在能够升级 Windows NT 4.0 主域控制器 (PDC) 之前，您必须禁用外部信任上的安全标识符 (SID) 筛选

摘要

SID 筛选从此域应用到一个或多个外部信任。Windows 2000 Server 和 Windows Server 2003 安装要求您在升级之前，禁用从该 Windows NT 4.0 域中建立的所有信任的 SID 筛选。

描述

SID 筛选增强了跨越域或林的通信安全。使用 SID 筛选，管理员可以指定给定域中的域控制器与受信任的域隔离开。这就使得信任域中的域控制器能够删除那些不是源于该受信任域的所有 SID，从而阻止授权数据传递到位于该信任域中的资源。有关 SID 筛选的详细信息，请参阅 Q289246，“Forged SID Could Result in Elevated Privileges in Windows NT 4.0”（Windows NT 4.0 中伪造的 SID 可能导致高特权），此文章位于 Microsoft 知识库中。

在升级此 Windows NT 4.0 PDC 后，需确定安装升级后 SID 筛选是否仍是必需的。有关如何确定这一点的详细信息，请依次单击“开始”、“帮助和支持”以启动“帮助和支持中心”，然后在“搜索”中键入“保护外部信任”。有关如何禁用 SID 筛选的详细信息，请参阅 Q811961，“Windows 2000 Server and Windows Server 2003 Setup Does Not Succeed When You Upgrade from a Windows NT 4.0-Based Primary Domain Controller”（当您从基于 Windows NT 4.0 的主域控制器升级时，Windows 2000 Server 和 Windows Server 2003 安装不成功），该文章位于 Microsoft 知识库中。

禁用外部信任上的 SID 筛选

要禁用 SID 筛选，您需要修改此 Windows NT 4.0 PDC 上的注册表项。

编辑注册表不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机上任何有价值的数据。

1. 单击“开始”，然后单击“运行”。
2. 键入 Regedt32.exe，然后单击“确定”。
3. 在如下注册表项中，定位名为 QuarantinedDomains 的 REG_MULTI_SZ 值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
4. 备份如下注册表项的值，然后删除该项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\QuarantinedDomains

注意

• 在升级 Windows NT 4.0 PDC 之前，必须删除该值。
• 通过删除 QuarantinedDomains 注册表项，就禁用了所有外部信任的 SID 筛选。
• 要使得该域中的其他域控制器取得一致的结果，建议您在已升级的域中，从所有备份域控制器 (BDC) 删除 QuarantinedDomains 注册表项。
• 如果您决定以后将 SID 筛选从此域应用到外部信任，那么您需要将 QuarantinedDomains 注册表项重新插入到所有 Windows NT 4.0 BDC，并将每个已筛选的域的 NetBIOS 域名添加到该项中。