Dela via

Förtroende mellan en Windows NT-domän och en Active Directory-domän kan inte upprättas eller så fungerar det inte som förväntat

  • Artikel

I den här artikeln beskrivs problem med förtroendekonfigurationen mellan en Windows NT 4.0-baserad domän och en Active Directory-baserad domän.

Ursprungligt KB-nummer: 889030

Symptom

Om du försöker konfigurera ett förtroende mellan en Microsoft Windows NT 4.0-baserad domän och en Active Directory-baserad domän kan du uppleva något av följande symtom:

  • Förtroendet har inte upprättats.
  • Förtroendet upprättas, men förtroendet fungerar inte som förväntat.

Dessutom kan du få något av följande felmeddelanden:

Följande fel uppstod när domänen "Domain_Name": Kontot har inte behörighet att logga in från den här stationen.

Åtkomst nekas.

Det gick inte att kontakta någon domänkontrollant.

Inloggningsfel: okänt användarnamn eller felaktigt lösenord.

När du använder objektväljaren i Active Directory - användare och datorer för att lägga till användare från NT 4.0-domänen i Active Directory-domänen kan du få följande felmeddelande:

Inga objekt matchar den aktuella sökningen. Kontrollera sökparametrarna och försök igen.

Orsak

Det här problemet uppstår på grund av ett konfigurationsproblem i något av följande områden:

  • Namnmatchning
  • Säkerhetsinställningar
  • Användarrättigheter
  • Gruppmedlemskap för Microsoft Windows 2000 eller Microsoft Windows Server 2003

Om du vill identifiera orsaken till problemet korrekt måste du felsöka förtroendekonfigurationen.

Åtgärd

Om du får felmeddelandet "Inga objekt matchar den aktuella sökningen" när du använder objektväljaren i Active Directory - användare och datorer kontrollerar du att domänkontrollanterna i NT 4.0-domänen inkluderar Alla i åtkomsten till den här datorn från nätverksanvändarens rättighet. I det här scenariot försöker objektväljaren ansluta anonymt över förtroendet. Om du vill verifiera de här inställningarna följer du stegen i avsnittet "Metod tre: Verifiera användarrättigheterna".

Om du vill felsöka problem med förtroendekonfigurationen mellan en Windows NT 4.0-baserad domän och Active Directory måste du verifiera rätt konfiguration av följande områden:

  • Namnmatchning
  • Säkerhetsinställningar
  • Användarrättigheter
  • Gruppmedlemskap för Microsoft Windows 2000 eller Microsoft Windows Server 2003

Gör så här.

Metod ett: Verifiera rätt konfiguration av namnmatchning

Steg 1: Skapa en LMHOSTS-fil

Skapa en LMHOSTS-fil på de primära domänkontrollanterna för att tillhandahålla funktioner för korsdomänmatchning. LMHOSTS-filen är en textfil som du kan redigera med valfri textredigerare, till exempel Anteckningar. LMHOSTS-filen på varje domänkontrollant måste innehålla TCP/IP-adressen, domännamnet och posten \0x1b för den andra domänkontrollanten.

När du har skapat LMHOSTS-filen följer du dessa steg:

  1. Ändra filen så att den innehåller text som liknar följande text:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Kommentar

    Det måste finnas totalt 20 tecken och blanksteg mellan citattecknen (" ") för posten \0x1b. Lägg till blanksteg efter domännamnet så att det använder 15 tecken. Det 16:e tecknet är det omvänt snedstreck som följs av värdet "0x1b" och detta ger totalt 20 tecken.

  2. När du har slutfört ändringarna i LMHOSTS-filen sparar du filen i mappen %SystemRoot% \System32\Drivers\Etc på domänkontrollanterna. Mer information om LMHOSTS-filen finns i exempelfilen Lmhosts.sam som finns i mappen %SystemRoot% \System32\Drivers\Etc.

Steg 2: Läs in LMHOSTS-filen i cacheminnet

  1. Klicka på Start, klicka på Kör, skriv cmd och klicka sedan på OK.

  2. I kommandotolken skriver du NBTSTAT -Roch trycker sedan på RETUR. Det här kommandot läser in LMHOSTS-filen i cacheminnet.

  3. I kommandotolken skriver du NBTSTAT -coch trycker sedan på RETUR. Det här kommandot visar cachen. Om filen skrivs korrekt liknar cacheminnet följande:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIK 1.1.1.1 -1
    NT4PDCName <20> UNIKT 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIK 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Om filen inte fyller i cacheminnet korrekt fortsätter du med nästa steg.

Steg 3: Kontrollera att LMHOSTS-sökningen är aktiverad på den Windows NT 4.0-baserade datorn

Om filen inte fyller i cachen korrekt kontrollerar du att LMHOSTS-sökning är aktiverat på den Windows NT 4.0-baserade datorn. För att göra detta följer du stegen nedan:

  1. Klicka på Start, peka på Inställningar och klicka sedan på Kontrollpanelen.
  2. Dubbelklicka på Nätverk, klicka på fliken Protokoll och dubbelklicka sedan på TCP/IP Protocol.
  3. Klicka på fliken WINS-adress och klicka sedan på för att markera kryssrutan Aktivera LMHOSTS-sökning.
  4. Starta om datorn.
  5. Upprepa stegen i avsnittet "Läs in LMHOSTS-filen i cacheminnet".
  6. Om filen inte fyller i cachen korrekt kontrollerar du att LMHOSTS-filen finns i mappen %SystemRoot%\System32\Drivers\Etc och att filen är korrekt formaterad.

Filen måste till exempel formateras på liknande sätt som i följande exempelformatering:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Kommentar

Det måste finnas totalt 20 tecken och blanksteg inom citattecknen (" ") för domännamnet och \0x1b posten.

Steg 4: Använd kommandot Ping för att testa anslutningen

När filen fyller cachen korrekt på varje server använder du Ping kommandot på varje server för att testa anslutningen mellan servrarna. För att göra detta följer du stegen nedan:

  1. Klicka på Start, klicka på Kör, skriv cmd och klicka sedan på OK.

  2. I kommandotolken skriver du Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>och trycker sedan på RETUR. Ping Om kommandot inte fungerar kontrollerar du att rätt IP-adresser visas i LMHOSTS-filen.

  3. I kommandotolken skriver du net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>och trycker sedan på RETUR. Du förväntas få följande felmeddelande:

    Systemfel 5 har uppstått. Åtkomst nekad

    Om net view-kommandot returnerar följande felmeddelande eller något annat relaterat felmeddelande kontrollerar du att rätt IP-adresser visas i LMHOSTS-filen:

    Systemfel 53 har inträffat. Det gick inte att hitta nätverkssökvägen

Alternativt kan Windows Internet Name Service (WINS) konfigureras för att aktivera namnmatchningsfunktioner utan att använda en LMHOSTS-fil.

Metod två: Visa säkerhetsinställningar

Vanligtvis har Active Directory-sidan av förtroendekonfigurationen säkerhetsinställningar som orsakar anslutningsproblem. Säkerhetsinställningarna måste dock kontrolleras på båda sidor av förtroendet.

Steg 1: Visa säkerhetsinställningar på Windows 2000 Server och Windows Server 2003

I Windows 2000 Server och Windows Server 2003 kan säkerhetsinställningarna tillämpas eller konfigureras av grupprincip, en lokal princip eller en tillämpad säkerhetsmall.

Du måste använda rätt verktyg för att fastställa de aktuella värdena för säkerhetsinställningarna för att undvika felaktiga avläsningar.

Använd följande metoder för att få en korrekt läsning av de aktuella säkerhetsinställningarna:

  • I Windows 2000 Server använder du snapin-modulen Säkerhetskonfiguration och analys.

  • I Windows Server 2003 använder du snapin-modulen Säkerhetskonfiguration och analys eller snapin-modulen Resultant Set of Policy (RSoP).

När du har fastställt de aktuella inställningarna måste du identifiera principen som tillämpar inställningarna. Du måste till exempel fastställa grupprincip i Active Directory eller de lokala inställningar som anger säkerhetsprincipen.

I Windows Server 2003 identifieras principen som anger säkerhetsvärdena av RSoP-verktyget. I Windows 2000 måste du dock visa grupprincip och den lokala principen för att fastställa vilken princip som innehåller säkerhetsinställningarna:

  • Om du vill visa inställningarna för grupprincip måste du aktivera loggningsutdata för Microsoft Windows 2000 Security Configuration Client under grupprincip bearbetning.

  • Visa Loggboken för programinloggning och hitta händelse-ID 1000 och händelse-ID 1202.

Följande tre avsnitt identifierar operativsystemet och listar de säkerhetsinställningar som du måste verifiera för operativsystemet i den information som du har samlat in:

Windows 2000

Kontrollera att följande inställningar har konfigurerats på det sätt som visas.

