当前位置:首页 > 网络安全 > windows安全 > 深入WIN2000注册表(11)Windows2000的安全

深入WIN2000注册表(11)Windows2000的安全

2016-09-17 | 来源:网络
                Windows2000的安全简介与Windows的其它版本(例如Windows3.x和9x)不同,WindowsNT/2000具有一个完整的安全系统,它是操作系统不可分割的一部分,而且不能被禁用。Windows2000的安全系统负责在用户登录系

 

Windows 2000的安全


简介
与Wi n d o w s的其它版本(例如Windows 3.x和9 x )不同,Windows NT/2000具有一个完整的
安全系统,它是操作系统不可分割的一部分,而且不能被禁用。Windows 2000的安全系统负
责在用户登录系统时验证用户的身份;控制用户能够访问哪些资源、文件和应用程序;负责
维护对用户活动期间生成的安全时间进行审核跟踪。在Windows 2000安全的所有这些方面,
注册表都扮演着一个非常重要的角色。

Windows 2000安全的基础
Windows 2000的安全分为三个主要的部分:用户的访问令牌,安全帐号管理器( S e c u r i t y
Accounts Manger,S A M )的注册表项中有关每个用户访问权限的信息,以及对系统管理员有
可能审核的安全事件的记录。
1. 访问令牌
访问令牌是由Windows 2000安全系统创建的软件对象,它包含用户在当前工作站以及网
络中其它计算机上的特权信息。访问令牌包括的信息保存在注册表中,并可在注册表中直接
进行操作。访问令牌包括下列信息:
. 用户安全ID(User Security ID,S I D )
. 组安全ID(Group Security ID)
. 用户特权
. 所有者的S I D
. 主组(Primary Group)的S I D
. 缺省的访问控制列表(Access Control List,A C L )
2. SAM注册表项
有关用户安全设置的信息保存在注册表配置单元H K E Y _ L O C A L _ M A C H I N E的一个名为
Security Accounts Manager的子项中。S A M是Windows 2000负责验证来自各种系统工具用户
界面的用户登录信息有效性的服务,同时还提供包含在每个用户访问令牌中的信息。S A M注
册表项中的信息通常不会被直接操作,而是通过各种管理工具,例如系统策略编辑器,操作。
3. 审核
Windows 2000系统无论何时发生涉及安全的活动,都有可能产生安全事件,这些事件被
158使用Windows 2000注册表管理

依次写入一个日志文件,以便日后由系统管理员审核。这个日志文件由事件查看器控制,但
是其设置是在注册表中,而且在需要时可以查看。潜在的安全事件包括:
. 创建新用户/组成员变更
. 程序执行/资源被访问
. 登录/注销
. 安全策略变更
. 特权的使用
. 系统事件对安全造成了影响

登录
Windows 2000的安全特性在用户试图登录到Windows 2000工作站的那一刻就开始工作
了。输入到登录对话框中的信息被提交给本地安全授权(Local Security Authority,L S A ),这
是一种根据S A M数据库(既可以是本地的也可以是远程的,我们将在下一部分介绍)验证登录
信息有效性的系统安全服务。如果该过程成功,那么就会为该用户创建一个访问令牌并激活
它。这个令牌与一个或多个可执行程序相结合创建一个主题,接着该主题就开始访问系统。
L S A使用注册表项来确定这个过程是怎样进行的(尤其是登录过程中显示的用户界面)。

Netlogon服务
Windows 2000支持多台通过N e t l o g o n服务连接到网络上的工作站使用一个安全数据库。
N e t l o g o n需要基于域的网络和主域控制器(primary domain controller,P D C )提供的服务。在这
种情况下,登录对话框会显示一个额外的编辑控件,允许输入用来进行N e t l o g o n验证的域名。
N e t l o g o n的各种特性可以通过直接操作注册表来控制。

关机
安全问题还会在用户从一台工作站注销并有可能关机时发生。某些用户可能只会看到一
个注销对话框,而另外一些用户会看到对话框中有关闭工作或关闭电源的选项。注册表中包
含有控制这些特性的条目。

 

定位安全事件日志文件

Windows 2000提供了把有关安全的事件写入日志文件的能力。注册表包含有控制这个日
志文件怎样创建和维护的设置。要查看这个日志文件的位置可以按照下面的步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\EventLog\ Security
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值F i l e的条目。F i l e的值包含用来保存安全事件日志文件的路径和文件名。
提示Windows 2000事件查看程序可以用来更改S e c u r i t y子项中值F i l e的设置。


确定安全事件日志文件的最大尺寸

Windows 2000提供了把有关安全事件写入日志文件的能力。注册表包含有控制这个日志
文件怎样创建和维护的设置。要查看安全事件日志文件以千字节计的最大尺寸可以按照下面
的步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框并
单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\EventLog\ Security
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值M a x S i z e的条目。M a x S i z e的值包含安全事件日志文件所能达到的以千字节计
的最大尺寸。
提示Windows 2000事件查看程序可以用来更改S e c u r i t y子项中值M a x S i z e的设置。
M a x S i z e的缺省值为5 1 2。


检查安全事件日志中事件的生存期

Windows 2000提供了把有关安全的事件写入日志文件的能力。注册表包含有控制这个日
志文件怎样创建和维护的设置。要查看安全事件日志文件中事件被覆盖前将保存多长时间可
以按照下面的步骤修改注册表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\EventLog\ Security
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值R e t e n t i o n的条目。R e t e n t i o n的值指定事件保存在日志文件中的秒数;日志文
件中任何比这个值“新”的事件都不会被覆盖,而比这个值“老”的则会被覆盖。如果某个
事件无法添加到已有的日志文件中,则发生一个日志满事件。
提示Windows 2000事件查看程序可以用来更改值R e t e n t i o n的设置。R e t e n t i o n的缺
省值是604 800秒( 7天)。

 


确定一个Windows 2000服务是否日志安全事件

Windows 2000提供了把有关安全的事件写入日志文件的能力。注册表包含有控制这个日
志文件怎样创建和维护的设置。要确定一个Windows 2000服务是否将其事件记录到安全日志
文件中可以按照下面的步骤完成操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\EventLog\ Security
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值S o u r c e s的条目。S o u r c e s的值包含目前将事件记录到安全事件日志中的所有服
务、应用程序、应用程序组的名称。
警告S o u r c e s的值是动态的,由E v e n t l o g服务维护。


定位安全事件日志中的事件描述


Windows 2000提供了把有关安全的事件写入日志文件的能力。注册表包含有控制这个日
志文件怎样创建和维护的设置。要解密某个服务或应用程序写到日志中的事件标识符,你可
以查看该应用程序提供的文本文件。要找到文本文件的位置,可以按照下面的步骤操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\EventLog\ Security \
[a p p n a m e]子项,其中[a p p n a m e]是用引号括起的应用程序或服务的名称。单击该子项选取它,
在右窗口中显示其值。
4) 定位到值E v e n t M e s s a g e F i l e的条目。E v e n t M e s s a g e F i l e的值包含文档的路径和文件名,
而该文档包括对安全事件日志文件标识符的事件描述。


定位安全事件日志的类别描述

Windows 2000提供了把有关安全的事件写入日志文件的能力。注册表包含有控制这个日
志文件怎样创建和维护的设置。要解密某个服务或应用程序写到日志中的类别标识符,你可
以查看该应用程序提供的文本文件(或者定位到一个与该应用程序相关的D L L并由附带的应用
程序提供描述)。要找到文本文件的位置,可以按照下面的步骤修改注册表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
第11章Windows 2000的安全用用161
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\EventLog\ Security \
[a p p n a m e]子项,其中[a p p n a m e]是用引号括起的应用程序或服务的名称。单击该子项选取它,
在右窗口中显示其值。
4) 定位到值C a t e g o r y M e s s a g e F i l e的条目。C a t e g o r y M e s s a g e F i l e的值包含着文档的路径和
文件名,而该文档包括对安全事件日志文件标识符的类别描述。
提示类别和事件描述有可能被放在同一个文件中。


检测Windows 2000的某种服务所支持的所有安全事件类别

Windows 2000提供了把有关安全的事件写入日志文件的能力。注册表包含有控制这个日
志文件怎样创建和维护的设置。要查看某个服务或应用程序可以向日志中写入多少种类别标
识符,可以按照下面的步骤完成:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\EventLog\ Security\
[a p p n a m e]子项,其中[a p p n a m e]是用引号括起的应用程序或服务的名称。单击该子项选取它,
在右窗口中显示其值。
4) 定位到值C a t e g o r y C o u n t的条目。C a t e g o r y C o u n t的值包含该应用程序在安全事件日志文
件标识符中所使用的类别描述的总数。


确定Windows 2000 的某种服务所支持的安全事件类型


Windows 2000提供了把有关安全的事件写入日志文件的能力。注册表包含有控制这个日
志文件怎样创建和维护的设置。要查看某个服务或应用程序可以将哪种事件类型写入日志,
可以按照下面的步骤完成注册表的修改:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\EventLog\ Security\
[a p p n a m e]子项,其中[a p p n a m e]是用引号括起的应用程序或服务的名称。单击该子项选取它,
在右窗口中显示其值。
4) 定位到值Ty p e s S u p p o r t e d的条目。Ty p e s S u p p o r t e d的值包含该应用程序在安全事件日志
文件标识符中使用的事件类型值。


强迫Windows 2000系统在安全事件日志满时崩溃

Windows 2000提供了把有关安全的事件写入日志文件的能力。注册表包含有控制这个日
志文件怎样创建和维护的设置。要强迫系统在日志文件满时崩溃,可以按照下面的步骤修改
注册表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S Y S T E M \ C u r r e n t C o n t r o l S e t \ C o n t r o l \ L S A子项。单击该子
项选取它,在右窗口中显示其值。
4) 定位到值C r a s h O n A u d i t F a i l的条目。使用D Wo r d编辑器把C r a s h O n A u d i t F a i l的值设为
1,强迫系统在安全事件日志由于最大尺寸或事件条目生存期设置的问题而无法扩展时崩
溃。
提示如果值C r a s h O n A u d i t F a i l不存在,则使用“编辑” |“添加值”来创建它。
警告启用该值可能会导致无法恢复的系统崩溃。


 设置Netlogon服务变动日志的大小

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。要访问控制以字节计的
变动记录大小的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\Netlogon\ Parameters
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值C h a n g e L o g S i z e的条目。使用D Wo r d编辑器把C h a n g e L o g S i z e的值设为变动记
录文件所期望的大小,以字节计。
提示:保留C h a n g e L o g S i z e的设置为4 M B也不会造成任何损害。实际上,较大的设置
可以提高效率。缺省(也是最小)的值为6 4 K (大约2 0 0个条目)。
警告:所有备份域控制器( B D C )都应该有相同的C h a n g e L o g S i z e值。


管理Netlogon服务信箱消息的内存使用

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。要访问控制N e t l o g o n服
务在开始丢失信箱消息(每个消息消耗非页面式内存池的1 5 0 0个字节)之前已排队了多少个消息
的注册表项,可以按照如下步骤修改注册表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S Y S T E M \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ N e t l o g o n \
P a r a m e t e r s子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值M a x i m u m M a i l s l o t M e s s a g e s的条目。使用D Wo r d编辑器把Maximum Mailslot
M e s s a g e s的值改为希望参加排队的消息数目。
提示M a x i m u m M a i l s l o t M e s s a g e s的范围是1到0 x F F F F F F F,缺省值为5 0 0。
警告把M a x i m u m M a i l s l o t M e s s a g e s的值设置得太低可能会导致丢失信箱信件。


 微调Netlogon服务信箱消息的处理性能

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。要访问控制N e t l o g o n服
务在开始丢失过期信箱信件(这可以防止N e t l o g o n在过载环境中处理无效的消息)之前某个信箱
消息等待处理的秒数的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\Netlogon\ Parameters
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值M a x i m u m M a i l s l o t Ti m e o u t的条目。使用D Wo r d编辑器把Maximum Mailslot
Ti m e o u t的值改为信箱消息等待N e t l o g o n处理的时间,以秒为单位。

提示:M a x i m u m M a i l s l o t Ti m e o u t的范围是5到0 x F F F F F F F秒,缺省值为1 0。
警告:把M a x i m u m M a i l s l o t Ti m e o u t的值设置得太低可能会导致丢失信箱信件。


防止经由网桥/路由器的信箱消息阻塞

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。要访问控制N e t l o g o n是
否对因网桥/路由器问题(通常是网桥/路由器无法在过期之前对报文的目的地进行解密)引起的
信箱消息阻塞敏感的注册表项,可以按照如下步骤修改注册表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\Netlogon\ Parameters
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值M a i l s l o t D u p l i c a t e Ti m e o u t的条目。使用D Wo r d编辑器把Mailslot Duplicate
Ti m e o u t的值改为0,禁止忽略N e t l o g o n复制信箱消息(这样做会因网桥/路由器引起的消息阻塞
而导致问题)。
提示值M a i l s l o t D u p l i c a t e Ti m e o u t的范围是从0到5秒。较高的设置可以避免处理复制
消息,但是会阻塞来自客户的重试企图。


设置BDC脉冲的频率

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。要访问控制在向B D C发
送脉冲指示进行更新之前P D C多少秒收集一次变化的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\Netlogon\ Parameters
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值P u l s e的条目。使用D Wo r d编辑器把P u l s e的值改为两次发送更新脉冲之间的延
迟时间(以秒为单位)。
提示值P u l s e的范围是从6 0 ( 1分钟)到172 800(2天),缺省值是3 0 0 ( 5分钟)。
第11章Windows 2000的安全用用165


管理BDC脉冲的并发

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。你可以使用注册表来控
制一次发出多少个B D C更新通知(脉冲) (期望P D C能够同时处理远程过程调用以便更新远程数
据库)。要做到这一点,可按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S Y S T E M \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ N e t l o g o n \
P a r a m e t e r s子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值P u l s e C o n c u r r e n c y的条目。使用D Wo r d编辑器把P u l s e C o n c u r r e n c y的值改为
P D C能够处理的并发B D C数据库更新的个数。你需要在P D C服务器的负载和会导致失败的过
期B D C数据库之间找到一个平衡点。
提示值P u l s e C o n c u r r e n c y的范围是从1到5 0 0个并发脉冲,缺省值是2 0。


控制BDC脉冲的ping操作

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。你可以访问注册表项来
控制P D C给某个B D C发送更新脉冲( p i n g )的最大间隔秒数,而不管B D C的数据库是否需要更新。
要做到这一点,可以按照下面的步骤修改注册表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S Y S T E M \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ N e t l o g o n \
P a r a m e t e r s子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值P u l s e M a x i m u m的条目。使用D Wo r d编辑器把P u l s e M a x i m u m的值改为
P D C / B D C两次脉冲p i n g操作之间的等待时间(以秒为单位)。
提示值P u l s e M a x i m u m的范围是从6 0 ( 1分钟)到172 800(2天),缺省值是72 000(2小时)。


防止BDC脉冲超时

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。要访问控制在被标记为
超时之前B D C必须在多少秒以内响应P D C脉冲的注册表项,可以按照下面的步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\Netlogon\ Parameters
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值P u l s e Ti m e o u t 1的条目。使用D Wo r d编辑器把P u l s e Ti m e o u t 1的值改为网络维护
有效的B D C脉冲响应所希望的时间(以秒为单位)。
提示值P u l s e Ti m e o u t 1的范围是从1到1 2 0,缺省值是5。


防止BDC复制超时


作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。要访问控制在被标记为
超时之前B D C必须在多少秒以内完成部分数据库复制的注册表项,可以按照下面的步骤进行
操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\Netlogon\ Parameters
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值P u l s e Ti m e o u t 2的条目。使用D Wo r d编辑器把P u l s e Ti m e o u t 2的值改为网络完成
部分B D C数据库的复制所希望的时间(以秒为单位)。注意,这个值只有在B D C数据库的传输
因为尺寸问题需要多个远程过程调用(remote procedure call, RPC)时才会使用。
提示值P u l s e Ti m e o u t 2的范围是从6 0 ( 1分钟)到3 600(1小时),缺省值是3 0 0 ( 5分钟)。


防止BDC脉冲响应通信阻塞

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。你可以使用注册表控制
B D C在用R P C调用初始化数据库复制来响应P D C脉冲之前随机等待的秒数(这样可以防止复制
通信被阻塞,因为所有的B D C脉冲都试图同时更新)。要做到这一点,可以按照如下步骤进行
操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\Netlogon\ Parameters
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值R a n d o m i z e的条目。使用D Wo r d编辑器把R a n d o m i z e的值改为基于经验和网络
流量需求的秒数。
提示值P u l s e Ti m e o u t 2的范围是从0到1 2 0,缺省值是1。
警告R a n d o m i z e的值必须小于P u l s e Ti m e o u t 1的设置。


根据网络条件配置BDC的复制

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。要访问控制分配给更新
B D C的系统资源的百分数,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\Netlogon\ Parameters
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值R e p l i c a t i o n G o v e r n o r的条目。使用D Wo r d编辑器把R e p l i c a t i o n G o v e r n o r的值改
为0到1 0 0之间的设置,它表示每个复制调用所使用的传输缓冲内存以及B D C完成未完成的复
制请求所需时间量的百分数。在更改该设置必须小心,因为在通信负载很重的环境中B D C复
制可能无法完成。
警告设置R e p l i c a t i o n G o v e r n o r的值等于0将关闭B D C数据库复制。


定位登录脚本的路径

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。要访问控制用于登录的
脚本的路径,可以按照如下步骤修改注册表:
1. 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows 2000
的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框并单击
“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Services\Netlogon\ Parameters
子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值S c r i p t s的条目。使用字符串编辑器把S c r i p t s的值改为包含登录脚本的文件夹
的完整的路径名。
提示S c r i p t s的值也可以使用服务器管理器(Server Manger)来更改。


在启动时允许Netlogon全数据库同步

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。要访问控制N e t l o g o n在
启动时自动实现与B D C全数据库( f u l l - d a t a b a s e )同步的注册表项,可以按照如下步骤操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S Y S T E M \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ N e t l o g o n \
P a r a m e t e r s子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值U p d a t e的条目。使用字符串编辑器把U p d a t e的值改为Ye s,强迫在启动时进行
完整的B D C更新。
提示U p d a t e的缺省值为N o。


