Partilhar via

A confiança entre um domínio do Windows NT e um domínio do Active Directory não pode ser estabelecida ou não funciona conforme esperado

  • Artigo

Este artigo descreve os problemas de configuração de confiança entre um domínio baseado no Windows NT 4.0 e um domínio baseado no Active Directory.

Número original da BDC: 889030

Sintomas

Se tentar configurar uma confiança entre um domínio baseado no Microsoft Windows NT 4.0 e um domínio baseado no Active Directory, poderá deparar-se com um dos seguintes sintomas:

  • A confiança não é estabelecida.
  • A confiança é estabelecida, mas a confiança não funciona conforme esperado.

Além disso, poderá receber qualquer uma das seguintes mensagens de erro:

Ocorreu o seguinte erro ao tentar associar o domínio "Domain_Name": a conta não está autorizada a iniciar sessão a partir desta estação.

Acesso negado.

Não foi possível contactar nenhum controlador de domínio.

Falha no início de sessão: nome de utilizador desconhecido ou palavra-passe incorreta.

Quando utiliza o seletor de objetos em Utilizadores e Computadores do Active Directory para adicionar utilizadores do domínio NT 4.0 ao domínio do Active Directory, poderá receber a seguinte mensagem de erro:

Nenhum item corresponde à pesquisa atual. Verifique os parâmetros de pesquisa e tente novamente.

Motivo

Este problema ocorre devido a um problema de configuração em qualquer uma das seguintes áreas:

  • Resolução do nome
  • Configurações de segurança
  • Direitos de utilizador
  • Associação a grupos para o Microsoft Windows 2000 ou Microsoft Windows Server 2003

Para identificar corretamente a causa do problema, tem de resolver o problema da configuração de fidedignidade.

Solução

Se receber a mensagem de erro "Nenhum item corresponde à pesquisa atual" quando utilizar o seletor de objetos em Utilizadores e Computadores do Active Directory, certifique-se de que os controladores de domínio no domínio NT 4.0 incluem Todos no acesso a este computador a partir do direito de utilizador de rede. Neste cenário, o seletor de objetos tenta ligar-se anonimamente através da fidedignidade. Para verificar estas definições, siga os passos na secção "Método três: Verificar os direitos do utilizador".

Para resolver problemas de configuração de confiança entre um domínio baseado no Windows NT 4.0 e o Active Directory, tem de verificar a configuração correta das seguintes áreas:

  • Resolução do nome
  • Configurações de segurança
  • Direitos de utilizador
  • Associação a grupos para o Microsoft Windows 2000 ou Microsoft Windows Server 2003

Para tal, utilize os seguintes métodos.

Método um: verificar a configuração correta da resolução de nomes

Passo 1: Criar um ficheiro LMHOSTS

Crie um ficheiro LMHOSTS nos controladores de domínio primários para fornecer a capacidade de resolução de nomes entre domínios. O ficheiro LMHOSTS é um ficheiro de texto que pode editar com qualquer editor de texto, como o Bloco de Notas. O ficheiro LMHOSTS em cada controlador de domínio tem de conter o endereço TCP/IP, o nome de domínio e a entrada \0x1b do outro controlador de domínio.

Depois de criar o ficheiro LMHOSTS, siga estes passos:

  1. Modifique o ficheiro para que contenha texto semelhante ao seguinte texto:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Observação

    Tem de existir um total de 20 carateres e espaços entre as aspas (" ") para a entrada \0x1b. Adicione espaços após o nome de domínio para que utilize 15 carateres. O 16.º caráter é a barra invertida seguida do valor "0x1b", o que representa um total de 20 carateres.

  2. Quando terminar as alterações ao ficheiro LMHOSTS, guarde o ficheiro na pasta %SystemRoot% \System32\Drivers\Etc nos controladores de domínio. Para obter mais informações sobre o ficheiro LMHOSTS, veja o ficheiro de exemplo Lmhosts.sam localizado na pasta %SystemRoot% \System32\Drivers\Etc.

Passo 2: carregar o ficheiro LMHOSTS para a cache

  1. Clique em Iniciar, clique em Executar, escreva cmd e, em seguida, clique em OK.

  2. Na linha de comandos, escreva NBTSTAT -Re, em seguida, prima ENTER. Este comando carrega o ficheiro LMHOSTS para a cache.

  3. Na linha de comandos, escreva NBTSTAT -ce, em seguida, prima ENTER. Este comando apresenta a cache. Se o ficheiro for escrito corretamente, a cache é semelhante à seguinte:

    NT4PDCName <03> EXCLUSIVO 1.1.1.1 -1
    NT4PDCName <00> EXCLUSIVO 1.1.1.1 -1
    NT4PDCName <20> EXCLUSIVO 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> EXCLUSIVO 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> EXCLUSIVO 2.2.2.2 -1

    Se o ficheiro não preencher corretamente a cache, continue com o passo seguinte.

Passo 3: certifique-se de que a pesquisa LMHOSTS está ativada no computador baseado no Windows NT 4.0

Se o ficheiro não preencher corretamente a cache, certifique-se de que a pesquisa LMHOSTS está ativada no computador baseado no Windows NT 4.0. Para fazer isso, siga estas etapas:

  1. Clique em Iniciar, aponte para Configurações e clique em Painel de Controle.
  2. Faça duplo clique em Redes, clique no separador Protocolos e, em seguida, faça duplo clique em Protocolo TCP/IP.
  3. Clique no separador Endereço WINS e, em seguida, clique para selecionar a caixa de verificação Ativar Pesquisa LMHOSTS .
  4. Reinicie o computador.
  5. Repita os passos na secção "Carregar o ficheiro LMHOSTS para a cache".
  6. Se o ficheiro não preencher corretamente a cache, certifique-se de que o ficheiro LMHOSTS está na pasta %SystemRoot%\System32\Drivers\Etc e que o ficheiro está corretamente formatado.

Por exemplo, o ficheiro tem de ser formatado de formatação semelhante à seguinte formatação de exemplo:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Observação

Tem de existir um total de 20 carateres e espaços dentro das aspas (" ") para a entrada Nome de domínio e \0x1b.

Passo 4: Utilizar o comando Ping para testar a conectividade

Quando o ficheiro povoar corretamente a cache em cada servidor, utilize o Ping comando em cada servidor para testar a conectividade entre os servidores. Para fazer isso, siga estas etapas:

  1. Clique em Iniciar, clique em Executar, escreva cmd e, em seguida, clique em OK.

  2. Na linha de comandos, escreva Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>e, em seguida, prima ENTER. Se o Ping comando não funcionar, certifique-se de que os endereços IP corretos estão listados no ficheiro LMHOSTS.

  3. Na linha de comandos, escreva net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>e, em seguida, prima ENTER. Espera-se que receba a seguinte mensagem de erro:

    Ocorreu o erro de sistema 5. Acesso negado

    Se o comando net view devolver a seguinte mensagem de erro ou qualquer outra mensagem de erro relacionada, certifique-se de que os endereços IP corretos estão listados no ficheiro LMHOSTS:

    O erro do sistema 53 ocorreu. O caminho de rede não foi encontrado

Em alternativa, o Windows Internet Name Service (WINS) pode ser configurado para ativar a funcionalidade de resolução de nomes sem utilizar um ficheiro LMHOSTS.

Método dois: Ver definições de segurança

Normalmente, o lado do Active Directory da configuração de confiança tem definições de segurança que causam problemas de conectividade. No entanto, as definições de segurança têm de ser inspecionadas em ambos os lados da fidedignidade.

Passo 1: Ver definições de segurança no Windows 2000 Server e Windows Server 2003

No Windows 2000 Server e no Windows Server 2003, as definições de segurança podem ser aplicadas ou configuradas pela Política de Grupo, uma política local ou um modelo de segurança aplicado.

Tem de utilizar as ferramentas corretas para determinar os valores atuais das definições de segurança para evitar leituras imprecisas.

Para obter uma leitura precisa das definições de segurança atuais, utilize os seguintes métodos:

  • No Windows 2000 Server, utilize o snap-in Configuração e Análise de Segurança.

  • No Windows Server 2003, utilize o snap-in Configuração e Análise de Segurança ou o snap-in Conjunto de Políticas Resultante (RSoP).

Depois de determinar as definições atuais, tem de identificar a política que está a aplicar as definições. Por exemplo, tem de determinar a Política de Grupo no Active Directory ou as definições locais que definem a política de segurança.

No Windows Server 2003, a política que define os valores de segurança é identificada pela ferramenta RSoP. No entanto, no Windows 2000, tem de ver a Política de Grupo e a política local para determinar a política que contém as definições de segurança:

  • Para ver as definições da Política de Grupo, tem de ativar a saída de registo para o Cliente de Configuração de Segurança do Microsoft Windows 2000 durante o processamento da Política de Grupo.

  • Veja o Visualizador de Eventos de Início de Sessão da Aplicação e localize o ID do Evento 1000 e o ID do evento 1202.

As três secções seguintes identificam o sistema operativo e listam as definições de segurança que tem de verificar para o sistema operativo nas informações que recolheu:

Windows 2000

Certifique-se de que as seguintes definições estão configuradas conforme mostrado.

RestrictAnonymous:

Restrições adicionais para ligações anónimas
 "Nenhum. Confiar nas permissões predefinidas"

Compatibilidade LM:

Nível de autenticação do Lan Manager "Enviar apenas resposta NTLM"

Assinatura SMB, Encriptação SMB ou ambos:

Assinar digitalmente comunicações de cliente (sempre) DESATIVADO
Assinar digitalmente comunicações de cliente (quando for possível) ATIVADO
Assinar digitalmente comunicações do servidor (sempre) DESATIVADO
Assinar digitalmente comunicações do servidor (quando for possível) ATIVADO
Canal seguro: encriptar digitalmente ou assinar dados de canal seguro (sempre) DESATIVADO
Canal seguro: encriptar digitalmente dados de canais seguros (quando for possível) DESATIVADO
Canal seguro: assinar digitalmente dados de canal seguro (quando for possível) DESATIVADO
Canal seguro: exigir chave de sessão forte (Windows 2000 ou posterior) DESATIVADO
Windows Server 2003

Certifique-se de que as seguintes definições estão configuradas conforme mostrado.

RestrictAnonymous e RestrictAnonymousSam:

Acesso à rede: Permitir tradução anónima de SID/Nome ATIVADO
Acesso à rede: não permitir a enumeração anónima de contas SAM DESATIVADO
Acesso à rede: não permitir a enumeração anónima de contas e partilhas SAM DESATIVADO
Acesso à rede: permitir que todas as permissões se apliquem a utilizadores anónimos ATIVADO
Acesso à rede: os pipes nomeados podem ser acedidos anonimamente ATIVADO
Acesso à rede: Restringir o acesso anónimo a Pipes Nomeados e partilhas DESATIVADO

Observação

Por predefinição, o valor da definição Acesso à rede: Permitir tradução anónima de SID/Nome está DESATIVADO no Windows Server 2008.

Compatibilidade LM:

Segurança de rede: nível de autenticação do Lan Manager "Enviar apenas resposta NTLM"

Assinatura SMB, Encriptação SMB ou ambos:

Cliente de rede da Microsoft: assinar digitalmente comunicações (sempre) DESATIVADO
Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar) ATIVADO
Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre) DESATIVADO
Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) ATIVADO
Membro do domínio: encriptar digitalmente ou assinar dados de canal seguro (sempre) DESATIVADO
Membro do domínio: encriptar digitalmente dados de canais seguros (quando for possível) ATIVADO
Membro do domínio: assinar digitalmente dados de canal seguro (quando for possível) ATIVADO
Membro do domínio: exigir chave de sessão forte (Windows 2000 ou posterior) DESATIVADO

Depois de configurar as definições corretamente, tem de reiniciar o computador. As definições de segurança não são impostas até que o computador seja reiniciado.

Após o reinício do computador, aguarde 10 minutos para se certificar de que todas as políticas de segurança são aplicadas e que as definições efetivas estão configuradas. Recomendamos que aguarde 10 minutos porque as atualizações de políticas do Active Directory ocorrem a cada 5 minutos num controlador de domínio e a atualização pode alterar os valores das definições de segurança. Após 10 minutos, utilize a Configuração e Análise de Segurança ou outra ferramenta para examinar as definições de segurança no Windows 2000 e Windows Server 2003.

Windows NT 4.0

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft: 322756 Como fazer uma cópia de segurança e restaurar o registo no Windows

No Windows NT 4.0, as definições de segurança atuais têm de ser verificadas através da ferramenta Regedt32 para ver o registo. Para fazer isso, siga estas etapas:

  1. Clique em Iniciar, clique em Executar, escreva regedt32 e, em seguida, clique em OK.

  2. Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada RestrictAnonymous:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada de Compatibilidade LM:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada EnableSecuritySignature (servidor):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada RequireSecuritySignature (servidor):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada RequireSignOrSeal:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada SealSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada SignSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Expanda as seguintes subchaves de registo e, em seguida, veja o valor atribuído à entrada RequireStrongKey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Método três: Verificar os direitos de utilizador

Para verificar os direitos de utilizador necessários num computador baseado no Windows 2000, siga estes passos:

  1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e, em seguida, clique em Política de Segurança Local.
  2. Expanda Políticas Locais e, em seguida, clique em Atribuição de Direitos de Utilizador.
  3. No painel direito, faça duplo clique em Aceder a este computador a partir da rede.
  4. Clique para selecionar a caixa de verificação Definição de Política Local junto ao grupo Todos na lista Atribuído a e, em seguida, clique em OK.
  5. Faça duplo clique em Negar acesso a este computador a partir da rede.
  6. Verifique se não existem grupos de princípios na lista Atribuído a e, em seguida, clique em OK. Por exemplo, certifique-se de que Todos, Utilizadores Autenticados e outros grupos não estão listados.
  7. Clique em OK e, em seguida, saia da Política de Segurança Local.

Para verificar os direitos de utilizador necessários num computador baseado no Windows Server 2003, siga estes passos:

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Política de Segurança do Controlador de Domínio.

  2. Expanda Políticas Locais e, em seguida, clique em Atribuição de Direitos de Utilizador.

  3. No painel direito, faça duplo clique em Aceder a este computador a partir da rede.

  4. Certifique-se de que o grupo Todos está na lista Aceder a este computador a partir da rede .

    Se o grupo Todos não estiver listado, siga estes passos:

    1. Clique em Adicionar Utilizador ou Grupo.
    2. Na caixa Nomes de utilizador e de grupo , escreva Todos e, em seguida, clique em OK.

  5. Faça duplo clique em Negar acesso a este computador a partir da rede.

  6. Verifique se não existem grupos de princípios na lista Negar acesso a este computador a partir da rede e, em seguida, clique em OK. Por exemplo, certifique-se de que Todos, Utilizadores Autenticados e outros grupos não estão listados.

  7. Clique em OK e, em seguida, feche a Política de Segurança do Controlador de Domínio.

Para verificar os direitos de utilizador necessários num computador baseado no Windows NT Server 4.0, siga estes passos:

  1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e, em seguida, clique em Gestor de Utilizadores para Domínios.

  2. No menu Políticas , clique em Direitos de Utilizador.

  3. Na lista Direita , clique em Aceder a este computador a partir da rede.

  4. Na caixa Conceder a , certifique-se de que o grupo Todos é adicionado.

    Se o grupo Todos não for adicionado, siga estes passos:

    1. Clique em Adicionar.
    2. Na lista Nomes , clique em Todos, clique em Adicionar e, em seguida, clique em OK.

  5. Clique em OK e, em seguida, saia do Gestor de Utilizadores.

Método quatro: Verificar a associação ao grupo

Se estiver configurada uma fidedignidade entre os domínios, mas não conseguir adicionar grupos de utilizadores principais de um domínio ao outro porque a caixa de diálogo não localiza os outros objetos de domínio, o grupo "Acesso compatível com o Pré-Windows 2000" poderá não ter a associação correta.

Nos controladores de domínio baseados no Windows 2000 e nos controladores de domínio baseados no Windows Server 2003, certifique-se de que as associações de grupo necessárias estão configuradas.

Para o fazer nos controladores de domínio baseados no Windows 2000, siga estes passos:

  1. Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.

  2. Clique em Incorporado e, em seguida, faça duplo clique em Grupo de acesso compatível com o Windows 2000.

  3. Clique no separador Membros e, em seguida, certifique-se de que o grupo Todos está na lista Membros .

  4. Se o grupo Todos não estiver na lista Membros , siga estes passos:

    1. Clique em Iniciar, clique em Executar, escreva cmd e, em seguida, clique em OK.
    2. Na linha de comandos, escreva net localgroup "Pre-Windows 2000 Compatible Access" everyone /adde, em seguida, prima ENTER.

Para se certificar de que as associações de grupo necessárias estão configuradas nos controladores de domínio baseados no Windows Server 2003, tem de saber se a definição de política "Acesso à rede: Permitir que todas as pessoas se apliquem a utilizadores anónimos" está desativada. Se não souber, utilize o Editor de Objetos de Política de Grupo para determinar o estado da definição de política "Acesso à rede: Permitir que todas as pessoas se apliquem a utilizadores anónimos". Para fazer isso, siga estas etapas:

  1. Clique em Iniciar e em Executar, digite gpedit.msc e clique em OK.

  2. Expanda as seguintes pastas:

    Política de Computador Local
    Configurações do Computador
    Configurações do Windows
    Definições de Segurança
    Políticas Locais

  3. Clique em Opções de Segurança e, em seguida, clique em Acesso à rede: permita que todas as permissões se apliquem a utilizadores anónimos no painel direito.

  4. Tenha em atenção se o valor na coluna Definição de Segurança está Desativado ou Ativado.

Para se certificar de que as associações de grupo necessárias estão configuradas nos controladores de domínio baseados no Windows Server 2003, siga estes passos:

  1. Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.

  2. Clique em Incorporado e, em seguida, faça duplo clique em Grupo de acesso compatível com o Windows 2000.

  3. Clique na guia Membros.

  4. Se a definição de política Acesso à rede: Permitir que todas as pessoas se apliquem a utilizadores anónimos está desativada , certifique-se de que o grupo Todos, Início de Sessão Anónimo está na lista Membros . Se a definição de política "Acesso à rede: Permitir que todas as pessoas se apliquem a utilizadores anónimos" estiver ativada, certifique-se de que o grupo Todos está na lista Membros .

  5. Se o grupo Todos não estiver na lista Membros , siga estes passos:

    1. Clique em Iniciar, clique em Executar, escreva cmd e, em seguida, clique em OK.
    2. Na linha de comandos, escreva net localgroup "Pre-Windows 2000 Compatible Access" everyone /adde, em seguida, prima ENTER.

Método cinco: verificar a conectividade através de dispositivos de rede, como firewalls, comutadores ou routers

Se tiver recebido mensagens de erro semelhantes à seguinte mensagem de erro e tiver verificado que os ficheiros LMHOST estão corretos, o problema pode ser causado por uma firewall, router ou comutador que bloqueou portas entre os controladores de domínio:

Não foi possível contactar nenhum controlador de domínio

Para resolver problemas de dispositivos de rede, utilize o PortQry Command Line Port Scanner versão 2.0 para testar as portas entre os controladores de domínio.

Para obter mais informações sobre a versão 2 do PortQry, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

832919 Novas funcionalidades no PortQry versão 2.0

Para obter mais informações sobre como as portas têm de ser configuradas, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

179442 Como configurar uma firewall para domínios e fidedignidades

Método seis: recolher informações adicionais para ajudar a resolver o problema

Se os métodos anteriores não o ajudaram a resolver o problema, recolha as seguintes informações adicionais para o ajudar a resolver a causa do problema:

  • Ative o registo do Netlogon em ambos os controladores de domínio. Para obter mais informações sobre como concluir o registo do Netlogon, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft: 109626 Ativar o registo de depuração para o serviço Net Logon

  • Capture um rastreio em ambos os controladores de domínio ao mesmo tempo que o problema ocorre.

Mais informações

A seguinte lista de objetos de Política de Grupo (GPOs) fornece a localização da entrada de registo correspondente e a Política de Grupo nos sistemas operativos aplicáveis:

  • O GPO RestrictAnonymous:

    • Localização do registo do Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Localização do registo do Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Política de Grupo do Windows 2000: Configuração do Computador\Definições do Windows\Definições de Segurança\ Opções de Segurança Restrições adicionais para ligações anónimas
    • Política de Grupo do Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança Acesso à rede: Não permitir a enumeração anónima de contas e partilhas SAM

  • O GPO RestrictAnonymousSAM:

    • Localização do registo do Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Política de Grupo do Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança Opções de Segurança Acesso à rede: Não permitir a enumeração anónima de contas e partilhas SAM

  • O GPO EveryoneIncludesAnonymous:

    • Localização do registo do Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Política de Grupo do Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança Acesso à rede: Permitir que todas as permissões se apliquem a utilizadores anónimos

  • O GPO de Compatibilidade LM:

    • Localização do registo do Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Política de Grupo do Windows 2000: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança: nível de autenticação do Lan Manager

    • Política de Grupo do Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança\Segurança de rede: nível de autenticação do Lan Manager

  • O GPO EnableSecuritySignature (cliente):

    • Localização do registo do Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Política de Grupo do Windows 2000: Configuração do Computador\Definições do Windows\Definições de Segurança \Opções de Segurança: Assinar digitalmente a comunicação do cliente (sempre que possível)
    • Política de Grupo do Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança\Cliente de rede da Microsoft: Assinar digitalmente comunicações (se o servidor concordar)

  • O GPO RequireSecuritySignature (cliente):

    • Localização do registo do Windows 2000 e Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Política de Grupo do Windows 2000: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança: Assinar digitalmente a comunicação do cliente (sempre)
    • Windows Server 2003: Configuração do Computador\Definições do Windows\Definições de Segurança\Opções de Segurança\Cliente de rede da Microsoft: Assinar digitalmente comunicações (sempre)

  • O GPO EnableSecuritySignature (servidor):

    • Localização do registo do Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Localização do registo do Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Política de Grupo do Windows 2000: assinar digitalmente a comunicação do servidor (sempre que possível)
    • Política de Grupo do Windows Server 2003: servidor de rede da Microsoft: Assinar digitalmente comunicações (se o cliente concordar)

  • O GPO RequireSecuritySignature (servidor):

    • Localização do registo do Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Localização do registo do Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Política de Grupo do Windows 2000: assinar digitalmente a comunicação do servidor (sempre)
    • Política de Grupo do Windows Server 2003: servidor de rede da Microsoft: assinar digitalmente comunicações (sempre)

  • O GPO RequireSignOrSeal:

    • Localização do registo do Windows NT, Windows 2000 e Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Política de Grupo do Windows 2000: encriptar digitalmente ou assinar dados de canal seguro (sempre)
    • Política de Grupo do Windows Server2003: Membro do domínio: encriptar digitalmente ou assinar dados de canal seguro (sempre)

  • O GPO SealSecureChannel:

    • Localização do registo do Windows NT, Windows 2000 e Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Política de Grupo do Windows 2000: Canal seguro: encriptar digitalmente dados de canais seguros (sempre que possível)
    • Política de Grupo do Windows Server 2003: Membro do domínio: encriptar digitalmente dados de canais seguros (sempre que possível)

  • O GPO SignSecureChannel:

    • Localização do registo do Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Política de Grupo do Windows 2000: Canal seguro: assinar digitalmente dados de canais seguros (sempre que possível)
    • Política de Grupo do Windows Server 2003: Membro do domínio: assinar digitalmente dados de canal seguro (sempre que possível)

  • O GPO RequireStrongKey:

    • Localização do registo do Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Política de Grupo do Windows 2000: Canal seguro: exigir chave de sessão forte (Windows 2000 ou posterior)
    • Política de Grupo do Windows Server 2003: Membro do domínio: exigir chave de sessão forte (Windows 2000 ou posterior)

Windows Server 2008

Num controlador de domínio com o Windows Server 2008, o comportamento predefinido da definição de política Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0 pode causar um problema. Esta definição impede que os sistemas operativos Windows e os clientes de terceiros utilizem algoritmos de criptografia fracos para estabelecer canais de segurança NETLOGON para controladores de domínio baseados no Windows Server 2008.

Referências

Para obter mais informações, clique nos seguintes números de artigo para ver os artigos na Base de Dados de Conhecimento Microsoft:

823659 incompatibilidades de clientes, serviços e programas que podem ocorrer quando modifica definições de segurança e atribuições de direitos de utilizador