ID do artigo: 320528 - Última revisão: segunda-feira, 30 de outubro de 2006 - Revisão: 3.3

Como configurar o Active Directory para permitir consultas anônimas

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Aviso
Este artigo se aplica ao Windows 2000. Suporte 2000 termina em 13 de julho de 2010.Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte a Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) .
Expandir tudo | Recolher tudo

Sumário

Muitos ambientes requerem fazer consultas anônimas para o Active Directory. Por exemplo, você pode ter que fazer consultas anônimas para retornar endereços de email. Você pode configurar o Active Directory para permitir que essas consultas.

Este artigo descreve como configurar o Active Directory para oferecer suporte a consultas anônimas Embora permitindo que consultas anônimas pode enfraquecer a segurança do Active Directory. Tenha cuidado ao aplicar permissões para o Active Directory porque uma configuração incorreta pode permitir que usuários não autenticados consultar informações seguras. Como regra geral, só fornecem ao logon anônimo conta as permissões necessárias para executar a consulta anônima.

Mais Informações

Para o Active Directory oferecer suporte a consultas anônimas, as seguintes condições devem ser verdadeiras:
  • Permissões no Active Directory são definidas para permitir consultas anônimas.
  • O cliente do LDAP que está fazendo as consultas está configurado corretamente.
Este artigo descreve como configurar um cliente LDAP para pesquisar o Active Directory.

Definindo permissões do Active Directory

Aplique as seguintes permissões para a raiz do contexto de nomeação de domínio para o domínio que você deseja fazer consultas.

Para conceder as permissões necessárias para acesso anônimo, siga estas etapas. Repita as etapas para cada item na tabela. A tabela mostra as permissões necessárias para executar consultas para pesquisar nomes de email. Substitua que o título da tabela listado nas etapas com o valor listado na tabela.

Recolher esta tabelaExpandir esta tabela
Usuário ObjectPermissõesHerançaTipo de permissão
LOGON ANÔNIMO Listar conteúdo Recipiente objetos Objeto
LOGON ANÔNIMO Listar conteúdo Objetos de unidade organizacional Objeto
LOGON ANÔNIMOInformações públicas de leitura Usuário objetos Propriedade
LOGON ANÔNIMO Opções de correio e telefone de leitura Objetos de usuárioPropriedade

Aviso: se você usar o snap-in ADSI Edit, o utilitário LDP ou qualquer outro cliente LDAP versão 3, e modificar incorretamente os atributos de objetos do Active Directory, você pode causar problemas sérios. Esses problemas podem exigir que você reinstale o Microsoft Windows 2000 Server, Microsoft Exchange 2000 Server ou ambos. A Microsoft não garante que os problemas que ocorrem se você modificar incorretamente atributos de objeto do Active Directory podem ser resolvidos. Modificar estes atributos em seu próprio risco.
  1. Abra o Windows 2000 Support Tools ADSIEdit.
  2. Localize a pasta de Contexto de nomeação de domínio. Esta pasta possui o caminho LDAP do seu domínio.
  3. Clique com o botão direito do mouse na pasta de Contexto de nomeação de domínio e clique em Propriedades.
  4. Clique em segurança.
  5. Clique em avançadas.
  6. Clique em Adicionar.
  7. Clique no usuário User Object e clique em OK.
  8. Clique na guia Tipo de permissão.
  9. Clique em herança da caixa Aplicar em.
  10. Clique para selecionar a caixa de seleção Permitir para a permissão de permissão.

Configurando o cliente

Para executar consultas anônimas para o Active Directory, você deve configurar corretamente o nome do servidor, o número da porta, o nome de usuário e a senha do cliente LDAP que está fazendo as consultas. As informações fornecidas aqui se aplica a todos os clientes LDAP:
  • Nome do servidor:

    O nome do servidor deve ser um nome de domínio totalmente qualificado (FQDN) de um controlador de domínio do Windows 2000 também é um servidor de catálogo global. Você deve enviar todas as consultas LDAP para um catálogo global porque o catálogo global contém uma cópia de todos os objetos em uma floresta, mas somente um conjunto parcial de atributos. Isso permite que o catálogo global realizar pesquisas muito rapidamente, mesmo para objetos que estão fora de seu domínio, se o atributo que você está procurando está incluído no catálogo global.
  • Número de porta:

    Defina o número de porta para 3268. Esta é a porta designada de catálogo global escuta para consultas. Somente controladores de domínio também são servidores de catálogo global usam essa porta.
  • UserName:

    Defina UserName como anônimo. Essa configuração corresponde as configurações de segurança que foram mencionadas anteriormente. Configuração UserName dessa maneira é tão importante quanto aplicando a segurança correta para o domínio.
  • Senha:

    Deixe a senha em branco.
Essa configuração permite consultas anônimas para o Active Directory. Isso é apenas um exemplo de como configurar o Active Directory para permitir consultas anônimas recuperar informações de email de um usuário específico. Talvez seja necessário experimentar configurações de permissão diferente se desejar procurar um objeto diferente ou um atributo. A consulta a seguir é um exemplo que você pode usar para testar a configuração foi usada neste artigo:
(&(objectclass=user)(cn=*[username]))
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Service Pack 3
Voltar para o início
Palavras-chave: 
kbmt kbhowto KB320528 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 320528  (http://support.microsoft.com/kb/320528/en-us/ )
Voltar para o início