Postup při konfiguraci služby Active Directory povolit anonymní dotazy

Tento článek se týká systému Windows 2000. Podpora pro systém Windows 2000 končí 13. července 2010. Centrum řešení ukončení podpory systému Windows 2000 je výchozí bod pro plánování strategie migrace ze systému Windows 2000. Další informace naleznete v tématu Zásady životního cyklu podpory společnosti Microsoft.

Souhrn

Mnoho prostředí vyžadují provést anonymní dotazy na službu Active Directory. Například může mít anonymní dotazy na zpáteční e-mailovou adresu. Je možné nakonfigurovat služby Active Directory povolit tyto dotazy.

Tento článek popisuje konfiguraci služby Active Directory podporuje anonymní dotazy, přestože povolit anonymní dotazy lze oslabení zabezpečení služby Active Directory. Buďte opatrní při použít oprávnění ke službě Active Directory, protože známkou může povolit neověřené uživatele na dotaz na informace o zabezpečení. Obecně platí pouze dát účet Anonymous Logon oprávnění, které jsou nutné k provedení anonymní dotaz.

Další informace

Služba Active Directory podporuje anonymní dotazy musí být splněny následující podmínky:
  • Chcete-li povolit anonymní dotazy jsou nastavena oprávnění služby Active Directory.
  • Klienta LDAP, který posílá dotazy je správně nakonfigurován.
Tento článek popisuje, jak nakonfigurovat klienta LDAP vyhledávání služby Active Directory.

Nastavení oprávnění služby Active Directory

Použít následující oprávnění ke kořenovému adresáři kontextu pojmenování domény pro doménu, proti kterému chcete vytvořit dotazy.

Chcete-li udělit potřebná oprávnění pro anonymní přístup, postupujte takto. Opakujte kroky pro každou položku v tabulce. Požadovaná oprávnění k provádění dotazů k vyhledání e-mailové adresy jsou uvedeny v tabulce. Nahradit záhlaví tabulky uvedené v krocích s hodnotou jsou uvedeny v tabulce.

Objekt uživateleOprávněníDědičnostTyp oprávnění
ANONYMNÍ PŘIHLÁŠENÍObsah seznamuObjekty kontejneruObjekt
ANONYMNÍ PŘIHLÁŠENÍObsah seznamu
Objekty organizační jednotkyObjekt
ANONYMNÍ PŘIHLÁŠENÍVeřejné informaceUživatelské objektyVlastnost
ANONYMNÍ PŘIHLÁŠENÍTelefon pro čtení a možnosti pošty
Uživatelské objektyVlastnost

Upozornění: Pokud používáte modul snap-in pro úpravu rozhraní ADSI, nástroj LDP nebo jakéhokoli klienta LDAP verze 3 a nesprávně upravíte atributy objektů služby Active Directory, můžete způsobit vážné problémy. Tyto problémy mohou vyžadovat přeinstalaci systému Microsoft Windows 2000 Server, Microsoft Exchange 2000 Server nebo obojí. Společnost Microsoft nemůže zaručit, že potíže způsobené nesprávnou úpravou atributů objektů služby Active Directory bude možné vyřešit. Tyto atributy upravujete na vlastní nebezpečí.
  1. Spusťte nástroj ADSIEdit z nástrojů podpory systému Windows 2000.
  2. Vyhledejte Kontext pojmenování domén složka. Tato složka má cestu LDAP vaší domény.
  3. Klepněte pravým tlačítkem myši složku Názvového kontextu domény a potom klepněte na příkaz Vlastnosti.
  4. Klepněte na tlačítko zabezpečení.
  5. Klepněte na tlačítko Upřesnit.
  6. Klepněte na tlačítko Přidat.
  7. Klepněte na Objekt uživatele uživatele a potom klepněte na tlačítko
    OK.
  8. Klepněte na kartu Typ oprávnění .
  9. Klepněte na tlačítko dědičnost v rozevíracím seznamu použít .
  10. Klepnutím zaškrtněte políčko Povolit u oprávnění oprávnění .

Konfigurace klienta

Chcete-li provést anonymní dotazy služby Active Directory, musí správně nakonfigurovat název serveru, číslo portu, uživatelské jméno a heslo klienta LDAP, který posílá dotazy. Uvedené informace platí pro všechny klienty protokolu LDAP:
  • Název serveru:

    Název serveru musí být plně kvalifikovaný název domény (FQDN) z řadiče domény Windows 2000, který je také serverem globálního katalogu. Vzhledem k tomu, že globální katalog obsahuje částečné sady atributů, ale kopie všech objektů v doménové struktuře, je nutné odeslat všechny dotazy LDAP globálního katalogu. To umožňuje globální katalog k vyhledávání velmi rychle i pro objekty, které jsou mimo jeho doménu Pokud atribut, který hledáte, je součástí globálního katalogu.
  • Číslo portu:

    Nastavte číslo portu na 3268. Toto je určený port, na kterém naslouchá globálního katalogu pro dotazy. Tento port slouží pouze řadiče domény, které jsou současně servery globálního katalogu.
  • Uživatelské jméno:

    Nastavte uživatelské jméno pro anonymní. Toto nastavení odpovídá nastavení zabezpečení, které byly dříve zmíněných. Nastavení uživatelské jméno tímto způsobem je důležité použití správného zabezpečení do domény.
  • Heslo:

    Ponechejte prázdné heslo.
Tato konfigurace umožňuje anonymní dotazy služby Active Directory. Toto je pouze příklad konfigurace služby Active Directory povolit anonymní dotazy k načtení e-mailové informace konkrétního uživatele. Bude pravděpodobně nutné vyzkoušet nastavení oprávnění, pokud chcete vyhledat jiného objektu nebo atributu. Následující dotaz je příklad, který slouží k testování konfigurace, která byla použita v tomto článku:
(&(objectclass=user) (cn = * [username]))
Vlastnosti

ID článku: 320528 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor