Jsou zakázány anonymní operací LDAP služby Active Directory v řadičích domény systému Windows Server 2003

Souhrn

Ve výchozím nastavení nejsou povoleny anonymní operací Lightweight Directory Access Protocol (LDAP) do služby Active Directory než rootDSE vyhledávání a vazby, v systému Microsoft Windows Server 2003.

Další informace

V dřívějších verzích Microsoft systémem Windows domény Active Directory přijímá anonymní požadavky. Tyto verze úspěšný výsledek závisí na s správné uživatelské oprávnění ve službě Active Directory.

Windows Server 2003 pouze ověření uživatelé mohou zahájit požadavek LDAP u řadičů domény se systémem Windows Server 2003. Toto výchozí chování můžete přepsat změnou sedmým znakem dsHeuristics atribut DN cestu:
CN = adresářová služba, CN = Windows NT, CN = Services, CN = konfiguracekořenové domény v doménové struktuře
DsHeuristics nastavení platí pro všechny řadiče domény se systémem Windows Server 2003 ve stejné doménové struktuře. Hodnota je realizována pomocí řadiče domény při replikaci služby Active Directory bez restartování systému Windows. Řadiče domény se systémem Microsoft Windows 2000 nepodporují toto nastavení a neomezují anonymní operace, pokud jsou přítomny v doménové struktuře systému Windows Server 2003.

Platné hodnoty pro dsHeuristic atribut je 0, 0000002. Standardně DsHeuristics atribut neexistuje, ale jeho interní výchozí hodnota je 0. Sedmým znakem je nastavena na hodnotu 2 (0000002), anonymní klienti provést jakoukoli operaci, která je povolena podle seznamu řízení přístupu (ACL), stejně jako řadiče domény se systémem Windows 2000.

Poznámka: Pokud je nastaven atribut, neupravujte žádné znaky v řetězci DsHeuristics než sedmým znakem. Pokud není nastavena hodnota, ujistěte se, zadat počáteční nuly až sedmým znakem. Také můžete použít Adsiedit.msc provést změnu atributu.

DsHeuristics řetězec na řadiči domény v
Forest_Namecom doménové struktury se zobrazí takto při zobrazení pomocí nástroje Ldp.exe. Jsou zobrazeny pouze vybrané atributy.
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name>,DC=com     2> objectClass: top; nTDSService; 
1> cn: Directory Service;
1> dSHeuristics: 0000002; <-2 in the seventh character = anonymous
access allowed. Note the leading zeros.
1> name: Directory Service;
Vlastnosti

ID článku: 326690 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor