A confiança entre um domínio do Windows NT e um domínio do Active Directory não pode ser estabelecida ou não funciona conforme esperado
Este artigo descreve os problemas de configuração de confiança entre um domínio baseado no Windows NT 4.0 e um domínio baseado no Active Directory.
Número original da BDC: 889030
Sintomas
Se tentar configurar uma confiança entre um domínio baseado no Microsoft Windows NT 4.0 e um domínio baseado no Active Directory, poderá deparar-se com um dos seguintes sintomas:
- A confiança não é estabelecida.
- A confiança é estabelecida, mas a confiança não funciona conforme esperado.
Além disso, poderá receber qualquer uma das seguintes mensagens de erro:
Ocorreu o seguinte erro ao tentar associar o domínio "Domain_Name": a conta não está autorizada a iniciar sessão a partir desta estação.
Acesso negado.
Não foi possível contactar nenhum controlador de domínio.
Falha no início de sessão: nome de utilizador desconhecido ou palavra-passe incorreta.
Quando utiliza o seletor de objetos em Utilizadores e Computadores do Active Directory para adicionar utilizadores do domínio NT 4.0 ao domínio do Active Directory, poderá receber a seguinte mensagem de erro:
Nenhum item corresponde à pesquisa atual. Verifique os parâmetros de pesquisa e tente novamente.
Motivo
Este problema ocorre devido a um problema de configuração em qualquer uma das seguintes áreas:
- Resolução do nome
- Configurações de segurança
- Direitos de utilizador
- Associação a grupos para o Microsoft Windows 2000 ou Microsoft Windows Server 2003
Para identificar corretamente a causa do problema, tem de resolver o problema da configuração de fidedignidade.
Solução
Se receber a mensagem de erro "Nenhum item corresponde à pesquisa atual" quando utilizar o seletor de objetos em Utilizadores e Computadores do Active Directory, certifique-se de que os controladores de domínio no domínio NT 4.0 incluem Todos no acesso a este computador a partir do direito de utilizador de rede. Neste cenário, o seletor de objetos tenta ligar-se anonimamente através da fidedignidade. Para verificar estas definições, siga os passos na secção "Método três: Verificar os direitos do utilizador".
Para resolver problemas de configuração de confiança entre um domínio baseado no Windows NT 4.0 e o Active Directory, tem de verificar a configuração correta das seguintes áreas:
- Resolução do nome
- Configurações de segurança
- Direitos de utilizador
- Associação a grupos para o Microsoft Windows 2000 ou Microsoft Windows Server 2003
Para tal, utilize os seguintes métodos.
Método um: verificar a configuração correta da resolução de nomes
Passo 1: Criar um ficheiro LMHOSTS
Crie um ficheiro LMHOSTS nos controladores de domínio primários para fornecer a capacidade de resolução de nomes entre domínios. O ficheiro LMHOSTS é um ficheiro de texto que pode editar com qualquer editor de texto, como o Bloco de Notas. O ficheiro LMHOSTS em cada controlador de domínio tem de conter o endereço TCP/IP, o nome de domínio e a entrada \0x1b do outro controlador de domínio.
Depois de criar o ficheiro LMHOSTS, siga estes passos:
Modifique o ficheiro para que contenha texto semelhante ao seguinte texto:
1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
2.2.2.2 "<2000_Domain> \0x1b"#PREObservação
Tem de existir um total de 20 carateres e espaços entre as aspas (" ") para a entrada \0x1b. Adicione espaços após o nome de domínio para que utilize 15 carateres. O 16.º caráter é a barra invertida seguida do valor "0x1b", o que representa um total de 20 carateres.
Quando terminar as alterações ao ficheiro LMHOSTS, guarde o ficheiro na pasta %SystemRoot% \System32\Drivers\Etc nos controladores de domínio. Para obter mais informações sobre o ficheiro LMHOSTS, veja o ficheiro de exemplo Lmhosts.sam localizado na pasta %SystemRoot% \System32\Drivers\Etc.
Passo 2: carregar o ficheiro LMHOSTS para a cache
Clique em Iniciar, clique em Executar, escreva cmd e, em seguida, clique em OK.
