Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los problemas de configuración de confianza entre un dominio basado en Windows NT 4.0 y un dominio basado en Active Directory.
Número de KB original: 889030
Síntomas
Si intenta configurar una confianza entre un dominio basado en Microsoft Windows NT 4.0 y un dominio basado en Active Directory, puede experimentar cualquiera de los síntomas siguientes:
- No se establece la confianza.
- La confianza se establece, pero la confianza no funciona según lo previsto.
Además, puede recibir cualquiera de los siguientes mensajes de error:
Se produjo el siguiente error al intentar unirse al dominio "Domain_Name": la cuenta no está autorizada para iniciar sesión desde esta estación.
Se denegó el acceso.
No se puede contactar con ningún controlador de dominio.
Error de inicio de sesión: nombre de usuario desconocido o contraseña incorrecta.
Al usar el selector de objetos en Usuarios y equipos de Active Directory para agregar usuarios del dominio NT 4.0 al dominio de Active Directory, puede recibir el siguiente mensaje de error:
No hay elementos que coincidan con la búsqueda actual. Compruebe los parámetros de búsqueda e inténtelo de nuevo.
Causa
Este problema se produce debido a un problema de configuración en cualquiera de las siguientes áreas:
- Resolución de nombres
- Configuración de seguridad
- Derechos de usuario
- Pertenencia a grupos para Microsoft Windows 2000 o Microsoft Windows Server 2003
Para identificar correctamente la causa del problema, debe solucionar la configuración de confianza.
Solución
Si recibe el mensaje de error "No items match the current search" (No hay elementos que coincidan con la búsqueda actual) al usar el selector de objetos en Usuarios y equipos de Active Directory, asegúrese de que los controladores de dominio del dominio NT 4.0 incluyen Todos los usuarios en el acceso a este equipo desde el derecho de usuario de red. En este escenario, el selector de objetos intenta conectarse de forma anónima a través de la confianza. Para comprobar esta configuración, siga los pasos descritos en la sección "Método tres: Comprobar los derechos del usuario".
Para solucionar problemas de configuración de confianza entre un dominio basado en Windows NT 4.0 y Active Directory, debe comprobar la configuración correcta de las siguientes áreas:
- Resolución de nombres
- Configuración de seguridad
- Derechos de usuario
- Pertenencia a grupos para Microsoft Windows 2000 o Microsoft Windows Server 2003
Para ello, use los siguientes métodos.
Método uno: Comprobar la configuración correcta de la resolución de nombres
Paso 1: Crear un archivo LMHOSTS
Cree un archivo LMHOSTS en los controladores de dominio principales para proporcionar capacidad de resolución de nombres entre dominios. El archivo LMHOSTS es un archivo de texto que puede editar con cualquier editor de texto, como el Bloc de notas. El archivo LMHOSTS en cada controlador de dominio debe contener la dirección TCP/IP, el nombre de dominio y la entrada \0x1b del otro controlador de dominio.
Después de crear el archivo LMHOSTS, siga estos pasos:
Modifique el archivo para que contenga texto similar al texto siguiente:
1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
2.2.2.2 "<2000_Domain> \0x1b"#PRENota:
Debe haber un total de 20 caracteres y espacios entre las comillas (" ") para la entrada \0x1b. Agregue espacios después del nombre de dominio para que use 15 caracteres. El 16º carácter es la barra diagonal inversa seguida del valor "0x1b" y esto hace un total de 20 caracteres.
Cuando termine los cambios en el archivo LMHOSTS, guarde el archivo en la carpeta %SystemRoot% \System32\Drivers\Etc en los controladores de dominio. Para obtener más información sobre el archivo LMHOSTS, vea el archivo de ejemplo Lmhosts.sam que se encuentra en la carpeta %SystemRoot% \System32\Drivers\Etc.
Paso 2: Cargar el archivo LMHOSTS en la memoria caché
Haga clic en Inicioy en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.
