Como configurar o Active Directory para permitir consultas anónimas

Traduções de Artigos Traduções de Artigos
Artigo: 320528 - Ver produtos para os quais este artigo se aplica.
Importante
Este artigo aplica-se para o Windows 2000. Suporte para o Windows 2000 termina em 13 de Julho de 2010. O Windows 2000 End-of-Support Solution Center é um ponto de partida para planear a estratégia de migração a partir do Windows 2000. Para mais informações consulte a Microsoft Support Lifecycle Policy.
Expandir tudo | Reduzir tudo

Sumário

Muitos ambientes requerem a efectuar consultas anónimas para o Active Directory. Por exemplo, poderá ter de efectuar consultas anónimas para devolver endereços de correio electrónico. Pode configurar o Active Directory para permitir que estas consultas.

Este artigo descreve como configurar o Active Directory para suportar anónimas consultas apesar permitir anónimas consultas pode reduzir a segurança do Active Directory. Tenha cuidado ao aplicar permissões para o Active Directory porque uma configuração incorrecta pode permitir a utilizadores não autenticados consultar informações seguras. Como regra geral, atribua apenas o início de sessão anónimo conta as permissões que são necessários para executar a consulta anónima.

Mais Informação

Para o Active Directory suportar consultas anónimas, as seguintes condições devem ser verdadeiras:
  • As permissões no Active Directory são definidas para permitir consultas anónimas.
  • O cliente LDAP que está a efectuar as consultas está correctamente configurado.
Este artigo descreve como configurar um cliente LDAP para procurar no Active Directory.

Definindo permissões do Active Directory

Aplique as seguintes permissões para a raiz do contexto de atribuição de nomes de domínio para o domínio contra o qual pretende efectuar consultas.

Para conceder as permissões necessárias para acesso anónimo, siga estes passos. Repita os passos para cada item na tabela. A tabela mostra as permissões necessárias para efectuar consultas para procurar nomes de correio electrónico. O título da tabela listado na passos com o valor de substituição listados na tabela.

Reduzir esta tabelaExpandir esta tabela
Utilizador objectoPermissõesHerançaTipo de permissão
INÍCIO DE SESSÃO ANÓNIMO Listar conteúdo Contentor de objectos Objecto
INÍCIO DE SESSÃO ANÓNIMO Listar conteúdo Objectos de unidade organizacional Objecto
INÍCIO DE SESSÃO ANÓNIMOInformações públicas de leitura Utilizador objectos Propriedade
INÍCIO DE SESSÃO ANÓNIMO Opções de correio de telefone de leitura e Objectos de utilizadorPropriedade

Aviso: Se utilizar o snap-in ADSI Edit, o utilitário LDP ou qualquer outro cliente LDAP versão 3 e modificar incorrectamente os atributos de objectos do Active Directory, pode provocar problemas graves. Estes problemas poderão requerer a reinstalação do Microsoft Windows 2000 Server, Microsoft Exchange 2000 Server ou ambos. Microsoft não garante que os problemas que ocorrem se modificar incorrectamente os atributos de objecto do Active Directory podem ser resolvidos. Modificar estes atributos da responsabilidade do utilizador.
  1. Abra o ADSIEdit a partir das ferramentas de suporte do Windows 2000.
  2. Localize a pasta de Contexto de nomes de domínio. Esta pasta tem o caminho LDAP do seu domínio.
  3. Clique com o botão direito do rato na pasta de Contexto de nomes de domínio e, em seguida, clique em Propriedades.
  4. Clique em segurança.
  5. Clique em Avançadas.
  6. Clique em Adicionar.
  7. Clique no utilizador de Objecto de utilizador e, em seguida, clique em OK.
  8. Clique no separador Tipo de permissão.
  9. Faça clique sobre a herança da caixa Aplicar em.
  10. Clique para seleccionar a caixa de verificação Permitir para a permissão de permissão.

Configurar o cliente

Para efectuar consultas anónimas ao Active Directory, tem de configurar correctamente o nome do servidor, número da porta, nome de utilizador e palavra-passe do cliente LDAP que está a efectuar as consultas. As informações fornecidas aqui aplicam-se a todos os clientes LDAP:
  • Nome do servidor:

    O nome do servidor tem de ser um nome de domínio totalmente qualificado (FQDN) de um controlador de domínio do Windows 2000 é também um servidor de catálogo global. Todas as consultas LDAP tem de enviar a um catálogo global porque o catálogo global contém uma cópia de todos os objectos numa floresta mas apenas um conjunto de atributos parcial. Isto permite que o catálogo global executar procuras muito rapidamente, mesmo para objectos que estão fora do respectivo domínio, se o atributo que está a procurar for incluído no catálogo global.
  • O número de porta:

    Defina o número de porta para 3268. Esta é a porta designada em que recebe o catálogo global para consultas. Apenas os controladores de domínio que também são servidores de catálogo global utilizem esta porta.
  • NomeUtilizador:

    Defina UserName como anónimo. Esta definição corresponde as definições de segurança que foram anteriormente mencionadas. Definir UserName desta forma é tão importante como aplicar a segurança correcta o domínio.
  • Palavra-passe:

    Deixe a palavra-passe em branco.
Esta configuração permite anónimas consultas ao Active Directory. Este é apenas um exemplo de como configurar o Active Directory para permitir anónimas consultas para obter informações de correio electrónico de um determinado utilizador. Poderá ter de experimentar definições de permissão diferente se pretender procurar um objecto diferente ou atributo. A consulta seguinte é um exemplo que pode utilizar para testar a configuração que foi utilizada neste artigo:
(&(objectclass=user)(cn=*[username]))

Propriedades

Artigo: 320528 - Última revisão: 30 de outubro de 2006 - Revisão: 3.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Service Pack 3
Palavras-chave: 
kbmt kbhowto KB320528 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 320528

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com