Na linha de comandos, escreva
NBTSTAT -R
e, em seguida, prima ENTER. Este comando carrega o ficheiro LMHOSTS para a cache.Na linha de comandos, escreva
NBTSTAT -c
e, em seguida, prima ENTER. Este comando apresenta a cache. Se o ficheiro for escrito corretamente, a cache é semelhante à seguinte:NT4PDCName <03> EXCLUSIVO 1.1.1.1 -1
NT4PDCName <00> EXCLUSIVO 1.1.1.1 -1
NT4PDCName <20> EXCLUSIVO 1.1.1.1 -1
NT4DomainName <1C> GROUP 1.1.1.1 -1
NT4DomainName <1B> EXCLUSIVO 1.1.1.1 -1
W2KPDCName <03> UNIQUE 2.2.2.2 -1
W2KPDCName <00> UNIQUE 2.2.2.2 -1
W2KPDCName <20> UNIQUE 2.2.2.2 -1
W2KDomainName <1C> GROUP 2.2.2.2 -1
W2KDomainName <1B> EXCLUSIVO 2.2.2.2 -1Se o ficheiro não preencher corretamente a cache, continue com o passo seguinte.
Passo 3: certifique-se de que a pesquisa LMHOSTS está ativada no computador baseado no Windows NT 4.0
Se o ficheiro não preencher corretamente a cache, certifique-se de que a pesquisa LMHOSTS está ativada no computador baseado no Windows NT 4.0. Para fazer isso, siga estas etapas:
- Clique em Iniciar, aponte para Configurações e clique em Painel de Controle.
- Faça duplo clique em Redes, clique no separador Protocolos e, em seguida, faça duplo clique em Protocolo TCP/IP.
- Clique no separador Endereço WINS e, em seguida, clique para selecionar a caixa de verificação Ativar Pesquisa LMHOSTS .
- Reinicie o computador.
- Repita os passos na secção "Carregar o ficheiro LMHOSTS para a cache".
- Se o ficheiro não preencher corretamente a cache, certifique-se de que o ficheiro LMHOSTS está na pasta %SystemRoot%\System32\Drivers\Etc e que o ficheiro está corretamente formatado.
Por exemplo, o ficheiro tem de ser formatado de formatação semelhante à seguinte formatação de exemplo:
1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE
Observação
Tem de existir um total de 20 carateres e espaços dentro das aspas (" ") para a entrada Nome de domínio e \0x1b.
Passo 4: Utilizar o comando Ping para testar a conectividade
Quando o ficheiro povoar corretamente a cache em cada servidor, utilize o Ping
comando em cada servidor para testar a conectividade entre os servidores. Para fazer isso, siga estas etapas:
Clique em Iniciar, clique em Executar, escreva cmd e, em seguida, clique em OK.
Na linha de comandos, escreva
Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>
e, em seguida, prima ENTER. Se oPing
comando não funcionar, certifique-se de que os endereços IP corretos estão listados no ficheiro LMHOSTS.Na linha de comandos, escreva
net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>
e, em seguida, prima ENTER. Espera-se que receba a seguinte mensagem de erro:Ocorreu o erro de sistema 5. Acesso negado
Se o comando net view devolver a seguinte mensagem de erro ou qualquer outra mensagem de erro relacionada, certifique-se de que os endereços IP corretos estão listados no ficheiro LMHOSTS:
O erro do sistema 53 ocorreu. O caminho de rede não foi encontrado
Em alternativa, o Windows Internet Name Service (WINS) pode ser configurado para ativar a funcionalidade de resolução de nomes sem utilizar um ficheiro LMHOSTS.
Método dois: Ver definições de segurança
Normalmente, o lado do Active Directory da configuração de confiança tem definições de segurança que causam problemas de conectividade. No entanto, as definições de segurança têm de ser inspecionadas em ambos os lados da fidedignidade.
Passo 1: Ver definições de segurança no Windows 2000 Server e Windows Server 2003
No Windows 2000 Server e no Windows Server 2003, as definições de segurança podem ser aplicadas ou configuradas pela Política de Grupo, uma política local ou um modelo de segurança aplicado.
Tem de utilizar as ferramentas corretas para determinar os valores atuais das definições de segurança para evitar leituras imprecisas.
Para obter uma leitura precisa das definições de segurança atuais, utilize os seguintes métodos:
No Windows 2000 Server, utilize o snap-in Configuração e Análise de Segurança.
No Windows Server 2003, utilize o snap-in Configuração e Análise de Segurança ou o snap-in Conjunto de Políticas Resultante (RSoP).
Depois de determinar as definições atuais, tem de identificar a política que está a aplicar as definições. Por exemplo, tem de determinar a Política de Grupo no Active Directory ou as definições locais que definem a política de segurança.
No Windows Server 2003, a política que define os valores de segurança é identificada pela ferramenta RSoP. No entanto, no Windows 2000, tem de ver a Política de Grupo e a política local para determinar a política que contém as definições de segurança:
Para ver as definições da Política de Grupo, tem de ativar a saída de registo para o Cliente de Configuração de Segurança do Microsoft Windows 2000 durante o processamento da Política de Grupo.
Veja o Visualizador de Eventos de Início de Sessão da Aplicação e localize o ID do Evento 1000 e o ID do evento 1202.
As três secções seguintes identificam o sistema operativo e listam as definições de segurança que tem de verificar para o sistema operativo nas informações que recolheu:
Windows 2000
Certifique-se de que as seguintes definições estão configuradas conforme mostrado.
RestrictAnonymous:
Restrições adicionais para ligações anónimas |
"Nenhum. Confiar nas permissões predefinidas" |
---|
Compatibilidade LM:
Nível de autenticação do Lan Manager | "Enviar apenas resposta NTLM" |
---|
Assinatura SMB, Encriptação SMB ou ambos:
Assinar digitalmente comunicações de cliente (sempre) | DESATIVADO |
---|---|
Assinar digitalmente comunicações de cliente (quando for possível) | ATIVADO |
Assinar digitalmente comunicações do servidor (sempre) | DESATIVADO |
Assinar digitalmente comunicações do servidor (quando for possível) | ATIVADO |
Canal seguro: encriptar digitalmente ou assinar dados de canal seguro (sempre) | DESATIVADO |
Canal seguro: encriptar digitalmente dados de canais seguros (quando for possível) | DESATIVADO |
Canal seguro: assinar digitalmente dados de canal seguro (quando for possível) | DESATIVADO |
Canal seguro: exigir chave de sessão forte (Windows 2000 ou posterior) | DESATIVADO |
Windows Server 2003
Certifique-se de que as seguintes definições estão configuradas conforme mostrado.
RestrictAnonymous e RestrictAnonymousSam:
Acesso à rede: Permitir tradução anónima de SID/Nome | ATIVADO |
---|---|
Acesso à rede: não permitir a enumeração anónima de contas SAM | DESATIVADO |
Acesso à rede: não permitir a enumeração anónima de contas e partilhas SAM | DESATIVADO |
Acesso à rede: permitir que todas as permissões se apliquem a utilizadores anónimos | ATIVADO |
Acesso à rede: os pipes nomeados podem ser acedidos anonimamente | ATIVADO |
Acesso à rede: Restringir o acesso anónimo a Pipes Nomeados e partilhas | DESATIVADO |
Observação
Por predefinição, o valor da definição Acesso à rede: Permitir tradução anónima de SID/Nome está DESATIVADO no Windows Server 2008.
Compatibilidade LM:
Segurança de rede: nível de autenticação do Lan Manager | "Enviar apenas resposta NTLM" |
---|
Assinatura SMB, Encriptação SMB ou ambos:
Cliente de rede da Microsoft: assinar digitalmente comunicações (sempre) | DESATIVADO |
---|---|
Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) | ATIVADO |
Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre) | DESATIVADO |
Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) | ATIVADO |
Membro do domínio: encriptar digitalmente ou assinar dados de canal seguro (sempre) | DESATIVADO |
Membro do domínio: encriptar digitalmente dados de canais seguros (quando for possível) | ATIVADO |
Membro do domínio: assinar digitalmente dados de canal seguro (quando for possível) | ATIVADO |
Membro do domínio: exigir chave de sessão forte (Windows 2000 ou posterior) | DESATIVADO |
Depois de configurar as definições corretamente, tem de reiniciar o computador. As definições de segurança não são impostas até que o computador seja reiniciado.
Após o reinício do computador, aguarde 10 minutos para se certificar de que todas as políticas de segurança são aplicadas e que as definições efetivas estão configuradas. Recomendamos que aguarde 10 minutos porque as atualizações de políticas do Active Directory ocorrem a cada 5 minutos num controlador de domínio e a atualização pode alterar os valores das definições de segurança. Após 10 minutos, utilize a Configuração e Análise de Segurança ou outra ferramenta para examinar as definições de segurança no Windows 2000 e Windows Server 2003.
Windows NT 4.0
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft: 322756 Como fazer uma cópia de segurança e restaurar o registo no Windows
No Windows NT 4.0, as definições de segurança atuais têm de ser verificadas através da ferramenta Regedt32 para ver o registo. Para fazer isso, siga estas etapas:
Clique em Iniciar, clique em Executar, escreva regedt32 e, em seguida, clique em OK.
Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada RestrictAnonymous:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada de Compatibilidade LM:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada EnableSecuritySignature (servidor):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada RequireSecuritySignature (servidor):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada RequireSignOrSeal:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada SealSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada SignSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada RequireStrongKey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Método três: Verificar os direitos de utilizador
Para verificar os direitos de utilizador necessários num computador baseado no Windows 2000, siga estes passos:
- Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e, em seguida, clique em Política de Segurança Local.
- Expanda Políticas Locais e, em seguida, clique em Atribuição de Direitos de Utilizador.
- No painel direito, faça duplo clique em Aceder a este computador a partir da rede.
- Clique para selecionar a caixa de verificação Definição de Política Local junto ao grupo Todos na lista Atribuído a e, em seguida, clique em OK.
- Faça duplo clique em Negar acesso a este computador a partir da rede.
- Verifique se não existem grupos de princípios na lista Atribuído a e, em seguida, clique em OK. Por exemplo, certifique-se de que Todos, Utilizadores Autenticados e outros grupos não estão listados.
- Clique em OK e, em seguida, saia da Política de Segurança Local.
Para verificar os direitos de utilizador necessários num computador baseado no Windows Server 2003, siga estes passos:
Clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Política de Segurança do Controlador de Domínio.
Expanda Políticas Locais e, em seguida, clique em Atribuição de Direitos de Utilizador.
No painel direito, faça duplo clique em Aceder a este computador a partir da rede.
Certifique-se de que o grupo Todos está na lista Aceder a este computador a partir da rede .
Se o grupo Todos não estiver listado, siga estes passos:
- Clique em Adicionar Utilizador ou Grupo.
- Na caixa Nomes de utilizador e de grupo , escreva Todos e, em seguida, clique em OK.
Faça duplo clique em Negar acesso a este computador a partir da rede.
Verifique se não existem grupos de princípios na lista Negar acesso a este computador a partir da rede e, em seguida, clique em OK. Por exemplo, certifique-se de que Todos, Utilizadores Autenticados e outros grupos não estão listados.
Clique em OK e, em seguida, feche a Política de Segurança do Controlador de Domínio.
Para verificar os direitos de utilizador necessários num computador baseado no Windows NT Server 4.0, siga estes passos:
Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e, em seguida, clique em Gestor de Utilizadores para Domínios.
No menu Políticas , clique em Direitos de Utilizador.
Na lista Direita , clique em Aceder a este computador a partir da rede.
Na caixa Conceder a , certifique-se de que o grupo Todos é adicionado.
Se o grupo Todos não for adicionado, siga estes passos:
- Clique em Adicionar.
- Na lista Nomes , clique em Todos, clique em Adicionar e, em seguida, clique em OK.
Clique em OK e, em seguida, saia do Gestor de Utilizadores.
Método quatro: Verificar a associação ao grupo
Se estiver configurada uma fidedignidade entre os domínios, mas não conseguir adicionar grupos de utilizadores principais de um domínio ao outro porque a caixa de diálogo não localiza os outros objetos de domínio, o grupo "Acesso compatível com o Pré-Windows 2000" poderá não ter a associação correta.
Nos controladores de domínio baseados no Windows 2000 e nos controladores de domínio baseados no Windows Server 2003, certifique-se de que as associações de grupo necessárias estão configuradas.
Para o fazer nos controladores de domínio baseados no Windows 2000, siga estes passos:
Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.
Clique em Incorporado e, em seguida, faça duplo clique em Grupo de acesso compatível com o Windows 2000.
Clique no separador Membros e, em seguida, certifique-se de que o grupo Todos está na lista Membros .