En el símbolo del sistema, escriba
NBTSTAT -R
y presione ENTRAR. Este comando carga el archivo LMHOSTS en la memoria caché.En el símbolo del sistema, escriba
NBTSTAT -c
y presione ENTRAR. Este comando muestra la memoria caché. Si el archivo se escribe correctamente, la memoria caché es similar a la siguiente:NT4PDCName <03> UNIQUE 1.1.1.1 -1
NT4PDCName <00> UNIQUE 1.1.1.1 -1
NT4PDCName <20> UNIQUE 1.1.1.1 -1
NT4DomainName <1C> GROUP 1.1.1.1 -1
NT4DomainName <1B> UNIQUE 1.1.1.1 -1
W2KPDCName <03> UNIQUE 2.2.2.2 -1
W2KPDCName <00> UNIQUE 2.2.2.2 -1
W2KPDCName <20> UNIQUE 2.2.2.2 -1
W2KDomainName <1C> GROUP 2.2.2.2 -1
W2KDomainName <1B> UNIQUE 2.2.2.2 -1Si el archivo no rellena correctamente la memoria caché, continúe con el paso siguiente.
Paso 3: Asegúrese de que la búsqueda LMHOSTS está habilitada en el equipo basado en Windows NT 4.0
Si el archivo no rellena correctamente la memoria caché, asegúrese de que la búsqueda de LMHOSTS esté habilitada en el equipo basado en Windows NT 4.0. Para ello, siga estos pasos:
- Haga clic en Inicio, seleccione Configuracióny, a continuación, haga clic en Panel de control.
- Haga doble clic en Redes, haga clic en la pestaña Protocolos y, a continuación, haga doble clic en Protocolo TCP/IP.
- Haga clic en la pestaña Dirección WINS y, a continuación, haga clic para activar la casilla Habilitar búsqueda de LMHOSTS .
- Reinicie el equipo.
- Repita los pasos de la sección "Cargar el archivo LMHOSTS en la memoria caché".
- Si el archivo no rellena correctamente la memoria caché, asegúrese de que el archivo LMHOSTS está en la carpeta %SystemRoot%\System32\Drivers\Etc y de que el archivo tiene el formato correcto.
Por ejemplo, el archivo debe tener un formato similar al siguiente formato de ejemplo:
1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE
Nota:
Debe haber un total de 20 caracteres y espacios entre comillas (" ") para el nombre de dominio y \0x1b entrada.
Paso 4: Usar el comando Ping para probar la conectividad
Cuando el archivo rellena correctamente la memoria caché en cada servidor, use el Ping
comando en cada servidor para probar la conectividad entre los servidores. Para ello, siga estos pasos:
Haga clic en Inicioy en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.
En el símbolo del sistema, escriba
Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>
y presione ENTRAR. Si elPing
comando no funciona, asegúrese de que las direcciones IP correctas aparecen en el archivo LMHOSTS.En el símbolo del sistema, escriba
net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>
y presione ENTRAR. Se espera que reciba el siguiente mensaje de error:Error de sistema 5. Acceso denegado
Si el comando net view devuelve el siguiente mensaje de error o cualquier otro mensaje de error relacionado, asegúrese de que las direcciones IP correctas aparecen en el archivo LMHOSTS:
Se ha producido el error del sistema 53. No se encuentra la ruta de acceso a la red
Como alternativa, el servicio de nombres de Internet de Windows (WINS) se puede configurar para habilitar la funcionalidad de resolución de nombres sin usar un archivo LMHOSTS.
Método dos: Ver la configuración de seguridad
Normalmente, el lado de Active Directory de la configuración de confianza tiene opciones de seguridad que provocan problemas de conectividad. Sin embargo, la configuración de seguridad debe inspeccionarse en ambos lados de la confianza.
Paso 1: Ver la configuración de seguridad en Windows 2000 Server y Windows Server 2003
En Windows 2000 Server y Windows Server 2003, la configuración de seguridad se puede aplicar o configurar mediante la directiva de grupo, una directiva local o una plantilla de seguridad aplicada.
Debe usar las herramientas correctas para determinar los valores actuales de la configuración de seguridad para evitar lecturas inexactas.
Para obtener una lectura precisa de la configuración de seguridad actual, use los métodos siguientes:
En Windows 2000 Server, use el complemento Configuración de seguridad y análisis.
En Windows Server 2003, usa el complemento Configuración de seguridad y Análisis, o el complemento Conjunto resultante de directivas (RSoP).
Después de determinar la configuración actual, debe identificar la directiva que aplica la configuración. Por ejemplo, debe determinar la directiva de grupo en Active Directory o la configuración local que establece la directiva de seguridad.
En Windows Server 2003, la directiva que establece los valores de seguridad se identifica mediante la herramienta RSoP. Sin embargo, en Windows 2000 debes ver la directiva de grupo y la directiva local para determinar la directiva que contiene la configuración de seguridad:
Para ver la configuración de directiva de grupo, debe habilitar la salida de registro para el cliente de configuración de seguridad de Microsoft Windows 2000 durante el procesamiento de directivas de grupo.