解决因没有安全许可而导致的Windows 2000复制失败

作为基于域的Windows 2000网络一部分的工作站可以使用远程数据库进行登录验证,这
种服务称为N e t l o g o n。有许多注册表条目都可以控制N e t l o g o n的操作。要修改注册表项,在
N T 4和Windows 2000中产生一个令人讨厌的b u g (名为Repluser Key Bug,可参见M S D N的编号
为Q 7 5 6 4 3的文章),可以按照如下步骤操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到SYSTEM\CurrentControlSet\Control\ SecurePipeServers\
Winreg 子项。单击该子项选取它,在右窗口中显示其值。
第11章Windows 2000的安全用用169
4) 在“安全” ( S e c u r i t y )菜单中,选择“许可” ( P e r m i s s i o n )菜单项,然后同意对r e p l u s e r
有读许可权。之所以需要进行这样的修改是因为在N T 4和Windows 2000导入机器必须阅读导
出机器上的这个项。


为CD-ROM驱动器建立C2级安全

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定C D -
R O M驱动器及其可移动介质是否只可被当前登录的用户访问(这是国防部C 2级安全的需求,
C 2级安全是I S四级系统安全的第二级)的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值A l l o c a t e C D R o m s的条目。使用字符串编辑器把A l l o c a t e C D R o m s改为1。
提示如果A l l o c a t e C D R o m s特性在Windows 2000计算机中从未启用,那么就需要使
用“编辑” |“添加值”创建该值。


为磁盘驱动器建立C2级安全

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定磁盘
驱动器及其可移动介质是否只能被当前登录的用户访问(这是国防部C 2级安全的需求,C 2级安
全是I S四级系统安全的第二级)的注册表项,可以按照如下步骤操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值A l l o c a t e F l o p p i e s的条目。使用字符串编辑器把A l l o c a t e F l o p p i e s改为1。
提示如果A l l o c a t e F l o p p i e s特性在Windows 2000计算机中从未启用,那么就需要使
用“编辑” |“添加值”创建该值。


配置系统启动时自动登录

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。你可以配置注册表在
启动时以指定用户的名义自动登录而不显示登录用户界面。要做到这一点,可以按照如下步
骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值A u t o A d m i n L o g o n的条目。使用字符串编辑器把A l l o c a t e F l o p p i e s改为1,授权
在启动时自动登录;改为0表示需要使用用户登录界面手工登录。
提示如果A u t o A d m i n L o g o n特性在Windows 2000计算机中从未启用,那么就需要使
用“编辑” |“添加值”创建该值。
警告如果A u t o A d m i n L o g o n的值被设置为1, 那么值D e f a u l t U s e r N a m e和
D e f a u l t U s e r P a s s w o r d所在的条目也必须有效,因为Windows 2000将在启动时使用这
些值自动注册。


如果当前的Windows 2000 shell崩溃则需要手工重启动

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定当前
的s h e l l崩溃时Windows 2000是否重启的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值A u t o R e s t a r t S h e l l的条目。使用字符串编辑器把A u t o R e s t a r t S h e l l改为1,允许
在s h e l l崩溃时自动重启;改为0,强迫手工注销并重启。


确定上次登录的用户所使用的域

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定成功
登录到当前系统的上一个用户所用域名的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值D e f a u l t D o m a i n N a m e的条目。D e f a u l t D o m a i n N a m e包含上一次成功登录的用户
所用的域名。


设置缺省的用户口令

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定上一
次成功登录的用户(或者自动登录时)所使用的口令的注册表项,可以按照如下步骤修改注册
表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值D e f a u l t P a s s w o r d的条目。如果你希望在启动时使用自动登录,那么使用字符
串编辑器把D e f a u l t P a s s w o r d改为D e f a u l t U s e r N a m e中的用户使用的口令。
提示D e f a u l t P a s s w o r d的值也可以使用系统策略编辑器来更改。如果D e f a u l t P a s s w o r d
特性在Windows 2000计算机中从未启用,那么就需要使用“编辑” |“添加值”创建
该值。


设置缺省的用户名

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定上次
成功登录所用的用户名(或者自动登录时所用用户名)的注册表项,可以按照如下步骤:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值D e f a u l t U s e r N a m e的条目。使用字符串编辑器更改D e f a u l t U s e r N a m e,指定你
希望在自动登录时使用的用户。
提示:D e f a u l t U s e r N a m e的值也可以使用系统策略编辑器来更改。


保留磁盘空间以便支持漫游用户


有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定在漫
游用户注销后是否删除其保存在本地的用户配置文件(以便保留磁盘空间)的注册表项,可以按
照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值D e l e t e R o a m i n g C a c h e的条目。使用D Wo r d编辑器把D e l e t e R o a m i n g C a c h e的值
改为1,允许输出漫游用户的配置文件;改为0,在本地硬盘上保留该信息。
提示D e l e t e R o a m i n g C a c h e的缺省值为0。


禁止上次登录时使用的用户名在登录信息对话框中显示


有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定是否
在登录用户界面中显示上次成功登录的用户名的注册表项,可以按照如下步骤操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows 2000
的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框并单击
“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值D o n t D i s p l a y L a s t U s e r N a m e的条目。使用字符串编辑器把
D o n t D i s p l a y L a s t U s e r N a m e的值改为1,禁止显示上次成功登录的用户名;改为0可恢复该特性。
提示D o n t D i s p l a y L a s t U s e r N a m e的缺省值为0,可以显示上次成功登录的用户名。
DontDisplay LastUserName的值还可以使用系统策略编辑器更改。如果D o n t D i s p l a y
L a s t U s e r N a m e特性在Windows 2000计算机中从未启用,那么就需要使用“编辑” |
“添加值”创建该值。


允许用户注销后仍保持RAS连接


有很多重要的注册表项可以影响Windows 2000 在登录时怎样动作。要访问用来确定
第11章Windows 2000的安全用用173
Windows 2000是否关闭某个用户会话期间创建的所有R A S连接的注册表项,可以按照如下步
骤操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值K e e p R a s C o n n e c t i o n s的条目。使用字符串编辑器把K e e p R a s C o n n e c t i o n s的值改
为1,在用户注销后保持已有的R A S连接;改为0终止R A S连接。
提示如果KeepRasConnections 特性在Windows 2000计算机中从未启用,那么就需
要使用“编辑” |“添加值”创建该值。如果没有添加该条目,那么系统就会假定该
值为0。


设置Windows 2000登录警告通知对话框的文本

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定警告
对话框是否在登录对话框出现之前显示(在允许访问登录对话框之前,用户必须关闭定制的对
话框)的注册表项,可以按照如下步骤修改注册表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值L e g a l N o t i c e Te x t的条目。使用字符串编辑器把L e g a l N o t i c e Te x t的值改为要在
定制对话框中显示的消息。
提示如果L e g a l N o t i c e Text 的值为空(空字符串,这是缺省设置),那么在登录对话框
用户界面出现之前不显示定制对话框。L e g a l N o t i c e Te x t的值也可以使用系统策略编
辑器更改。


设置Windows 2000登录警告通知对话框的标题

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来指定在登
录对话框之前显示的定制警告对话框的标题(在允许访问登录对话框之前,用户必须关闭定制
的对话框)的注册表项,可以按照如下步骤操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值L e g a l N o t i c e C a p t i o n的条目。使用字符串编辑器把L e g a l N o t i c e C a p t i o n的值改
为在登录对话框用户界面之前显示的定制对话框的标题。
提示只有在L e g a l N o t i c e Te x t的值不为空的情况下才使用L e g a l N o t i c e C a p t i o n。


设置Windows 2000登录信息对话框的定制消息

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定是否
在标准的登录对话框用户界面中显示附加消息的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值L o g o n P r o m p t的条目。使用字符串编辑器把L o g o n P r o m p t的值改为你想要在登
录对话框用户界面中显示提示文本所需的值。
提示如果LogonPrompt 特性在Windows 2000计算机中从未启用,那么就需要使用
“编辑”|“添加值”创建该值。


设置Windows 2000登录口令过期警告

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定当用
户登录且用户的口令已过期时是否显示警告对话框的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
第11章Windows 2000的安全用用175
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值P a s s w o r d E x p i r y Wa r n i n g的条目。使用D Wo r d编辑器把P a s s w o r d E x p i r y Wa r n i n g
的值改为在用户使用即将过期的口令进行登录时显示警告对话框所需的值。
提示如果LogonPrompt 特性在Windows 2000计算机中从未启用,那么就需要使用
“编辑”|“添加值”创建该值。


在“关闭计算机”对话框中启用“关机/关电源”选项

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问用来确定一个
关闭计算机和关闭电源的选项是否出现在“关闭计算机” (Shutdown Computer)对话框中的注
册表项,可以按照如下步骤修改注册表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值P o w e r d o w n A f t e r S h u t d o w n的条目。使用字符串编辑器把P o w e r d o w n A f t e r
S h u t d o w n的值改为1,允许选择关闭电源;改为0,禁用该特性。
提示在Windows 2000服务器中, P o w e r d o w n A f t e r S h u t d o w n的值为1,而在Wi n d o w s
2 0 0 0工作站中为0。
警告并不是所有的计算机都支持基于软件的关闭电源功能。在不支持该特性的机器
上启用基于软件的关闭电源功能会导致不一致的结果。


防止用户配置文件选择对话框超时

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问在连接远程服
务器有一段延迟的情况下,决定用户可以有多少时间确定使用本地配置文件还是服务器配置
文件的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值P r o f i l e D l g Ti m e O u t的条目。使用D Wo r d编辑器把P r o f i l e D l g Ti m e O u t的值改为
当连接远程服务器遇到延迟时,允许用户在决定使用本地配置文件还是服务器配置文件时花
费的秒数。
提示只有在值S l o w L i n k D e t e c t E n a b l e d被设置为1时,P r o f i l e D l g Ti m e O u t特性才可以
使用。