Se o grupo Todos não estiver na lista Membros , siga estes passos:
- Clique em Iniciar, clique em Executar, escreva cmd e, em seguida, clique em OK.
- Na linha de comandos, escreva
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
e, em seguida, prima ENTER.
Para se certificar de que as associações de grupo necessárias estão configuradas nos controladores de domínio baseados no Windows Server 2003, tem de saber se a definição de política "Acesso à rede: Permitir que todas as pessoas se apliquem a utilizadores anónimos" está desativada. Se não souber, utilize o Editor de Objetos de Política de Grupo para determinar o estado da definição de política "Acesso à rede: Permitir que todas as pessoas se apliquem a utilizadores anónimos". Para fazer isso, siga estas etapas:
Clique em Iniciar e em Executar, digite gpedit.msc e clique em OK.
Expanda as seguintes pastas:
Política de Computador Local
Configurações do Computador
Configurações do Windows
Definições de Segurança
Políticas LocaisClique em Opções de Segurança e, em seguida, clique em Acesso à rede: permita que todas as permissões se apliquem a utilizadores anónimos no painel direito.
Tenha em atenção se o valor na coluna Definição de Segurança está Desativado ou Ativado.
Para se certificar de que as associações de grupo necessárias estão configuradas nos controladores de domínio baseados no Windows Server 2003, siga estes passos:
Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.
Clique em Incorporado e, em seguida, faça duplo clique em Grupo de acesso compatível com o Windows 2000.
Clique na guia Membros.
Se a definição de política Acesso à rede: Permitir que todas as pessoas se apliquem a utilizadores anónimos está desativada , certifique-se de que o grupo Todos, Início de Sessão Anónimo está na lista Membros . Se a definição de política "Acesso à rede: Permitir que todas as pessoas se apliquem a utilizadores anónimos" estiver ativada, certifique-se de que o grupo Todos está na lista Membros .
Se o grupo Todos não estiver na lista Membros , siga estes passos:
- Clique em Iniciar, clique em Executar, escreva cmd e, em seguida, clique em OK.
- Na linha de comandos, escreva
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
e, em seguida, prima ENTER.
Método cinco: verificar a conectividade através de dispositivos de rede, como firewalls, comutadores ou routers
Se tiver recebido mensagens de erro semelhantes à seguinte mensagem de erro e tiver verificado que os ficheiros LMHOST estão corretos, o problema pode ser causado por uma firewall, router ou comutador que bloqueou portas entre os controladores de domínio:
Não foi possível contactar nenhum controlador de domínio
Para resolver problemas de dispositivos de rede, utilize o PortQry Command Line Port Scanner versão 2.0 para testar as portas entre os controladores de domínio.
Para obter mais informações sobre a versão 2 do PortQry, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:
832919 Novas funcionalidades no PortQry versão 2.0
Para obter mais informações sobre como as portas têm de ser configuradas, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:
179442 Como configurar uma firewall para domínios e fidedignidades
Método seis: recolher informações adicionais para ajudar a resolver o problema
Se os métodos anteriores não o ajudaram a resolver o problema, recolha as seguintes informações adicionais para o ajudar a resolver a causa do problema:
Ative o registo do Netlogon em ambos os controladores de domínio. Para obter mais informações sobre como concluir o registo do Netlogon, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft: 109626 Ativar o registo de depuração para o serviço Net Logon
Capture um rastreio em ambos os controladores de domínio ao mesmo tempo que o problema ocorre.
Mais informações
A seguinte lista de objetos de Política de Grupo (GPOs) fornece a localização da entrada de registo correspondente e a Política de Grupo nos sistemas operativos aplicáveis:
O GPO RestrictAnonymous:
- Localização do registo do Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
- Localização do registo do Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Política de Grupo do Windows 2000: Configuração do Computador\Definições do Windows\Definições de Segurança\ Opções de Segurança Restrições adicionais para ligações anónimas
- Política de Grupo do Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança Acesso à rede: Não permitir a enumeração anónima de contas e partilhas SAM
- Localização do registo do Windows NT:
O GPO RestrictAnonymousSAM:
- Localização do registo do Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Política de Grupo do Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança Opções de Segurança Acesso à rede: Não permitir a enumeração anónima de contas e partilhas SAM
- Localização do registo do Windows Server 2003:
O GPO EveryoneIncludesAnonymous:
- Localização do registo do Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Política de Grupo do Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança Acesso à rede: Permitir que todas as permissões se apliquem a utilizadores anónimos
- Localização do registo do Windows Server 2003:
O GPO de Compatibilidade LM:
Localização do registo do Windows NT, Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Política de Grupo do Windows 2000: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança: nível de autenticação do Lan Manager
Política de Grupo do Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança\Segurança de rede: nível de autenticação do Lan Manager
O GPO EnableSecuritySignature (cliente):
- Localização do registo do Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
- Política de Grupo do Windows 2000: Configuração do Computador\Definições do Windows\Definições de Segurança \Opções de Segurança: Assinar digitalmente a comunicação do cliente (sempre que possível)
- Política de Grupo do Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança\Cliente de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar)
- Localização do registo do Windows 2000 e Windows Server 2003:
O GPO RequireSecuritySignature (cliente):
- Localização do registo do Windows 2000 e Windows Server 2003:
HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
- Política de Grupo do Windows 2000: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança: Assinar digitalmente a comunicação do cliente (sempre)
- Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança\Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre)
- Localização do registo do Windows 2000 e Windows Server 2003:
O GPO EnableSecuritySignature (servidor):
- Localização do registo do Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
- Localização do registo do Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
- Política de Grupo do Windows 2000: assinar digitalmente a comunicação do servidor (sempre que possível)
- Política de Grupo do Windows Server 2003: servidor de rede da Microsoft: Assinar digitalmente comunicações (se o cliente concordar)
- Localização do registo do Windows NT:
O GPO RequireSecuritySignature (servidor):
- Localização do registo do Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
- Localização do registo do Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
- Política de Grupo do Windows 2000: assinar digitalmente a comunicação do servidor (sempre)
- Política de Grupo do Windows Server 2003: servidor de rede da Microsoft: assinar digitalmente comunicações (sempre)
- Localização do registo do Windows NT:
O GPO RequireSignOrSeal:
- Localização do registo do Windows NT, Windows 2000 e Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Política de Grupo do Windows 2000: encriptar digitalmente ou assinar dados de canal seguro (sempre)
- Política de Grupo do Windows Server2003: Membro do domínio: encriptar digitalmente ou assinar dados de canal seguro (sempre)
- Localização do registo do Windows NT, Windows 2000 e Windows Server2003:
O GPO SealSecureChannel:
- Localização do registo do Windows NT, Windows 2000 e Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Política de Grupo do Windows 2000: Canal seguro: encriptar digitalmente dados de canais seguros (sempre que possível)
- Política de Grupo do Windows Server 2003: Membro do domínio: encriptar digitalmente dados de canais seguros (sempre que possível)
- Localização do registo do Windows NT, Windows 2000 e Windows Server2003:
O GPO SignSecureChannel:
- Localização do registo do Windows NT, Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Política de Grupo do Windows 2000: Canal seguro: assinar digitalmente dados de canais seguros (sempre que possível)
- Política de Grupo do Windows Server 2003: Membro do domínio: assinar digitalmente dados de canal seguro (sempre que possível)
- Localização do registo do Windows NT, Windows 2000 e Windows Server 2003:
O GPO RequireStrongKey:
- Localização do registo do Windows NT, Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Política de Grupo do Windows 2000: Canal seguro: exigir chave de sessão forte (Windows 2000 ou posterior)
- Política de Grupo do Windows Server 2003: Membro do domínio: exigir chave de sessão forte (Windows 2000 ou posterior)
- Localização do registo do Windows NT, Windows 2000 e Windows Server 2003:
Windows Server 2008
Num controlador de domínio com o Windows Server 2008, o comportamento predefinido da definição de política Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0 pode causar um problema. Esta definição impede que os sistemas operativos Windows e os clientes de terceiros utilizem algoritmos de criptografia fracos para estabelecer canais de segurança NETLOGON para controladores de domínio baseados no Windows Server 2008.
Referências
Para obter mais informações, clique nos seguintes números de artigo para ver os artigos na Base de Dados de Conhecimento Microsoft:
823659 incompatibilidades de clientes, serviços e programas que podem ocorrer quando modifica definições de segurança e atribuições de direitos de utilizador