Vea el Visor de eventos de inicio de sesión de la aplicación y busque el identificador de evento 1000 y el identificador de evento 1202.
Las tres secciones siguientes identifican el sistema operativo y enumeran la configuración de seguridad que debe comprobar para el sistema operativo en la información que ha recopilado:
Windows 2000
Asegúrese de que las siguientes opciones están configuradas como se muestra.
RestrictAnonymous:
Restricciones adicionales para conexiones anónimas |
"Ninguno. Confiar en permisos predeterminados" |
---|
Compatibilidad de LM:
Nivel de autenticación de LAN Manager | "Enviar solo respuesta NTLM" |
---|
Firma SMB, Cifrado de SMB o ambos:
Firmar digitalmente las comunicaciones de cliente (siempre) | DISABLED |
---|---|
Firmar digitalmente las comunicaciones de cliente (cuando sea posible) | ENABLED |
Firmar digitalmente las comunicaciones del servidor (siempre) | DISABLED |
Firmar digitalmente las comunicaciones del servidor (cuando sea posible) | ENABLED |
Canal seguro: cifrar digitalmente o firmar datos de canal seguro (siempre) | DISABLED |
Canal seguro: cifre digitalmente los datos del canal seguro (cuando sea posible) | DISABLED |
Canal seguro: firmar digitalmente datos de canal seguros (cuando sea posible) | DISABLED |
Canal seguro: requerir una clave de sesión segura (Windows 2000 o posterior) | DISABLED |
Windows Server 2003
Asegúrese de que las siguientes opciones están configuradas como se muestra.
RestrictAnonymous y RestrictAnonymousSam:
Acceso a redes: permitir traducción SID/nombre anónima | ENABLED |
---|---|
Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM | DISABLED |
Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM | DISABLED |
Acceso a redes: permitir la aplicación de los permisos Todos a los usuarios anónimos | ENABLED |
Acceso a la red: se puede acceder a canalizaciones con nombre de forma anónima | ENABLED |
Acceso a la red: restringir el acceso anónimo a canalizaciones con nombre y recursos compartidos | DISABLED |
Nota:
De forma predeterminada, el valor del acceso a la red: permitir la traducción anónima de SID/Nombre es DISABLED en Windows Server 2008.
Compatibilidad de LM:
Seguridad de red: nivel de autenticación de LAN Manager | "Enviar solo respuesta NTLM" |
---|
Firma SMB, Cifrado de SMB o ambos:
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) | DISABLED |
---|---|
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) | ENABLED |
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) | DISABLED |
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente lo permite) | ENABLED |
Miembro de dominio: cifrar o firmar digitalmente datos de un canal seguro (siempre) | DISABLED |
Miembro de dominio: cifre digitalmente los datos de canal seguros (cuando sea posible) | ENABLED |
Miembro del dominio: firma digitalmente datos de canal seguros (cuando sea posible) | ENABLED |
Miembro de dominio: requerir clave de sesión segura (Windows 2000 o posterior) | DISABLED |
Una vez configuradas correctamente las opciones, debe reiniciar el equipo. La configuración de seguridad no se aplica hasta que se reinicie el equipo.
Una vez reiniciado el equipo, espere 10 minutos para asegurarse de que se aplican todas las directivas de seguridad y de que se configuran las opciones vigentes. Se recomienda esperar 10 minutos porque las actualizaciones de directivas de Active Directory se producen cada 5 minutos en un controlador de dominio y la actualización puede cambiar los valores de configuración de seguridad. Después de 10 minutos, usa Configuración y análisis de seguridad u otra herramienta para examinar la configuración de seguridad en Windows 2000 y Windows Server 2003.
Windows NT 4.0
Importante
Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, haga clic en el siguiente número de artículo para ver el artículo de Microsoft Knowledge Base: 322756 Cómo realizar copias de seguridad y restaurar el registro en Windows.
En Windows NT 4.0, la configuración de seguridad actual debe comprobarse mediante la herramienta Regedt32 para ver el registro. Para ello, siga estos pasos:
Haga clic en Inicio, haga clic en Ejecutar, escriba regedt32 y, a continuación, haga clic en Aceptar.
Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada RestrictAnonymous:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada Compatibilidad de LM:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada EnableSecuritySignature (servidor):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada RequireSecuritySignature (servidor):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada RequireSignOrSeal:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada SealSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada SignSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Expanda las siguientes subclaves del Registro y, a continuación, vea el valor asignado a la entrada RequireStrongKey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Método tres: Comprobar los derechos del usuario
Para comprobar los derechos de usuario necesarios en un equipo basado en Windows 2000, siga estos pasos:
- Haga clic en Inicio, seleccione Programas, Herramientas administrativas y luego haga clic en Directiva de seguridad local.
- Expanda Directivas locales y, a continuación, haga clic en Asignación de derechos de usuario.
- En el panel derecho, haga doble clic en Acceder a este equipo desde la red.
- Haga clic para activar la casilla Configuración de directiva local situada junto al grupo Todos en la lista Asignado a y, a continuación, haga clic en Aceptar.
- Haga doble clic en Denegar acceso a este equipo desde la red.
- Compruebe que no hay ningún grupo de principios en la lista Asignado a y, a continuación, haga clic en Aceptar. Por ejemplo, asegúrese de que todos, usuarios autenticados y otros grupos no aparecen en la lista.
- Haga clic en Aceptar y, a continuación, salga de directiva de seguridad local.
Para comprobar los derechos de usuario necesarios en un equipo basado en Windows Server 2003, siga estos pasos:
Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Directiva de seguridad del controlador de dominio.
Expanda Directivas locales y, a continuación, haga clic en Asignación de derechos de usuario.
En el panel derecho, haga doble clic en Acceder a este equipo desde la red.
Asegúrese de que el grupo Todos está en el equipo Acceso a este equipo desde la lista de red .
Si el grupo Todos no aparece, siga estos pasos:
- Haga clic en Agregar grupo o usuario.
- En el cuadro Nombres de usuario y grupo , escriba Todos y, a continuación, haga clic en Aceptar.
Haga doble clic en Denegar acceso a este equipo desde la red.
Compruebe que no hay ningún grupo de principios en denegar el acceso a este equipo desde la lista de red y, a continuación, haga clic en Aceptar. Por ejemplo, asegúrese de que Todos, Usuarios autenticados y otros grupos no aparecen en la lista.
Haga clic en Aceptar y, a continuación, cierre la directiva de seguridad del controlador de dominio.
Para comprobar los derechos de usuario necesarios en un equipo basado en Windows NT Server 4.0, siga estos pasos:
Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Administrador de usuarios para dominios.
En el menú Directivas , haga clic en Derechos de usuario.
En la lista Derecha , haga clic en Acceder a este equipo desde la red.
En el cuadro Conceder a , asegúrese de que se agrega el grupo Todos.
Si no se agrega el grupo Todos, siga estos pasos:
- Haga clic en Agregar.
- En la lista Nombres, haga clic en Todos, haga clic en Agregary, a continuación, haga clic en Aceptar.
Haga clic en Aceptar y, a continuación, salga del Administrador de usuarios.
Método cuatro: Comprobación de la pertenencia a grupos
Si se configura una confianza entre los dominios, pero no se pueden agregar grupos de usuarios principales de un dominio a otro porque el cuadro de diálogo no encuentra los demás objetos de dominio, es posible que el grupo "Acceso compatible con Windows 2000 anterior" no tenga la pertenencia correcta.
En los controladores de dominio basados en Windows 2000 y en los controladores de dominio basados en Windows Server 2003, asegúrese de que están configuradas las pertenencias a grupos necesarias.
Para hacerlo en los controladores de dominio basados en Windows 2000, siga estos pasos:
Haga clic en Inicio, apunte a Programas, apunte a Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
Haga clic en Integradoy, a continuación, haga doble clic en Grupo de acceso compatible con Pre-Windows 2000.
Haga clic en la pestaña Miembros y asegúrese de que el grupo Todos está en la lista Miembros.
Si el grupo Todos no está en la lista Miembros , siga estos pasos:
- Haga clic en Inicioy en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.
- En el símbolo del sistema, escriba
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
y presione ENTRAR.
Para asegurarse de que las pertenencias a grupos necesarias están configuradas en los controladores de dominio basados en Windows Server 2003, debe saber si la configuración de directiva "Acceso a la red: Permitir que todos los permisos se apliquen a usuarios anónimos". Si no lo sabe, use el Editor de objetos de directiva de grupo para determinar el estado de la configuración de directiva "Acceso a la red: Permitir que todos los permisos se apliquen a usuarios anónimos". Para ello, siga estos pasos:
Haga clic en Inicio y en Ejecutar, escriba gpedit.msc y, luego, haga clic en Aceptar.
Expanda las siguientes carpetas:
Directiva de equipo local
Configuración del equipo
Configuración de Windows
Security Settings (Configuración de seguridad)
Directivas localesHaga clic en Opciones de seguridady, a continuación, haga clic en Acceso a la red: permitir que todos los permisos se apliquen a los usuarios anónimos en el panel derecho.
Tenga en cuenta si el valor de la columna Configuración de seguridad es Deshabilitado o Habilitado.
Para asegurarse de que las pertenencias a grupos necesarias están configuradas en los controladores de dominio basados en Windows Server 2003, siga estos pasos:
Haga clic en Inicio, apunte a Programas, apunte a Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
Haga clic en Integradoy, a continuación, haga doble clic en Grupo de acceso compatible con Pre-Windows 2000.
Haga clic en la pestaña Miembros .
Si el acceso a la red: Permitir que todos los permisos se apliquen a la configuración de directiva de usuarios anónimos está deshabilitado, asegúrese de que el grupo Todos, inicio de sesión anónimo está en la lista Miembros . Si está habilitada la configuración de directiva "Acceso a la red: Permitir que todos los usuarios se apliquen a usuarios anónimos", asegúrese de que el grupo Todos está en la lista Miembros .
Si el grupo Todos no está en la lista Miembros , siga estos pasos:
- Haga clic en Inicioy en Ejecutar, escriba cmdy, a continuación, haga clic en Aceptar.
- En el símbolo del sistema, escriba
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
y presione ENTRAR.
Método cinco: comprobar la conectividad a través de dispositivos de red, como firewalls, conmutadores o enrutadores
Si ha recibido mensajes de error similares al siguiente mensaje de error y ha comprobado que los archivos LMHOST son correctos, el problema puede deberse a un firewall, enrutador o conmutador que tiene puertos bloqueados entre los controladores de dominio:
No se puede ponerse en contacto con ningún controlador de dominio
Para solucionar problemas de dispositivos de red, use PortQry Command Line Port Scanner versión 2.0 para probar los puertos entre los controladores de dominio.
Para obtener más información sobre PortQry versión 2, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
832919 nuevas características y funcionalidades en PortQry versión 2.0
Para obtener más información sobre cómo se deben configurar los puertos, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
179442 Cómo configurar un firewall para dominios y confianzas
Método seis: Recopilar información adicional para ayudar a solucionar el problema
Si los métodos anteriores no le ayudaron a resolver el problema, recopile la siguiente información adicional para ayudarle a solucionar la causa del problema:
Habilite el registro de Netlogon en ambos controladores de dominio. Para obtener más información sobre cómo completar el registro de Netlogon, haga clic en el número de artículo siguiente para ver el artículo de Microsoft Knowledge Base: 109626 Habilitación del registro de depuración para el servicio Net Logon.
Capture un seguimiento en ambos controladores de dominio al mismo tiempo que se produce el problema.