配置启动时自动选择RAS

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问确定在系统启
动时缺省是否选择Logon Using Dialup Networking复选框的注册表项,可以按照如下步骤修改
注册表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值R A S F o r c e的条目。使用字符串编辑器把R A S F o r c e的值改为1,启用该特性;
改为0,禁用该特性。
提示如果R A S F o r c e特性从未在Windows 2000计算机中启用,那么使用“编辑” |
“添加值”来创建它。只有在安装了拨号网络连接而且工作站成为域的一部分时,
R A S F o r c e特性才可以使用。


 启用自定义启动验证程序

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问确定系统管理
员是否可以安装自定义启动验证程序(custom boot verification)的注册表项,可以按照如下步
骤操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值R e p o r t B o o t O K的条目。使用字符串编辑器把R e p o r t B o o t O K的值改为0,允许
使用自定义启动验证程序。
提示:真正的自定义启动验证程序是通过B o o t Ve r i f i c a t i o n P r o g r a m或B o o t Ve r i f i c a t i o n
项安装的。


使用登录脚本同步程序管理器

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问确定程序管理
器在执行前是否等待登录脚本结束的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值R u n L o g o n S c r i p t S y n c的条目。使用D Wo r d编辑器把R u n L o g o n S c r i p t S y n c的值
改为1,要求程序管理器在执行必须等待所有的登录脚本执行完毕;改为0,允许程序管理器
与登录脚本同时执行。
提示R u n L o g o n S c r i p t S y n c的缺省值为0,它将禁止同步。


配置使用定制的Windows 2000 shell

有很多重要的注册表项可以影响Windows 2000 在登录时怎样动作。要访问指定作为
Windows 2000缺省s h e l l执行的程序的名称和路径的注册表项,可以参考如下步骤:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值S h e l l的条目。使用字符串编辑器把S h e l l的值改为想要使用的定制的s h e l l。
提示如果因为某些原因Wi n l o g o n无法使用U s e r i n i t启动S h e l l中的项目,那么
Wi n l o g o n将直接执行它们。


允许在登录信息对话框中关机

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问确定用户是否
可以在实际并没有登录的情况下使用登录信息对话框关闭Windows 2000计算机的注册表项,
可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值S h u t d o w n Wi t h o u t L o g o n的条目。使用字符串编辑器把S h u t d o w n Wi t h o u t L o g o n
的值改为1,在登录对话框中启用“关闭计算机”按钮;改为0,禁止该按钮。
提示对于Windows 2000服务器来说, S h u t d o w n Wi t h o u t L o g o n的缺省值为0;对于
Windows 2000工作站来说,其缺省值为1。这个值还可以通过系统策略编辑器修改。


启用慢速链接检测

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。你可以使用注册表来
确定系统是否要查看连接包含用户配置文件的远程计算机需要多长时间。这样做的目的是为
用户提供使用本地配置文件还是远程配置文件的选择。要做到这一点,可以按照如下步骤操
作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值S l o w L i n k D e t e c t E n a b l e d的条目。使用D Wo r d编辑器把S l o w L i n k D e t e c t E n a b l e d
的值改为1,允许检测慢速配置文件链接;改为0,禁止该特性。
提示S l o w L i n k Ti m O u t和P r o f i l e D l g Ti m O u t的值都要设置S l o w L i n k D e t e c t E n a b l e d。你
还可以使用系统策略编辑器更改S l o w L i n k D e t e c t E n a b l e d的值。


防止慢速链接超时
有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。你可以使用注册表来
确定在试图为用户提供本地配置文件之前,包含漫游用户配置文件的远程服务器与用户登录
的服务器之间通信要花费多长时间。例如,如果与包含漫游用户配置文件的远程机器的链接
断开了,那么用户就永远无法登录,除非提供了本选项。要防止这种慢速链接超时,可以按
照如下步骤修改注册表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值S l o w L i n k Ti m e O u t的条目。使用D Wo r d编辑器把S l o w L i n k Ti m e O u t的值改为更
高的设置,防止配置文件链接超时。
提示S l o w L i n k Ti m e O u t的值的范围在0到1 2 0 0 0 0毫秒之间,缺省值为2 0 0 0 ( 2秒)。这
个值要求设置S l o w L i n k D e t e c t E n a b l e d和P r o f i l e D l g Ti m e O u t。你还可以使用系统策略
编辑器更改S l o w L i n k Ti m e O u t。


在系统启动时运行可执行程序

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问确定系统初始
化期间在系统上下文中运行哪个可执行程序的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值S y s t e m的条目。使用字符串编辑器添加你想要在初始化期间运行的可执行程
序。


配置使用自定义Windows 2000任务管理器

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问确定是否使用
自定义任务管理器程序的注册表项,可以按照如下步骤修改注册表:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Wi n d o w s
2 0 0 0的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框
并单击“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口
中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
180使用Windows 2000注册表管理

4) 定位到值Ta s k m a n的条目。使用字符串编辑器把Ta s k m a n的值改为自定义任务管理器的
名称(如果需要的话,还应包括路径)。
提示如果值Ta s k m a n中没有内容或者Ta s k m a n不存在(缺省情况),那么将使用
Windows 2000任务管理器。如果Ta s k m a n特性从未在Windows 2000计算机中启用,
那么你需要使用“编辑” |“添加值”来创建它。


在用户登录时运行可执行程序

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问确定是否可以
在用户成功登录之后(在用户上下文中)运行可执行程序的注册表项,可以按照如下步骤进行操
作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows 2000
的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框并单击
“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值U s e r i n i t的条目。使用字符串编辑器添加你想要在用户登录之后运行的可执行
程序。
提示U s e r i n i t的缺省值包含U s e r i n i t (运行s h e l l )和可选的N d d e a g n t . e x e (运行N e t D D E )。


设置自定义登录信息对话框的附加标题

有很多重要的注册表项可以影响Windows 2000在登录时怎样动作。要访问确定显示在所
有登录对话框中(除了标准标题外)的标题的注册表项,可以按照如下步骤进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows 2000
的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框并单击
“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \
Wi n l o g o n子项。单击该子项选取它,在右窗口中显示其值。
4) 定位到值We l c o m e的条目。使用字符串编辑器添加所要显示的附加标题的文本。
提示:如果We l c o m e特性从未在Windows 2000计算机中启用,那么你需要使用“编辑”
|“添加值”来创建它。


配置注销对话框的显示

当用户准备从Windows 2000中注销时,有几个注册表条目可以确定在“注销”对话框中
显示的选项。要访问指定在“注销”对话框中显示哪些选项的注册表项,可以按照如下步骤
进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows 2000
的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框并单击
“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \子项。
单击该子项选取它,在右窗口中显示其值。
4) 如果S h u t d o w n子项不存在,则使用“编辑” |“添加值”来添加它。
5) 定位到值L o g o ff S e t t i n g的条目。使用D Wo r d编辑器把L o g o ff S e t t i n g的值改为表11 - 1中显
示的值。
表11-1 设置注销对话框的行为
值注销对话框的行为
0 注销对话框
1 关机对话框
2 关机并重启动
3 关机并关电源(如果支持)


配置关机对话框的显示

当用户准备从Windows 2000中注销时,有几个注册表条目可以确定在“关机”对话框中
显示的选项。要访问指定在“关机”对话框中显示哪些选项的注册表项,可以按照如下步骤
进行操作:
1) 打开“开始”菜单并选择“运行”。单击“浏览”按钮开始浏览直到找到Windows 2000
的根目录(通常是W I N N T )为止。进入S y s t e m目录并找到R e g e d t 3 2 . e x e,将其选入对话框并单击
“确定”按钮。注册表编辑器启动,将所有的配置单元分别显示在不同的层叠子窗口中。
2) 选择“窗口”菜单项H K E Y _ L O C A L _ M A C H I N E,其子窗口显示。最大化该窗口以便
于使用。
3) 使用左窗口的树型控件定位到S O F T WA R E \ M i c r o s o f t \ Wi n d o w s N T \ C u r r e n t Ve r s i o n \子项。
单击该子项选取它,在右窗口中显示其值。
4) 如果S h u t d o w n子项不存在,则使用“编辑” |“添加值”来添加它。
5) 定位到值S h u t d o w n S e t t i n g的条目。使用D Wo r d编辑器把S h u t d o w n S e t t i n g的值改为表11 -
2中显示的值。
表11-2 设置关机对话框的行为
值注销对话框的行为
0 注销对话框
1 关机对话框
2 关机并重启动
3 关机并关电源(如果支持)

 



Trackback: http://tb.blog.csdn.net/TrackBack.aspxPostId=5741


评论

评论数10

表情
发表评论
网友评论仅供其表达个人看法,并不表明网易立场。
《深入WIN2000注册表(11)Windows2000的安全》更多评论

阅读下一篇

WINDOWS服务器安全-常见安全检查列表

WINDWOS服务器安全-常见安全检查列表2009-12-7 最近对网站的服务器进行了一次安全方面的排查,分别对以下的列表做了一个清查,防于未燃。序号常规检查1端口检查(关闭不必要的端口)2 ... 查看全文

返回windows安全 返回网站首页