在 Windows Server 2003 域控制器上禁用对 Active Directory 的匿名 LDAP 操作

文章翻译 文章翻译
文章编号: 326690 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

默认状态下,匿名到活动的目录 rootDSE 搜索和 $ 绑定,以外的轻型目录访问协议 (LDAP) 操作不允许在 Microsoft Windows Server 2003 中。

更多信息

active Directory 在早期版本的 Microsoft 的基于 Windows 的域接受匿名请求。在这些的版本中成功的结果取决于在 Active Directory 中拥有正确的用户权限。

使用 Windows Server 2003,只有已通过身份验证的用户可能启动针对基于 Windows Server 2003 的域控制器的 LDAP 请求。可以通过更改 dsHeuristics 属性 DN 路径上的第七个字符,如下所示重写此新的默认行为:
CN = 目录服务 CN = Windows NT CN = 服务,CN = 配置,Root domain in forest
DsHeuristics 设置适用于在同一个目录林中的所有基于 Windows Server 2003 的域控制器。由域控制器在 Active Directory 复制时不重新启动 Windows 的情况下,值是意识到。基于 Microsoft Windows 2000 的域控制器不支持此设置,并不能限制匿名操作,如果它们在基于 Windows Server 2003 的目录林中的存在。

dsHeuristic 属性的有效值为 0 和 $ 0000002。默认状态下,DsHeuristics 属性不存在,但其内部默认值为 0。如果将第七个字符设置为 2 (0000002),匿名客户端允许的访问控制列表 (ACL) 的任何操作可以执行基于 Windows 2000 的域控制器。

注意如果已经设置了属性不要修改第七个字符以外的其他 DsHeuristics 字符串中的任何字符。如果未设置值,则请确保您提供前导零到第七个字符。此外,可以使用 Adsiedit.msc 给该属性进行更改。

使用 Ldp.exe 查看它时,dsHeuristics 字符串 Forest_Name.com 林中的域控制器上的显示,如下所示。显示只选定的属性。
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name>,DC=com
     2> objectClass: top; nTDSService; 
     1> cn: Directory Service; 
     1> dSHeuristics: 0000002; <-2 in the seventh character = anonymous 
        access allowed. Note the leading zeros.
     1> name: Directory Service;

属性

文章编号: 326690 - 最后修改: 2007年12月3日 - 修订: 13.3
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Service Pack 1
关键字:?
kbmt kbenv kbinfo KB326690 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 326690
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com