Más información
La siguiente lista de objetos de directiva de grupo (GPO) proporciona la ubicación de la entrada del Registro correspondiente y la directiva de grupo en los sistemas operativos aplicables:
GPO RestrictAnonymous:
- Ubicación del registro de Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
- Ubicación del Registro de Windows 2000 y Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Directiva de grupo de Windows 2000: Configuración del equipo\Configuración de Windows\Configuración de seguridad\ Opciones de seguridad Restricciones adicionales para las conexiones anónimas
- Directiva de grupo de Windows Server 2003: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad Acceso a la red: No permitir la enumeración anónima de cuentas y recursos compartidos de SAM
- Ubicación del registro de Windows NT:
GPO RestrictAnonymousSAM:
- Ubicación del Registro de Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Directiva de grupo de Windows Server 2003: Configuración del equipo\Configuración de Windows\Opciones de seguridad Opciones de seguridad Acceso a la red: No permitir la enumeración anónima de cuentas y recursos compartidos de SAM
- Ubicación del Registro de Windows Server 2003:
GPO TodosincludesAnonymous:
- Ubicación del Registro de Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Directiva de grupo de Windows Server 2003: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad Acceso a la red: Permitir que todos los permisos se apliquen a usuarios anónimos
- Ubicación del Registro de Windows Server 2003:
GPO de compatibilidad de LM:
Ubicación del Registro de Windows NT, Windows 2000 y Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Directiva de grupo de Windows 2000: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad: nivel de autenticación de LAN Manager
Directiva de grupo de Windows Server 2003: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad\Seguridad de red: nivel de autenticación de LAN Manager
GPO EnableSecuritySignature (cliente):
- Ubicación del Registro de Windows 2000 y Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
- Directiva de grupo de Windows 2000: Configuración del equipo\Configuración de Windows\Configuración de seguridad \Opciones de seguridad: firmar digitalmente la comunicación del cliente (siempre que sea posible)
- Directiva de grupo de Windows Server 2003: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad\Cliente de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor está de acuerdo)
- Ubicación del Registro de Windows 2000 y Windows Server 2003:
GPO RequireSecuritySignature (cliente):
- Ubicación del Registro de Windows 2000 y Windows Server 2003:
HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
- Directiva de grupo de Windows 2000: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad: firmar digitalmente la comunicación del cliente (siempre)
- Windows Server 2003: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Opciones de seguridad\Cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre)
- Ubicación del Registro de Windows 2000 y Windows Server 2003:
GPO EnableSecuritySignature (servidor):
- Ubicación del registro de Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
- Ubicación del Registro de Windows 2000 y Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
- Directiva de grupo de Windows 2000: firmar digitalmente la comunicación del servidor (siempre que sea posible)
- Directiva de grupo de Windows Server 2003: servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el cliente está de acuerdo)
- Ubicación del registro de Windows NT:
GPO RequireSecuritySignature (servidor):
- Ubicación del registro de Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
- Ubicación del Registro de Windows 2000 y Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
- Directiva de grupo de Windows 2000: firmar digitalmente la comunicación del servidor (siempre)
- Directiva de grupo de Windows Server 2003: servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)
- Ubicación del registro de Windows NT:
GPO RequireSignOrSeal:
- Ubicación del Registro de Windows NT, Windows 2000 y Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Directiva de grupo de Windows 2000: cifrar digitalmente o firmar datos de canal seguro (siempre)
- Directiva de grupo de Windows Server2003: miembro del dominio: cifrar digitalmente o firmar datos de canal seguro (siempre)
- Ubicación del Registro de Windows NT, Windows 2000 y Windows Server2003:
GPO SealSecureChannel:
- Ubicación del Registro de Windows NT, Windows 2000 y Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Directiva de grupo de Windows 2000: Canal seguro: Cifrar digitalmente los datos del canal seguro (siempre que sea posible)
- Directiva de grupo de Windows Server 2003: miembro del dominio: cifrar digitalmente datos de canal seguros (siempre que sea posible)
- Ubicación del Registro de Windows NT, Windows 2000 y Windows Server2003:
GPO SignSecureChannel:
- Ubicación del Registro de Windows NT, Windows 2000 y Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Directiva de grupo de Windows 2000: Canal seguro: firmar digitalmente datos de canal seguros (siempre que sea posible)
- Directiva de grupo de Windows Server 2003: miembro del dominio: firmar digitalmente datos de canal seguros (siempre que sea posible)
- Ubicación del Registro de Windows NT, Windows 2000 y Windows Server 2003:
GPO RequireStrongKey:
- Ubicación del Registro de Windows NT, Windows 2000 y Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Directiva de grupo de Windows 2000: Canal seguro: Requerir clave de sesión segura (Windows 2000 o posterior)
- Directiva de grupo de Windows Server 2003: miembro del dominio: Requerir clave de sesión segura (Windows 2000 o posterior)
- Ubicación del Registro de Windows NT, Windows 2000 y Windows Server 2003:
Windows Server 2008
En un controlador de dominio que ejecuta Windows Server 2008, el comportamiento predeterminado de permitir algoritmos de criptografía compatibles con la configuración de directiva de Windows NT 4.0 puede provocar un problema. Esta configuración impide que los sistemas operativos Windows y los clientes de terceros usen algoritmos de criptografía débiles para establecer canales de seguridad netLOGON en controladores de dominio basados en Windows Server 2008.
Referencias
Para obtener más información, haga clic en los números de artículo siguientes para ver los artículos de Microsoft Knowledge Base:
823659 incompatibilidades de cliente, servicio y programa que pueden producirse al modificar la configuración de seguridad y las asignaciones de derechos de usuario