RestrictAnonymous:

Ytterligare begränsningar för anonyma anslutningar
 "Ingen. Förlita dig på standardbehörigheter"

LM-kompatibilitet:

LAN Manager-autentiseringsnivå "Skicka endast NTLM-svar"

SMB-signering, SMB-kryptering eller båda:

Signera klientkommunikation digitalt (alltid) INAKTIVERAD
Signera klientkommunikation digitalt (när det är möjligt) AKTIVERAD
Signera serverkommunikation digitalt (alltid) INAKTIVERAD
Signera serverkommunikation digitalt (när det är möjligt) AKTIVERAD
Säker kanal: Kryptera eller signera säkra kanaldata digitalt (alltid) INAKTIVERAD
Säker kanal: Kryptera säkra kanaldata digitalt (när det är möjligt) INAKTIVERAD
Säker kanal: Signera säkra kanaldata digitalt (när det är möjligt) INAKTIVERAD
Säker kanal: Kräv stark (Windows 2000 eller senare) sessionsnyckel INAKTIVERAD
Windows Server 2003

Kontrollera att följande inställningar har konfigurerats på det sätt som visas.

RestrictAnonymous och RestrictAnonymousSam:

Nätverksåtkomst: Tillåt anonym SID/namnöversättning AKTIVERAD
Nätverksåtkomst: Tillåt inte anonym uppräkning av SAM-konton INAKTIVERAD
Nätverksåtkomst: Tillåt inte anonym uppräkning av SAM-konton och resurser INAKTIVERAD
Nätverksåtkomst: Låt behörigheter för alla gälla för anonyma användare AKTIVERAD
Nätverksåtkomst: Namngivna rör kan nås anonymt AKTIVERAD
Nätverksåtkomst: Begränsa anonym åtkomst till namngivna pipes och resurser INAKTIVERAD

Kommentar

Som standard är värdet för nätverksåtkomsten: Tillåt anonym SID/namnöversättning inaktiverad i Windows Server 2008.

LM-kompatibilitet:

Nätverkssäkerhet: Autentiseringsnivå för LAN Manager "Skicka endast NTLM-svar"

SMB-signering, SMB-kryptering eller båda:

Microsoft-nätverksklient: Signera kommunikation digitalt (alltid) INAKTIVERAD
Microsoft-nätverksklient: Signera kommunikation digitalt (om klienten tillåter) AKTIVERAD
Microsoft-nätverksserver: Signera kommunikation digitalt (alltid) INAKTIVERAD
Microsoft-nätverksserver: Signera kommunikation digitalt (om klienten tillåter) AKTIVERAD
Domänmedlem: Kryptera eller signera data för säker kanal digitalt (alltid) INAKTIVERAD
Domänmedlem: Kryptera säkra kanaldata digitalt (när det är möjligt) AKTIVERAD
Domänmedlem: Signera säkra kanaldata digitalt (när det är möjligt) AKTIVERAD
Domänmedlem: Kräv stark sessionsnyckel (Windows 2000 eller senare) INAKTIVERAD

När inställningarna har konfigurerats korrekt måste du starta om datorn. Säkerhetsinställningarna tillämpas inte förrän datorn startas om.

När datorn har startats om väntar du 10 minuter för att se till att alla säkerhetsprinciper tillämpas och att de effektiva inställningarna har konfigurerats. Vi rekommenderar att du väntar 10 minuter eftersom Active Directory-principuppdateringar sker var femte minut på en domänkontrollant och uppdateringen kan ändra säkerhetsinställningsvärdena. Efter 10 minuter använder du Säkerhetskonfiguration och analys eller något annat verktyg för att undersöka säkerhetsinställningarna i Windows 2000 och Windows Server 2003.

Windows NT 4.0

Viktigt!

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför noggrant dessa steg. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. Om du vill ha mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base: 322756 Säkerhetskopiera och återställa registret i Windows

I Windows NT 4.0 måste de aktuella säkerhetsinställningarna verifieras med verktyget Regedt32 för att kunna visa registret. För att göra detta följer du stegen nedan:

  1. Klicka på Start, klicka på Kör, skriv regedt32 och klicka sedan på OK.

  2. Expandera följande registerundernycklar och visa sedan värdet som har tilldelats till posten RestrictAnonymous:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Expandera följande registerundernycklar och visa sedan värdet som har tilldelats posten LM-kompatibilitet:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Expandera följande registerundernycklar och visa sedan värdet som har tilldelats posten EnableSecuritySignature (server):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Expandera följande registerundernycklar och visa sedan värdet som har tilldelats posten RequireSecuritySignature (server):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Expandera följande registerundernycklar och visa sedan värdet som har tilldelats posten RequireSignOrSeal:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Expandera följande registerundernycklar och visa sedan värdet som har tilldelats posten SealSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Expandera följande registerundernycklar och visa sedan värdet som har tilldelats posten SignSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Expandera följande registerundernycklar och visa sedan värdet som har tilldelats posten RequireStrongKey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Metod tre: Verifiera användarrättigheterna

Följ dessa steg för att verifiera nödvändiga användarrättigheter på en Windows 2000-baserad dator:

  1. Klicka på Starta, peka på Program, peka på Administrationsverktyg och klicka sedan på Lokal säkerhetsprincip.
  2. Expandera Lokala principer och klicka sedan på Tilldelning av användarrättigheter.
  3. Dubbelklicka på Åtkomst till den här datorn från nätverket i det högra fönstret.
  4. Klicka för att markera kryssrutan Lokal principinställning bredvid gruppen Alla i listan Tilldelad och klicka sedan på OK.
  5. Dubbelklicka på Neka åtkomst till den här datorn från nätverket.
  6. Kontrollera att det inte finns några principgrupper i listan Tilldelad och klicka sedan på OK. Kontrollera till exempel att Alla, Autentiserade användare och andra grupper inte visas.
  7. Klicka på OK och avsluta sedan Den lokala säkerhetsprincipen.

Följ dessa steg för att verifiera nödvändiga användarrättigheter på en Windows Server 2003-baserad dator:

  1. Klicka på Start, peka på Administrationsverktyg och klicka sedan på Säkerhetsprincip för domänkontrollant.

  2. Expandera Lokala principer och klicka sedan på Tilldelning av användarrättigheter.

  3. Dubbelklicka på Åtkomst till den här datorn från nätverket i det högra fönstret.

  4. Kontrollera att gruppen Alla finns i listan Åtkomst till den här datorn från nätverkslistan .

    Om gruppen Alla inte visas följer du dessa steg:

    1. Klicka på Lägg till användare eller grupp.
    2. I rutan Användare och gruppnamn skriver du Alla och klickar sedan på OK.

  5. Dubbelklicka på Neka åtkomst till den här datorn från nätverket.

  6. Kontrollera att det inte finns några principgrupper i listan Neka åtkomst till den här datorn från nätverkslistan och klicka sedan på OK. Kontrollera till exempel att Alla, Autentiserade användare och andra grupper inte visas.

  7. Klicka på OK och stäng sedan domänkontrollantens säkerhetsprincip.

Följ dessa steg för att verifiera nödvändiga användarrättigheter på en Windows NT Server 4.0-baserad dator:

  1. Klicka på Start, peka på Program, peka på Administrationsverktyg och klicka sedan på Användarhanteraren för domäner.

  2. På menyn Principer klickar du på Användarrättigheter.

  3. I listan Höger klickar du på Åtkomst till den här datorn från nätverket.

  4. I rutan Bevilja till kontrollerar du att gruppen Alla har lagts till .

    Om gruppen Alla inte läggs till följer du dessa steg:

    1. Klicka på Lägg till.
    2. I listan Namn klickar du på Alla, klickar på Lägg till och sedan på OK.

  5. Klicka på OK och avsluta sedan Användarhanteraren.

Metod fyra: Verifiera gruppmedlemskap

Om ett förtroende har konfigurerats mellan domänerna, men du inte kan lägga till principanvändargrupper från en domän till den andra eftersom dialogrutan inte hittar de andra domänobjekten, kanske gruppen "Pre-Windows 2000 compatible access" inte har rätt medlemskap.

På Windows 2000-baserade domänkontrollanter och Windows Server 2003-baserade domänkontrollanter kontrollerar du att de gruppmedlemskap som krävs är konfigurerade.

Gör detta på Windows 2000-baserade domänkontrollanter genom att följa dessa steg:

  1. Klicka på Start, peka på Program, peka på Administrationsverktyg och klicka sedan på Active Directory-användare och -datorer.

