Konfigurieren von Active Directory, um anonyme Abfragen ermöglichen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 320528 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Hinweis
Dieser Artikel bezieht sich auf Windows 2000. Unterstützung für Windows 2000 endet am Juli 13, 2010. Das Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung der Strategie für die Migration von Windows 2000. Weitere Informationen finden Sie in den Microsoft Support Lifecycle Policy.
Alles erweitern | Alles schließen

Zusammenfassung

Viele Umgebungen ist es erforderlich, dass Sie anonyme Abfragen an Active Directory vornehmen können. Angenommen, Sie müssen möglicherweise anonyme Abfragen zurückgeben stellen e-Mail-Adressen. Sie können Active Directory, um diese Abfragen ermöglichen konfigurieren.

Dieser Artikel beschreibt das Konfigurieren von Active Directory, um anonyme Abfragen unterstützen, obwohl ermöglichen anonyme Abfragen die Sicherheit von Active Directory herabgesetzt werden kann. Seien Sie vorsichtig, wenn Sie Berechtigungen auf Active Directory angewendet werden, da eine falsche Konfiguration nicht authentifizierten Benutzern das Abfragen für sichere Informationen ermöglichen kann. Als allgemeine Regel gilt Konto Anonymous-Anmeldung nur bieten die Berechtigungen, die erforderlich sind, die anonyme Abfrage durchgeführt.

Weitere Informationen

Für Active Directory für die Unterstützung der anonymer Abfragen müssen die folgenden Bedingungen erfüllt sein:
  • Berechtigungen für Active Directory sind festgelegt, um anonyme Abfragen zu ermöglichen.
  • Der LDAP-Client, der die Abfragen stellt ist ordnungsgemäß konfiguriert.
Dieser Artikel beschreibt, wie so konfigurieren Sie einen Client LDAP-Suche in Active Directory.

Festlegen von Active Directory-Berechtigungen

Gelten Sie die folgenden Berechtigungen für den Stamm des Namenskontextes Domäne für die Domäne für die Sie Abfragen möchten.

Gehen Sie folgendermaßen vor, um die erforderlichen Berechtigungen für den anonymen Zugriff zu gewähren. Wiederholen Sie die Schritte für jedes Element in der Tabelle. In der Tabelle werden die erforderlichen Berechtigungen zum Durchführen von Abfragen zum e-Mail-Namen nachschlagen. In der Tabelle aufgeführten Ersatz in den Schritten, mit dem Wert der Tabellenüberschrift aufgeführt.

Tabelle minimierenTabelle vergrößern
Benutzer-ObjektBerechtigungenVererbungBerechtigungstyp
die Anonymous-Anmeldung Inhalt auflisten Container-Objekte Objekt
die Anonymous-Anmeldung Inhalt auflisten Organisatorische Einheit Objekte Objekt
die Anonymous-AnmeldungÖffentliche Informationen lesen Benutzer-Objekte Eigenschaft
die Anonymous-Anmeldung Lesen Telefon und e-Mail-Optionen Benutzer-ObjekteEigenschaft

Achtung: Wenn Sie die ADSI-Bearbeitungs-Snap-in, das LDP-Dienstprogramm oder einen anderen LDAP-Client Version 3 verwenden und die Attribute von Active Directory-Objekten nicht ordnungsgemäß ändern, kann dies schwerwiegende Probleme zur Folge haben. Diese Probleme können eine Neuinstallation von Microsoft Windows 2000 Server, Microsoft Exchange 2000 Server oder beiden Programmen erforderlich machen. Microsoft kann nicht dafür garantieren, dass Probleme, die ihre Ursache in einer unkorrekten Änderung von Active Directory-Objekten haben, behoben werden können. Es ist Ihr eigenes Risiko, diese Attribute zu ändern.
  1. Öffnen Sie Windows 2000 Support Tools ADSIEdit.
  2. Suchen Sie den Domänennamenskontext-Ordner. Dieser Ordner hat den LDAP-Pfad Ihrer Domäne.
  3. Klicken Sie mit der rechten Maustaste auf den Ordner Domänennamenskontext, und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf Sicherheit.
  5. Klicken Sie auf Erweitert.
  6. Klicken Sie auf Hinzufügen.
  7. Klicken Sie auf den Benutzer User-Objekt, und klicken Sie dann auf OK.
  8. Klicken Sie auf die Registerkarte Art der Berechtigung.
  9. Klicken Sie auf Vererbung aus dem Feld Übernehmen.
  10. Aktivieren Sie das Kontrollkästchen zulassen für die Berechtigung Berechtigung.

Konfigurieren des Clients

Um anonyme Abfragen an Active Directory auszuführen, müssen Sie entsprechend konfigurieren, Servername, Portnummer, Benutzername und Kennwort des LDAP-Clients, die die Abfragen vornehmen, ist. Die hier bereitgestellte Informationen gilt für alle LDAP-Clients:
  • Servername:

    Der Servername muss einen voll qualifizierten Domänennamen (FQDN) eines Windows 2000-Domänencontrollers, der auch ein globaler Katalogserver ist. Sie müssen alle LDAP-Abfragen an einen globalen Katalog senden, da der globale Katalog eine Kopie aller Objekte in einer Gesamtstruktur, aber nur eine Teilmenge der Attribute enthält. Dadurch wird den globalen Katalog sehr schnell, sogar für Objekte Suchvorgänge, die außerhalb seiner Domäne sind, wenn das Attribut, das Sie suchen im globalen Katalog enthalten ist.
  • Die Anschlussnummer:

    Legen Sie die Anschlussnummer auf 3268. Dies ist die vorgesehenen Anschluss, den der globale Katalog für Abfragen überwacht. Nur Domänencontroller, die auch globale Katalogserver verwenden Sie diesen Anschluss.
  • Benutzername:

    Legen Sie UserName auf anonym. Diese Einstellung entspricht die Sicherheitseinstellungen, die zuvor erwähnt wurden. Festlegen der UserName auf diese Weise ist ebenso wichtig wie die richtigen Sicherheitseinstellungen auf die Domäne anwenden.
  • Kennwort:

    Lassen Sie das Kennwort leer.
Diese Konfiguration ermöglicht anonyme Abfragen an Active Directory. Dies ist nur ein Beispiel, das Konfigurieren von Active Directory, um anonyme Abfragen zum Abrufen von e-Mail-Informationen eines bestimmten Benutzers ermöglichen. Sie müssen möglicherweise anderen Berechtigungseinstellungen versuchen Sie, wenn Sie ein anderes Objekt oder Attribut suchen möchten. Die folgende Abfrage ist ein Beispiel, in dem Sie zum Testen der Konfiguration, die verwendet wurde, in diesem Artikel verwenden können:
(&(objectclass=user)(cn=*[username]))

Eigenschaften

Artikel-ID: 320528 - Geändert am: Montag, 30. Oktober 2006 - Version: 3.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Service Pack 3
Keywords: 
kbmt kbhowto KB320528 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 320528
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com