Anonyme LDAP-Vorgänge für Active Directory sind auf Domänencontrollern deaktiviert
Dieser Artikel enthält einige Informationen zu dem Problem, dass anonyme LDAP-Vorgänge in Active Directory auf Domänencontrollern deaktiviert sind.
Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 326690
Zusammenfassung
Standardmäßig sind anonyme LDAP-Vorgänge (Lightweight Directory Access Protocol) für Active Directory mit Ausnahme von rootDSE-Suchen und -Bindungen in Microsoft Windows Server 2003 nicht zulässig.
Weitere Informationen
Active Directory in früheren Versionen von Microsoft Windows-basierten Domänen akzeptiert anonyme Anforderungen. In diesen Versionen hängt ein erfolgreiches Ergebnis davon ab, über die richtigen Benutzerberechtigungen in Active Directory zu verfügen.
Mit Windows Server 2003 können nur authentifizierte Benutzer eine LDAP-Anforderung für Windows Server 2003-basierte Domänencontroller initiieren. Sie können dieses neue Standardverhalten überschreiben, indem Sie das siebte Zeichen des Attributs dsHeuristics im DN-Pfad wie folgt ändern:
CN=Verzeichnisdienst,CN=Windows NT,CN=Dienste,CN=Konfiguration, Stammdomäne in Gesamtstruktur
Die Einstellung DsHeuristics gilt für alle Windows Server 2003-basierten Domänencontroller in derselben Gesamtstruktur. Der Wert wird von Domänencontrollern bei der Active Directory-Replikation ohne Neustart von Windows realisiert. Microsoft Windows 2000-basierte Domänencontroller unterstützen diese Einstellung nicht und schränken anonyme Vorgänge nicht ein, wenn sie in einer Windows Server 2003-basierten Gesamtstruktur vorhanden sind.
Gültige Werte für das dsHeuristic-Attribut sind 0 und 0000002. Standardmäßig ist das DsHeuristics-Attribut nicht vorhanden, aber sein interner Standardwert ist 0. Wenn Sie das siebte Zeichen auf 2 (0000002) festlegen, können anonyme Clients alle Vorgänge ausführen, die von der Zugriffssteuerungsliste (Access Control List, ACL) zulässig sind, ebenso wie Windows 2000-basierte Domänencontroller.
Hinweis
Wenn das Attribut bereits festgelegt ist, ändern Sie keine anderen Zeichen in der DsHeuristics-Zeichenfolge als das siebte Zeichen. Wenn der Wert nicht festgelegt ist, stellen Sie sicher, dass Sie die führenden Nullen bis zum siebten Zeichen angeben. Außerdem können Sie adsiedit.msc verwenden, um die Änderung am Attribut vorzunehmen.
Die dsHeuristics-Zeichenfolge auf einem Domänencontroller in der Forest_Name.com Gesamtstruktur wird wie folgt angezeigt, wenn Sie sie mithilfe von Ldp.exe anzeigen. Es werden nur ausgewählte Attribute angezeigt.
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name,DC>=com
2> objectClass: top; nTDSService;
1> cn: Verzeichnisdienst;
1> dSHeuristik: 0000002; <-2 im siebten Zeichen = anonym
Zugriff zulässig. Beachten Sie die führenden Nullen.
1> Name: Verzeichnisdienst;
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für