呼叫查閱函式來解析名稱時效能不佳
原始 KB 編號: 818024
呼叫 LookupAccountName 或 LsaLookupNames 函式,將隔離的名稱(模棱兩可或非網域限定用戶帳戶)解析為安全性識別碼(SID),您可能會注意到域控制器上的記憶體和 CPU 使用量增加,且效能降低。
例如,使用腳本或工具(例如Cacls.exe、Xcacls.exe、icacls.exe、Dsacls.exe和Subinacl.exe)呼叫函式以編輯安全性設定時,可能會發生效能不佳的情況。
當您有許多受信任的網域或樹系(適用於外部和樹系信任),以及/或其中一些網域或樹系離線或回應緩慢時,可能會顯示此問題。
針對隔離名稱呼叫函式時(格式是 AccountName,與 domain\AccountName 相反),遠端過程調用 (RPC) 會針對所有受信任網域/樹系上的域控制器進行。 如果主域與其他網域/樹系有許多信任關係,或同時執行許多查閱,就可能發生此問題。 例如,腳本設定為在啟動許多用戶端時執行,或許多受信任的網域/樹系同時使用相同的腳本。
停用受信任網域/樹系中隔離名稱的查閱
注意
只在域控制器上建立此登錄專案。
以下說明如何建立登錄專案,以停用受信任網域/樹系中隔離名稱的查閱:
重要
本文包含修改登錄的指示。 如果登錄修改不正確,可能會發生嚴重問題。 作為預防措施,請先備份登錄,再加以修改。 有關如何備份、還原和修改登錄的詳細資訊,請參閱 Windows 備份及登錄方法說明。
開啟 [登錄編輯程式]。
移至
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa。在 [編輯] 功能表上,選取 [新增>DWORD 值]。
輸入 LsaLookupRestrictIsolatedNameLevel,然後按 Enter。
以滑鼠右鍵按兩下 [LsaLookupRestrictIsolatedNameLevel ],然後選取 [ 修改]。 在 [值數據] 方塊中輸入 1。
注意
根據預設, LsaLookupRestrictIsolatedNameLevel 項目會設定為 0 或不存在。 這表示已啟用受信任網域/樹系中隔離名稱的查閱。
選取 [ 確定 ],然後關閉 [註冊表編輯器]。
其他相關資訊
查閱函式可以直接以適當網域上的域控制器為目標,以下列名稱格式為目標,其中包含安全性主體的授權網域:
- NetBIOSDomainName\AccountName
- DnsDomainName\AccountName
- AccountName@DnsDomainName
如需詳細資訊,請參閱 Windows 的網路存取驗證演算法和範例。