深入 WIN2000注册表（11） Windows 2000的安全(2)

来源：作者：出处：巧巧读书 2006-09-13 进入讨论组

定位登录脚本的路径

作为基于域的Windows2000网络一部分的工作站可以使用远程数据库进行登录验证，这
种服务称为Netlogon。有许多注册表条目都可以控制Netlogon的操作。要访问控制用于登录的

脚本的路径，可以按照如下步骤修改注册表：
1.打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows2000
的根目录(通常是WINNT)为止。进入System目录并找到Regedt32.exe，将其选入对话框并单击
“确定”按钮。注册表编辑器启动，将所有的配置单元分别显示在不同的层叠子窗口中。
2)选择“窗口”菜单项HKEY_LOCAL_MACHINE，其子窗口显示。最大化该窗口以便
于使用。
3)使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
子项。单击该子项选取它，在右窗口中显示其值。
4)定位到值Scripts的条目。使用字符串编辑器把Scripts的值改为包含登录脚本的文件夹
的完整的路径名。
提示Scripts的值也可以使用服务器管理器(ServerManger)来更改。

在启动时允许Netlogon全数据库同步

作为基于域的Windows2000网络一部分的工作站可以使用远程数据库进行登录验证，这
种服务称为Netlogon。有许多注册表条目都可以控制Netlogon的操作。要访问控制Netlogon在
启动时自动实现与BDC全数据库(full-database)同步的注册表项，可以按照如下步骤操作：
1)打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows
2000的根目录(通常是WINNT)为止。进入System目录并找到Regedt32.exe，将其选入对话框
并单击“确定”按钮。注册表编辑器启动，将所有的配置单元分别显示在不同的层叠子窗口
中。
2)选择“窗口”菜单项HKEY_LOCAL_MACHINE，其子窗口显示。最大化该窗口以便
于使用。
3)使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\Netlogon\
Parameters子项。单击该子项选取它，在右窗口中显示其值。
4)定位到值Update的条目。使用字符串编辑器把Update的值改为Yes，强迫在启动时进行
完整的BDC更新。
提示Update的缺省值为No。

解决因没有安全许可而导致的Windows2000复制失败

作为基于域的Windows2000网络一部分的工作站可以使用远程数据库进行登录验证，这
种服务称为Netlogon。有许多注册表条目都可以控制Netlogon的操作。要修改注册表项，在
NT4和Windows2000中产生一个令人讨厌的bug(名为RepluserKeyBug，可参见MSDN的编号
为Q75643的文章)，可以按照如下步骤操作：
1)打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows
2000的根目录(通常是WINNT)为止。进入System目录并找到Regedt32.exe，将其选入对话框
并单击“确定”按钮。注册表编辑器启动，将所有的配置单元分别显示在不同的层叠子窗口
中。
2)选择“窗口”菜单项HKEY_LOCAL_MACHINE，其子窗口显示。最大化该窗口以便
于使用。
3)使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Control\SecurePipeServers\
Winreg子项。单击该子项选取它，在右窗口中显示其值。
第11章Windows2000的安全用用169
4)在“安全”(Security)菜单中，选择“许可”(Permission)菜单项，然后同意对repluser
有读许可权。之所以需要进行这样的修改是因为在NT4和Windows2000导入机器必须阅读导
出机器上的这个项。

为CD-ROM驱动器建立C2级安全

有很多重要的注册表项可以影响Windows2000在登录时怎样动作。要访问用来确定CD-
ROM驱动器及其可移动介质是否只可被当前登录的用户访问(这是国防部C2级安全的需求，
C2级安全是IS四级系统安全的第二级)的注册表项，可以按照如下步骤进行操作：
1)打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows
2000的根目录(通常是WINNT)为止。进入System目录并找到Regedt32.exe，将其选入对话框
并单击“确定”按钮。注册表编辑器启动，将所有的配置单元分别显示在不同的层叠子窗口
中。
2)选择“窗口”菜单项HKEY_LOCAL_MACHINE，其子窗口显示。最大化该窗口以便
于使用。
3)使用左窗口的树型控件定位到SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Winlogon子项。单击该子项选取它，在右窗口中显示其值。
4)定位到值AllocateCDRoms的条目。使用字符串编辑器把AllocateCDRoms改为1。
提示如果AllocateCDRoms特性在Windows2000计算机中从未启用，那么就需要使
用“编辑”|“添加值”创建该值。

为磁盘驱动器建立C2级安全

有很多重要的注册表项可以影响Windows2000在登录时怎样动作。要访问用来确定磁盘
驱动器及其可移动介质是否只能被当前登录的用户访问(这是国防部C2级安全的需求，C2级安
全是IS四级系统安全的第二级)的注册表项，可以按照如下步骤操作：
1)打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows
2000的根目录(通常是WINNT)为止。进入System目录并找到Regedt32.exe，将其选入对话框
并单击“确定”按钮。注册表编辑器启动，将所有的配置单元分别显示在不同的层叠子窗口
中。
2)选择“窗口”菜单项HKEY_LOCAL_MACHINE，其子窗口显示。最大化该窗口以便
于使用。
3)使用左窗口的树型控件定位到SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Winlogon子项。单击该子项选取它，在右窗口中显示其值。
4)定位到值AllocateFloppies的条目。使用字符串编辑器把AllocateFloppies改为1。
提示如果AllocateFloppies特性在Windows2000计算机中从未启用，那么就需要使
用“编辑”|“添加值”创建该值。

配置系统启动时自动登录

有很多重要的注册表项可以影响Windows2000在登录时怎样动作。你可以配置注册表在
启动时以指定用户的名义自动登录而不显示登录用户界面。要做到这一点，可以按照如下步
骤进行操作：
1)打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows
2000的根目录(通常是WINNT)为止。进入System目录并找到Regedt32.exe，将其选入对话框
并单击“确定”按钮。注册表编辑器启动，将所有的配置单元分别显示在不同的层叠子窗口
中。
2)选择“窗口”菜单项HKEY_LOCAL_MACHINE，其子窗口显示。最大化该窗口以便
于使用。
3)使用左窗口的树型控件定位到SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Winlogon子项。单击该子项选取它，在右窗口中显示其值。
4)定位到值AutoAdminLogon的条目。使用字符串编辑器把AllocateFloppies改为1，授权
在启动时自动登录；改为0表示需要使用用户登录界面手工登录。
提示如果AutoAdminLogon特性在Windows2000计算机中从未启用，那么就需要使
用“编辑”|“添加值”创建该值。
警告如果AutoAdminLogon的值被设置为1，那么值DefaultUserName和巧巧读书:http://www.qqread.com/winnt/t236494.html 更多内容请看路由安全配置专题、注册表知识手册、注册表操作专题专题，或进入讨论组讨论。