Les opérations LDAP anonymes sur Active Directory sont désactivées sur les contrôleurs de domaine
Cet article fournit des informations sur le problème lié au fait que les opérations LDAP anonymes sur Active Directory sont désactivées sur les contrôleurs de domaine.
Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 326690
Résumé
Par défaut, les opérations LDAP (Lightweight Directory Access Protocol) anonymes sur Active Directory, autres que les recherches et liaisons rootDSE, ne sont pas autorisées dans Microsoft Windows Server 2003.
Plus d’informations
Active Directory dans les versions antérieures des domaines Basés sur Microsoft Windows accepte les requêtes anonymes. Dans ces versions, un résultat réussi dépend de la présence d’autorisations utilisateur correctes dans Active Directory.
Avec Windows Server 2003, seuls les utilisateurs authentifiés peuvent lancer une requête LDAP sur des contrôleurs de domaine Windows Server 2003. Vous pouvez remplacer ce nouveau comportement par défaut en modifiant le septième caractère de l’attribut dsHeuristics sur le chemin DN comme suit :
CN=Service d’annuaire,CN=Windows NT,CN=Services,CN=Configuration, Domaine racine dans la forêt
Le paramètre DsHeuristics s’applique à tous les contrôleurs de domaine Windows Server 2003 dans la même forêt. La valeur est réalisée par les contrôleurs de domaine lors de la réplication Active Directory sans redémarrer Windows. Les contrôleurs de domaine Microsoft Windows 2000 ne prennent pas en charge ce paramètre et ne limitent pas les opérations anonymes si elles sont présentes dans une forêt Windows Server 2003.
Les valeurs valides pour l’attribut dsHeuristic sont 0 et 0000002. Par défaut, l’attribut DsHeuristics n’existe pas, mais sa valeur interne par défaut est 0. Si vous définissez le septième caractère sur 2 (0000002), les clients anonymes peuvent effectuer toute opération autorisée par la liste de contrôle d’accès (ACL), tout comme les contrôleurs de domaine Windows 2000.
Remarque
Si l’attribut est déjà défini, ne modifiez aucun caractère dans la chaîne DsHeuristics autre que le septième caractère. Si la valeur n’est pas définie, veillez à fournir les zéros non significatifs jusqu’au septième caractère. En outre, vous pouvez utiliser Adsiedit.msc pour apporter la modification à l’attribut .
La chaîne dsHeuristics sur un contrôleur de domaine dans la forêt Forest_Name.com apparaît comme suit lorsque vous l’affichez à l’aide de Ldp.exe. Seuls les attributs sélectionnés sont affichés.
>> Dn : CN=Service d’annuaire,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name,DC>=com
2> objectClass : top ; nTDSService ;
1> cn : Service d’annuaire ;
1> dSHeuristics : 0000002 ; <-2 dans le septième caractère = anonyme
accès autorisé. Notez les zéros non significatifs.
1> nom : Service d’annuaire ;
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour