文章編號: 320528 - 上次校閱: 2006年10月30日 - 版次: 3.3

如何設定為允許匿名查詢的 Active Directory

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) ]。
全部展開 | 全部摺疊

結論

許多環境需要您對 Active Directory 進行匿名的查詢。比方說,您可能必須進行匿名查詢?傳回的電子郵件地址。您可以設定為允許這些查詢的 Active Directory。

本文將告訴您,如何設定 Active Directory 支援匿名的查詢,即使允許匿名的查詢可以削弱 Active Directory 的安全性。當您套用權限到 Active Directory 因為設定錯誤可能會允許未經驗證的使用者查詢安全資訊時請小心使用。一般的規則只提供給匿名登入帳戶執行匿名查詢所需的權限。

其他相關資訊

支援匿名查詢的 Active Directory,下列條件必須成立:
  • 在 Active Directory 的權限是設定為允許匿名的查詢。
  • 正在進行查詢將 LDAP 用戶端設定正確。
本文將告訴您,如何設定 LDAP 用戶端搜尋 Active Directory。

正在設定 Active Directory 權限

將下列權限套用至網域命名內容,針對您想讓查詢網域根目錄。

如果要允許匿名存取必要的權限,請依照下列步驟執行。在資料表中的每個項目重複步驟。下表顯示執行查閱電子郵件名稱的查詢所需的權限。表格中列的表格標題具有值步驟中列出的替代。

摺疊此表格展開此表格
使用者物件權限繼承使用權限類型
匿名登入清單內容容器物件物件
匿名登入清單內容 組織單位的物件物件
匿名登入讀取公用資訊使用者物件屬性
匿名登入讀取電話] 和 [郵件] 選項 使用者物件屬性

警告: 如果您使用 [ADSI 編輯器] 嵌入式管理單元、 LDP] 公用程式或任何其他 LDAP 版本 3 用戶端,並不正確地修改 Active Directory 物件的屬性可能會導致嚴重的問題。這些問題可能需要重新安裝 Microsoft Windows 2000 Server、 Microsoft Exchange 2000 伺服器或兩者。Microsoft 無法保證可以獲得解決,如果您不當修改 Active Directory 物件屬性發生的問題。修改這些屬性,請自行負擔相關的風險。
  1. 從 Windows 2000 支援工具開啟 ADSIEdit。
  2. 尋找 網域命名內容 資料夾。這個資料夾有您網域的 LDAP 路徑。
  3. 網域命名內容] 資料夾上按一下滑鼠右鍵,然後按一下 [內容]。
  4. 按一下 [安全性]。
  5. 按一下 [進階]。
  6. 按一下 [新增]。
  7. 按一下 使用者物件] 使用者,然後按一下 [確定]
  8. 按一下 [使用權限類型] 索引標籤。
  9. 按一下從 [套用在] 方塊的 繼承
  10. 按一下以選取 [允許] 核取方塊的 使用權限 權限。

設定用戶端

若要進行到 Active Directory 匿名查詢必須正確設定伺服器名稱]、 [連接埠號碼]、 [使用者名稱] 和 [正在進行查詢的 LDAP 用戶端的密碼。這裡提供的資訊適用於所有的 LDAP 用戶端:
  • 伺服器名稱:

    伺服器名稱必須是一個完全合格網域名稱 (FQDN) 也是通用類別目錄伺服器在 Windows 2000 網域控制站。因為通用類別目錄包含一個樹系中的所有物件的複本,但是一屬性部分組,您必須將所有的 LDAP 查詢傳送給通用類別目錄中。這可讓非常快速執行搜尋,甚至會在其網域外部,如果您正在尋找的屬性包括在通用類別目錄中的物件的通用類別目錄。
  • 連接埠號碼:

    連接埠號碼設 3268。這是指定的查詢的通用類別目錄所接聽的連接埠。只有網域控制站,也是通用類別目錄伺服器使用這個連接埠。
  • 使用者名稱

    設定 匿名UserName。這項設定比對先前提及的安全性設定。設定 UserName 這種方式,是很重要的與正確的安全性套用到網域。
  • 密碼:

    將密碼保留為空白。
這種組態可讓匿名的查詢,以 Active Directory。這是只是如何設定為允許匿名查詢來擷取特定使用者的電子郵件資訊的 Active Directory 的範例。 您可能必須請嘗試不同的權限設定,如果您想要搜尋的不同物件或屬性。下列查詢是範例可讓您在本文中測試所使用的組態:
(&(objectclass=user)(cn=*[username]))
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Service Pack 3
回此頁最上方
關鍵字:?
kbmt kbhowto KB320528 KbMtzh
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:320528? (http://support.microsoft.com/kb/320528/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。