Cómo configurar Active Directory para permitir las consultas anónimas

Seleccione idioma Seleccione idioma
Id. de artículo: 320528 - Ver los productos a los que se aplica este artículo
Aviso
Este artículo se aplica a Windows 2000. Soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Windows 2000 End-of-Support Solution Center es un punto de partida para planear su estrategia de migración desde Windows 2000. Para obtener más información consulte la Microsoft Support Lifecycle Policy.
Expandir todo | Contraer todo

Resumen

Muchos entornos requieren realizar las consultas anónimas en Active Directory. Por ejemplo, quizás tenga que realizar las consultas anónimas al devolver las direcciones de correo electrónico. Puede configurar Active Directory para permitir estas consultas.

En este artículo se describe cómo configurar Active Directory para admitir las consultas anónimas incluso aunque lo que permite que las consultas anónimas puede debilitar la seguridad de Active Directory. Tenga cuidado al aplicar permisos a Active Directory porque una configuración errónea puede permitir que los usuarios no autenticados consultar información segura. Como regla general, sólo permiten el inicio de sesión anónimo cuenta los permisos necesarios para realizar la consulta anónima.

Más información

Para que Active Directory admitir las consultas anónimas, deben cumplirse las condiciones siguientes:
  • Se establecen permisos de Active Directory para permitir las consultas anónimas.
  • El cliente LDAP que realiza las consultas está configurado correctamente.
En este artículo se describe cómo configurar un cliente LDAP para buscar en el Active Directory.

Establecer permisos de Active Directory

Los permisos siguientes se aplican a la raíz del dominio de contexto de nomenclatura para el dominio que desea realizar consultas.

Para conceder los permisos necesarios para el acceso anónimo, siga estos pasos. Repita los pasos para cada elemento de la tabla. La tabla muestra los permisos necesarios para realizar consultas para buscar los nombres de correo electrónico. El encabezado de tabla se enumeran en los pasos con el valor de sustitución aparece en la tabla.

Contraer esta tablaAmpliar esta tabla
Usuario ObjectPermisosHerenciaTipo de permiso
INICIO DE SESIÓN ANÓNIMO Contenido de lista Contenedor de objetos Objeto
INICIO DE SESIÓN ANÓNIMO Contenido de lista Objetos unidad organizativa Objeto
INICIO DE SESIÓN ANÓNIMOInformación pública de lectura Usuario objetos Propiedad
INICIO DE SESIÓN ANÓNIMO Opciones de correo de teléfono de lectura y Objetos de usuarioPropiedad

Advertencia: si utiliza el complemento ADSI Edit, la utilidad LDP o cualquier otro cliente LDAP versión 3 y modifica incorrectamente los atributos de objetos de Active Directory, puede originar problemas graves. Debido a estos problemas, puede ser necesario reinstalar Microsoft Windows 2000 Server, Microsoft Exchange 2000 Server o ambos. Microsoft no garantiza que los problemas derivados de la modificación incorrecta de los atributos de los objetos de Active Directory puedan resolverse. Modifique estos atributos bajo su responsabilidad.
  1. Abra ADSIEdit desde las herramientas de soporte de Windows 2000.
  2. Busque la carpeta de Contexto de nomenclatura de dominio. Esta carpeta tiene la ruta de acceso LDAP de su dominio.
  3. Haga clic con el botón secundario del mouse en la carpeta de Contexto de nomenclatura de dominio y, a continuación, haga clic en Propiedades.
  4. Haga clic en seguridad.
  5. Haga clic en Avanzadas.
  6. Haga clic en Agregar.
  7. Haga clic en el Objeto User usuario y, a continuación, haga clic en Aceptar.
  8. Haga clic en la ficha Tipo de permiso.
  9. Haga clic en la herencia desde el cuadro Aplicar en.
  10. Haga clic para seleccionar la casilla de verificación Permitir para el permiso permiso.

Configuración del cliente

Para realizar las consultas anónimas a Active Directory, debe configurar correctamente el nombre del servidor, el número de puerto, el nombre de usuario y la contraseña del cliente LDAP que realiza las consultas. La información proporcionada aquí se aplica a todos los clientes LDAP:
  • Nombre del servidor:

    El nombre del servidor debe ser un nombre de dominio completo (FQDN) de un controlador de dominio de Windows 2000 también es un servidor de catálogo global. Debe enviar todas las consultas LDAP a un catálogo global porque el catálogo global contiene una copia de todos los objetos en un bosque pero sólo un conjunto parcial de atributos. Esto permite que el catálogo global realizar búsquedas muy rápidamente, incluso para objetos que están fuera de su dominio, si se incluye el atributo que está buscando en el catálogo global.
  • Número de puerto:

    Establezca el número de puerto en 3268. Éste es el puerto designado en el que el catálogo global escucha las consultas. Sólo los controladores de dominio que también son servidores de catálogo global utilizan este puerto.
  • UserName:

    Establezca UserName en anónimo. Esta configuración coincide con la configuración de seguridad que se han mencionado anteriormente. La configuración de esta forma UserName es tan importante como aplicar la configuración de seguridad correcta al dominio.
  • Contraseña:

    Deje la contraseña en blanco.
Esta configuración permite que las consultas anónimas a Active Directory. Esto es sólo un ejemplo de cómo configurar Active Directory para permitir las consultas anónimas al recuperar información de correo electrónico de un usuario concreto. Puede que tenga que pruebe la configuración de permisos diferente si desea buscar un objeto diferente o un atributo. La siguiente consulta es un ejemplo que puede utilizar para probar la configuración que se utilizó en este artículo:
(&(objectclass=user)(cn=*[username]))

Propiedades

Id. de artículo: 320528 - Última revisión: lunes, 30 de octubre de 2006 - Versión: 3.3
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Service Pack 3 de Microsoft Windows 2000
Palabras clave: 
kbmt kbhowto KB320528 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 320528

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com