您目前已離線,請等候您的網際網路重新連線

如何使用 Windows 2000 中的 RestrictAnonymous 登錄值

重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Microsoft Windows 登錄說明
結論
本文將告訴您,系統管理員如何在 Windows 2000 的電腦上使用 RestrictAnonymous 登錄值以限制匿名連線的存取。
其他相關資訊
警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。這些問題可能會需要您重新安裝作業系統才能解決。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。

系統管理員可以設定 Windows 2000 的電腦,以避免匿名登入存取所有資源,唯一的例外是當此匿名使用者被明確授與資源的存取權限時。如果要控制這種行為,請使用下列其中一種方法。

注意 如果「終端機伺服器授權」是在 Windows 2000 電腦上執行,其他啟用終端機服務的伺服器便無法向它要求授權。

本機安全性原則 MMC 嵌入式管理單元

  1. 按一下 [開始],依序指向 [程式集][系統管理工具],再按一下 [本機安全性原則]

    注意 如果 [程式集] 清單中沒有出現 [系統管理工具],因而使您無法執行此步驟,請按一下 [開始],指向 [設定],再指向 [控制台],按一下 [系統管理工具],再按一下 [本機安全性原則]。然後繼續步驟 2。
  2. [安全性設定] 下,按兩下 [本機原則],再按一下 [安全性選項]
  3. 按兩下 [匿名連線的其他限制],再按一下 [[本機原則設定] 下的 [沒有明確宣告的匿名權限則不能存取]
  4. 請重新啟動成員電腦或網域控制站讓變更生效。

RestrictAnonymous 登錄值

請使用「登錄編輯程式」來檢視下列登錄機碼,然後將下列值加入此機碼中,如果機碼已經存在,則修改機碼的值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
數值:RestrictAnonymous
數值類型:REG_DWORD
數值資料:0x2 (Hex)

在變更登錄中的 RestrictAnonymous 機碼後,請重新啟動電腦。

當 RestrictAnonymous 登錄值設定為 2 時,為未經驗證的使用者所建立的存取權杖,並不包括 Everyone 群組。因此,存取權杖無法再存取授與 Everyone 群組權限的資源。這樣可能會導致系統產生不必要的情形,因為許多 Windows 2000 服務及協力廠商程式,都需要使用匿名存取功能才能執行合法的工作。

例如,當信任網域中的系統管理員,想要授與本機存取給在受信任網域中的使用者時,可能需要列舉受信任網域中的使用者。因為受信任網域無法驗證信任網域中的系統管理員,所以可能會使用匿名列舉。因此,到底應該強調安全性而限制匿名使用者所能使用的功能,或是要考慮那些必須依賴匿名存取才能完成功能的服務與程式,您必須權衡兩者的利弊。

當 Windows 2000 網域控制站上的 RestrictAnonymous 登錄值設定為 2 時,下列工作會受到限制:
  • 下層成員工作站或伺服器無法設定 Netlogon 安全通道。
  • 信任網域中的下層網域控制站無法設定 Netlogon 安全通道。
  • Microsoft Windows NT 使用者在密碼過期後無法變更密碼。同時,Macintosh 使用者根本無法變更密碼。
  • 只要電腦上執行的是備份瀏覽器、主瀏覽器或網域主瀏覽,且 RestrictAnonymous 登錄值設定為 2,Browser 服務便無法從這些瀏覽器上擷取網域清單或伺服器清單。因此,任何依賴 Browser 服務的程式將無法正常運作。
因為上述原因,建議您不要將包含下層用戶端之混合模式環境中的 RestrictAnonymous 登錄值設定為 2。只有當您僅在 Windows 2000 環境中作業,並經過充分的品質保證測試,確定能維持適當的服務水準和程式功能時,才能考慮將 RestrictAnonymous 登錄值設定為 2。

注意 預先定義的「高安全性」安全性範本將 RestrictAnonymous 登錄值設定為 2,因此,使用這些範本時必須非常小心。 如需有關 RestrictAnonymous 登錄值的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
178640Could Not Find Domain Controller When Establishing a Trust
在 Windows NT 4.0 中,RestrictAnonymous 的設定是將登錄值變更為 0 或 1,而在 Windows 2000 中,其設定是將登錄值變更為 0、1 或 2。這些數字對應到下列設定:

0 無。依賴預設權限

1 不允許列舉 SAM 帳號和名稱

2 沒有明確宣告的匿名權限則不能存取
內容

文章識別碼:246261 - 最後檢閱時間:03/14/2006 06:49:52 - 修訂: 5.3

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbenv kbhowto kbnetwork KB246261
意見反應