Las operaciones LDAP anónimas en Active Directory están deshabilitadas en los controladores de dominio.

En este artículo se proporciona información sobre el problema de que las operaciones LDAP anónimas en Active Directory están deshabilitadas en los controladores de dominio.

Se aplica a: Windows Server 2003
Número de KB original: 326690

Resumen

De forma predeterminada, las operaciones anónimas del Protocolo ligero de acceso a directorios (LDAP) en Active Directory, que no sean búsquedas y enlaces rootDSE, no se permiten en Microsoft Windows Server 2003.

Más información

Active Directory en versiones anteriores de dominios basados en Microsoft Windows acepta solicitudes anónimas. En estas versiones, un resultado correcto depende de tener permisos de usuario correctos en Active Directory.

Con Windows Server 2003, solo los usuarios autenticados pueden iniciar una solicitud LDAP en controladores de dominio basados en Windows Server 2003. Puede invalidar este nuevo comportamiento predeterminado cambiando el séptimo carácter del atributo dsHeuristics en la ruta de acceso de DN de la siguiente manera:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, Root domain in forest
La configuración DsHeuristics se aplica a todos los controladores de dominio basados en Windows Server 2003 en el mismo bosque. Los controladores de dominio realizan el valor tras la replicación de Active Directory sin reiniciar Windows. Los controladores de dominio basados en Microsoft Windows 2000 no admiten esta configuración y no restringen las operaciones anónimas si están presentes en un bosque basado en Windows Server 2003.

Los valores válidos para el atributo dsHeuristic son 0 y 0000002. De forma predeterminada, el atributo DsHeuristics no existe, pero su valor predeterminado interno es 0. Si establece el séptimo carácter en 2 (0000002), los clientes anónimos pueden realizar cualquier operación permitida por la lista de control de acceso (ACL), al igual que los controladores de dominio basados en Windows 2000.

Nota:

Si el atributo ya está establecido, no modifique ningún carácter de la cadena DsHeuristics que no sea el séptimo carácter. Si el valor no está establecido, asegúrese de proporcionar los ceros iniciales hasta el séptimo carácter. Además, puede usar Adsiedit.msc para realizar el cambio en el atributo .

La cadena dsHeuristics en un controlador de dominio en el bosque Forest_Name.com aparece como sigue cuando se ve mediante Ldp.exe. Solo se muestran los atributos seleccionados.

>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name,DC>=com
2> objectClass: top; nTDSService;
1> cn: Servicio de directorio;
1> dSHeurística: 0000002; <-2 en el séptimo carácter = anónimo
acceso permitido. Tenga en cuenta los ceros iniciales.
1> nombre: Servicio de directorio;