Meer informatie

Waarschuwing Er kunnen zich ernstige problemen voordoen als u het register met de Register-editor of met een andere methode foutief wijzigt. Wellicht moet u door deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Het wijzigen van het register is dan ook voor uw eigen risico.


Een beheerder kan een computer met Windows 2000 zodanig configureren dat anonieme aanmeldingen geen toegang hebben tot alle bronnen, met uitzondering van bronnen waartoe de anonieme gebruiker uitdrukkelijk toegang is verleend. U kunt dit gedrag op een van de volgende manieren bepalen.


Opmerking Als Terminal Server-licentieverlening wordt uitgevoerd op de computer met Windows 2000, kunnen andere servers waarop Terminal Services is ingeschakeld, geen licenties aanvragen bij de computer.

De MMC-module Lokaal beveiligingsbeleid

1. Klik op Start, wijs Programma's aan, wijs Systeembeheer aan en klik op Lokaal beveiligingsbeleid.
   
   Opmerking Als u deze stap niet kunt uitvoeren omdat Systeembeheer niet wordt weergegeven in de lijst Programma's, klikt u op Start. Wijs achtereenvolgens Instellingen en Configuratiescherm aan, klik op Systeembeheer en klik op Lokaal beveiligingsbeleid. Ga dan door met stap 2.
2. Dubbelklik bij Beveiligingsinstellingen op Lokaal beleid en klik op Beveiligingsopties.
3. Dubbelklik op Extra beperkingen voor anonieme verbindingen en klik op Geen toegang zonder uitdrukkelijke anonieme machtigingen onder Lokale beveiligingsinstelling.
4. Start de lidcomputer of domeincontroller opnieuw op om de wijziging te activeren.

De registerwaarde RestrictAnonymous

Bekijk in de Register-editor de volgende registersleutel en voeg de volgende registerwaarde toe aan deze sleutel of wijzig de waarde als deze reeds bestaat:

Waarde: RestrictAnonymous

Waardetype: REG_DWORD

Gegevens: 0x2 (Hex)


Start de computer opnieuw op nadat u de registersleutel RestrictAnonymous hebt gewijzigd.


Als u de registerwaarde RestrictAnonymous instelt op 2, omvat het toegangstoken dat wordt gegenereerd voor niet-geverifieerde gebruikers, de groep Iedereen niet. Als gevolg hiervan heeft het toegangstoken geen toegang tot bronnen met machtigingen voor de groep Iedereen. Dit kan ongewenste gevolgen hebben omdat veel Windows 2000-services en programma's van derden afhankelijk zijn van anonieme toegangsmogelijkheden voor het uitvoeren van legitieme taken.


Als een beheerder in een vertrouwend domein bijvoorbeeld lokale toegang wil verlenen aan een gebruiker in een vertrouwd domein, kan het noodzakelijk zijn om de gebruikers in het vertrouwde domein te inventariseren. Aangezien het vertrouwde domein de beheerder in het vertrouwende domein niet kan verifiëren, wordt een anonieme inventarisatie gebruikt. De voordelen om de mogelijkheden van anonieme gebruikers te beperken vanuit het oogpunt van beveiliging moeten worden afgewogen tegen de corresponderende vereisten van services en programma's die afhankelijk zijn van anonieme toegang om volledig te kunnen functioneren.


De volgende taken worden beperkt als de registerwaarde RestrictAnonymous wordt ingesteld op 2 op een domeincontroller met Windows 2000:

• Lidwerkstations of servers op een lager niveau kunnen geen veilig kanaal instellen voor netwerkaanmelding.
• Domeincontrollers op een lager niveau in vertrouwende domeinen kunnen geen veilig kanaal instellen voor netwerkaanmelding.
• Gebruikers van Microsoft Windows NT kunnen hun wachtwoorden niet wijzigen als deze zijn verlopen. Bovendien kunnen Macintosh-gebruikers hun wachtwoorden helemaal niet wijzigen.
• De Browser-service kan geen domeinlijsten of serverlijsten ophalen van back-upbrowsers, masterbrowsers of domeinmasterbrowsers die worden uitgevoerd op computers waarop de registerwaarde RestrictAnonymous is ingesteld op 2. Als gevolg hiervan functioneren programma's die afhankelijk zijn van de Browser-service niet naar behoren.

Vanwege al deze punten wordt u afgeraden om de registerwaarde RestrictAnonymous in te stellen op 2 in omgevingen met meerdere modi en clients op lagere niveaus. Alleen in omgevingen met Windows 2000 kunt u overwegen om de registerwaarde RestrictAnonymous in te stellen op 2, en dan alleen als na voldoende QA-tests is gebleken dat de gewenste serviceniveaus en programmafunctionaliteit niet in gevaar komen.

Opmerking In voorgedefinieerde beveiligingssjablonen met strikte beveiliging is de registerwaarde RestrictAnonymous ingesteld op 2. Daarom moet u voorzichtig zijn met het gebruik van deze sjablonen.
Voor meer informatie over de registerwaarde RestrictAnonymous klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

U stelt de waarde RestrictAnonymous in door de registersleutel te wijzigen in 0 of 1 voor Windows NT 4.0 of in 0, 1, of 2 voor Windows 2000. Deze getallen komen overeen met de volgende instellingen:


0 Geen. Standaardmachtigingen gebruiken


1 Geen inventarisatie van SAM-accounts en namen toestaan


2 Geen toegang zonder uitdrukkelijke anonieme machtigingen