  2. Klicka på Inbyggd och dubbelklicka sedan på Pre-Windows 2000-kompatibel åtkomstgrupp.

  3. Klicka på fliken Medlemmar och kontrollera sedan att gruppen Alla finns i listan Medlemmar .

  4. Om gruppen Alla inte finns i listan Medlemmar följer du dessa steg:

    1. Klicka på Start, klicka på Kör, skriv cmd och klicka sedan på OK.
    2. I kommandotolken skriver du net localgroup "Pre-Windows 2000 Compatible Access" everyone /addoch trycker sedan på RETUR.

För att säkerställa att de gruppmedlemskap som krävs har konfigurerats på Windows Server 2003-baserade domänkontrollanter måste du veta om principinställningen "Nätverksåtkomst: Låt alla behörigheter gälla för anonyma användare" är inaktiverad. Om du inte vet kan du använda grupprincip-objektredigeraren för att fastställa tillståndet för principinställningen "Nätverksåtkomst: Låt alla behörigheter gälla för anonyma användare". För att göra detta följer du stegen nedan:

  1. Klicka på Start, klicka på Kör, skriv gpedit.msc och klicka sedan på OK.

  2. Expandera följande mappar:

    Princip för lokal dator
    Datorkonfiguration
    Windows-inställningar
    Säkerhetsinställningar
    Lokala principer

  3. Klicka på Säkerhetsalternativ och sedan på Nätverksåtkomst: Låt Alla behörigheter gälla för anonyma användare i den högra rutan.

  4. Observera om värdet i kolumnen Säkerhetsinställning är Inaktiverat eller Aktiverat.

Följ dessa steg för att se till att de nödvändiga gruppmedlemskapen har konfigurerats på de Windows Server 2003-baserade domänkontrollanterna:

  1. Klicka på Start, peka på Program, peka på Administrationsverktyg och klicka sedan på Active Directory-användare och -datorer.

  2. Klicka på Inbyggd och dubbelklicka sedan på Pre-Windows 2000-kompatibel åtkomstgrupp.

  3. Klicka på fliken Medlemmar .

  4. Om principinställningen Nätverksåtkomst: Låt alla behörigheter gälla för anonyma användare är inaktiverad kontrollerar du att gruppen Alla, Anonym inloggning finns i listan Medlemmar . Om principinställningen "Nätverksåtkomst: Låt alla behörigheter gälla för anonyma användare" är aktiverad kontrollerar du att gruppen Alla finns i listan Medlemmar .

  5. Om gruppen Alla inte finns i listan Medlemmar följer du dessa steg:

    1. Klicka på Start, klicka på Kör, skriv cmd och klicka sedan på OK.
    2. I kommandotolken skriver du net localgroup "Pre-Windows 2000 Compatible Access" everyone /addoch trycker sedan på RETUR.

Metod fem: Verifiera anslutningen via nätverksenheter, till exempel brandväggar, växlar eller routrar

Om du har fått felmeddelanden som liknar följande felmeddelande och du har kontrollerat att LMHOST-filerna är korrekta kan problemet orsakas av en brandvägg, router eller växel som har blockerat portar mellan domänkontrollanterna:

Ingen domänkontrollant kunde kontaktas

Om du vill felsöka nätverksenheter använder du PortQry Command Line Port Scanner version 2.0 för att testa portarna mellan dina domänkontrollanter.

Om du vill ha mer information om PortQry version 2 klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

832919 Nya funktioner i PortQry version 2.0

Om du vill ha mer information om hur portarna måste konfigureras klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

179442 Konfigurera en brandvägg för domäner och förtroenden

Metod sex: Samla in ytterligare information för att felsöka problemet

Om de tidigare metoderna inte hjälpte dig att lösa problemet samlar du in följande ytterligare information som hjälper dig att felsöka orsaken till problemet:

  • Aktivera Netlogon-loggning på båda domänkontrollanterna. Om du vill ha mer information om hur du slutför Netlogon-loggning klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base: 109626 Aktivera felsökningsloggning för tjänsten Net Logon

  • Samla in en spårning på båda domänkontrollanterna samtidigt som problemet uppstår.

Mer information

Följande lista över grupprincip objekt (GPO: er) innehåller platsen för motsvarande registerpost och grupprincip i tillämpliga operativsystem:

  • GPO:n RestrictAnonymous:

    • Windows NT-registerplats: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Registerplats för Windows 2000 och Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 grupprincip: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\ Säkerhetsalternativ Ytterligare begränsningar för anonyma anslutningar
    • Windows Server 2003 grupprincip: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Säkerhetsalternativ Nätverksåtkomst: Tillåt inte anonym uppräkning av SAM-konton och -resurser

  • GPO:n RestrictAnonymousSAM:

    • Windows Server 2003-registerplats: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 grupprincip: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar Säkerhetsalternativ Nätverksåtkomst: Tillåt inte anonym uppräkning av SAM-konton och -resurser

  • Grupprincipobjektet EveryoneIncludesAnonymous:

    • Windows Server 2003-registerplats: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 grupprincip: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Säkerhetsalternativ Nätverksåtkomst: Låt alla behörigheter gälla för anonyma användare

  • Grupprincipobjektet för LM-kompatibilitet:

    • Registerplats för Windows NT, Windows 2000 och Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 grupprincip: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Säkerhetsalternativ: LAN Manager-autentiseringsnivå

    • Windows Server 2003 grupprincip: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Säkerhetsalternativ\Nätverkssäkerhet: LAN Manager-autentiseringsnivå

  • GPO:n EnableSecuritySignature (klient):

    • Registerplats för Windows 2000 och Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 grupprincip: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar \Säkerhetsalternativ: Signera klientkommunikation digitalt (om möjligt)
    • Windows Server 2003 grupprincip: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Säkerhetsalternativ\Microsoft-nätverksklient: Signera kommunikation digitalt (om servern samtycker)

  • Grupprincipobjektet RequireSecuritySignature (klient):

    • Registerplats för Windows 2000 och Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 grupprincip: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Säkerhetsalternativ: Signera klientkommunikation digitalt (alltid)
    • Windows Server 2003: Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Säkerhetsalternativ\Microsoft-nätverksklient: Signera kommunikation digitalt (alltid)

  • GPO:n EnableSecuritySignature (server):

    • Windows NT-registerplats: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Registerplats för Windows 2000 och Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 grupprincip: Signera serverkommunikation digitalt (om möjligt)
    • Windows Server 2003 grupprincip: Microsoft-nätverksserver: Signera kommunikation digitalt (om klienten samtycker)

  • Grupprincipobjektet RequireSecuritySignature (server):

    • Windows NT-registerplats: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Registerplats för Windows 2000 och Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 grupprincip: Signera serverkommunikation digitalt (alltid)
    • Windows Server 2003 grupprincip: Microsoft-nätverksserver: Signera kommunikation digitalt (alltid)

  • KrävSignOrSeal-grupprincipobjektet:

    • Registerplats för Windows NT, Windows 2000 och Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grupprincip: Kryptera eller signera säkra kanaldata digitalt (alltid)
    • Windows Server2003 grupprincip: Domänmedlem: Kryptera eller signera säkra kanaldata digitalt (alltid)

  • Grupprincipobjektet SealSecureChannel:

    • Registerplats för Windows NT, Windows 2000 och Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grupprincip: Säker kanal: Kryptera säkra kanaldata digitalt (om möjligt)
    • Windows Server 2003 grupprincip: Domänmedlem: Kryptera säkra kanaldata digitalt (om möjligt)

  • Grupprincipobjektet SignSecureChannel:

    • Registerplats för Windows NT, Windows 2000 och Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grupprincip: Säker kanal: Signera säkra kanaldata digitalt (om möjligt)
    • Windows Server 2003 grupprincip: Domänmedlem: Signera säkra kanaldata digitalt (om möjligt)

  • RequireStrongKey-grupprincipobjektet:

    • Registerplats för Windows NT, Windows 2000 och Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grupprincip: Säker kanal: Kräv stark (Windows 2000 eller senare) sessionsnyckel
    • Windows Server 2003 grupprincip: Domänmedlem: Kräv stark (Windows 2000 eller senare) sessionsnyckel

Windows Server 2008

På en domänkontrollant som kör Windows Server 2008 kan standardbeteendet för principinställningen Tillåt kryptografialgoritmer som är kompatibla med Windows NT 4.0 orsaka ett problem. Den här inställningen förhindrar att både Windows-operativsystem och klienter från tredje part använder svaga kryptografialgoritmer för att upprätta NETLOGON-säkerhetskanaler till Windows Server 2008-baserade domänkontrollanter.

Referenser

Om du vill ha mer information klickar du på följande artikelnummer för att visa artiklarna i Microsoft Knowledge Base:

823659 klient-, tjänst- och programkompatibiliteter som kan uppstå när du ändrar säkerhetsinställningar och tilldelningar av användarrättigheter