetwork KB246261
フィードバック