Las operaciones LDAP anónimas en Active Directory están deshabilitadas en los controladores de dominio de Windows Server 2003

Id. de artículo: 326690 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

De forma predeterminada, las operaciones del Protocolo ligero de acceso a directorios (LDAP) en Active Directory no están permitidas en Microsoft Windows Server 2003 a excepción de las búsquedas y enlaces de rootDSE.

Más información

En las versiones anteriores de dominios basados en Microsoft Windows, Active Directory acepta solicitudes anónimas. En estas versiones, el que el resultado sea correcto depende de si se dispone de los permisos de usuario apropiados en Active Directory.

Con Windows Server 2003, sólo los usuarios autenticados pueden iniciar una solicitud LDAP con controladores de dominio basados en Windows Server 2003. Puede invalidar este nuevo comportamiento predeterminado cambiado el séptimo carácter del atributo dsHeuristics en la ruta DN de la forma siguiente:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,dominio raíz del bosque
La opción DsHeuristics se aplica a todos los controladores de dominio basados en Windows Server 2003 del mismo bosque. Los controladores de dominio se dan cuenta del valor después de la replicación de Active Directory sin tener que reiniciar Windows. Los controladores de dominio basados en Microsoft Windows 2000 no admiten esta opción y no limitan las operaciones anónimas si están en un bosque basado en Windows Server 2003.

Los valores válidos del atributo dsHeuristic son 0 y 0000002. De forma predeterminada, el atributo DsHeuristics no existe, pero su valor interno predeterminado es 0. Si establece el séptimo carácter en 2 (0000002), los clientes anónimos pueden realizar cualquier operación que permita la lista de control de acceso (ACL), como los controladores de dominio basados en Windows 2000.

Nota
 Si el atributo ya está establecido, no modifique ningún carácter de la cadena DsHeuristics a excepción del séptimo. Si el valor no está establecido, asegúrese de incluir ceros antes del séptimo carácter. Además, puede usar Adsiedit.msc para hacer el cambio en el atributo.

La cadena dsHeuristics en un controlador de dominio del bosque nombreDeBosque.com aparece como se muestra a continuación cuando se observa con Ldp.exe. Sólo se muestran los atributos seleccionados. 
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name>,DC=com 2> objectClass: top; nTDSService; 1> cn: Directory Service; 1> dSHeuristics: 0000002; <-2 in the seventh character = anonymous 
        access allowed. Note the leading zeros.
     1> name: Directory Service;

Propiedades

Id. de artículo: 326690 - Última revisión: lunes, 03 de diciembre de 2007 - Versión: 13.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Service Pack 1
Palabras clave: 
kbinfo kbenv KB326690
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio