As operações LDAP anônimas no Active Directory estão desabilitadas em controladores de domínio

Este artigo fornece algumas informações sobre o problema de que as operações LDAP anônimas no Active Directory estão desabilitadas em controladores de domínio.

Aplica-se a: Windows Server 2003
Número original do KB: 326690

Resumo

Por padrão, as operações anônimas do LDAP (Protocolo de Acesso ao Diretório Leve) para o Active Directory, além de pesquisas e associações rootDSE, não são permitidas no Microsoft Windows Server 2003.

Mais informações

O Active Directory em versões anteriores de domínios baseados no Microsoft Windows aceita solicitações anônimas. Nessas versões, um resultado bem-sucedido depende de ter permissões de usuário corretas no Active Directory.

Com o Windows Server 2003, somente usuários autenticados podem iniciar uma solicitação LDAP em relação aos controladores de domínio baseados no Windows Server 2003. Você pode substituir esse novo comportamento padrão alterando o sétimo caractere do atributo dsHeuristics no caminho DN da seguinte maneira:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, Domínio raiz na floresta
A configuração DsHeuristics se aplica a todos os controladores de domínio baseados no Windows Server 2003 na mesma floresta. O valor é realizado pelos controladores de domínio na replicação do Active Directory sem reiniciar o Windows. Os controladores de domínio baseados no Microsoft Windows 2000 não dão suporte a essa configuração e não restringem operações anônimas se estiverem presentes em uma floresta baseada no Windows Server 2003.

Os valores válidos para o atributo dsHeuristic são 0 e 0000002. Por padrão, o atributo DsHeuristics não existe, mas seu padrão interno é 0. Se você definir o sétimo caractere como 2 (0000002), os clientes anônimos poderão executar qualquer operação permitida pela ACL (lista de controle de acesso), assim como os controladores de domínio baseados no Windows 2000.

Observação

Se o atributo já estiver definido, não modifique nenhum caractere na cadeia de caracteres DsHeuristics diferente do sétimo caractere. Se o valor não estiver definido, certifique-se de fornecer os zeros principais até o sétimo caractere. Além disso, você pode usar Adsiedit.msc para fazer a alteração no atributo.

A cadeia de caracteres dsHeuristics em um controlador de domínio na floresta Forest_Name.com aparece da seguinte maneira quando você a vê usando Ldp.exe. Somente atributos selecionados são mostrados.

>>Dn: Serviço CN=Directory,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name,DC>=com
2> objectClass: top; nTDSService;
1> cn: Serviço de Diretório;
1> dSHeuristics: 0000002; <-2 no sétimo caractere = anônimo
acesso permitido. Observe os zeros principais.
1> nome: Serviço de Diretório;