Anonyme LDAP-Operationen in Active Directory sind in Windows Server 2003-Domänencontroller deaktiviert.

Zusammenfassung

Standardmäßig dürfen anonyme Lightweight Directory Access Protocol (LDAP) Operationen in Active Directory als RootDSE sucht und bindet, nicht in Microsoft Windows Server 2003.

Weitere Informationen

Active Directory in früheren Versionen von Microsoft Windows-basierten Domänen akzeptiert anonyme Anfragen. In diesen Versionen hängt ein erfolgreiches Ergebnis korrekten Berechtigungen in Active Directory.

Mit Windows Server 2003 können nur authentifizierte Benutzer eine LDAP-Anforderung für Windows Server 2003-Domänencontroller initiieren. Sie können das neue Standardverhalten überschreiben, indem Sie das Siebte Zeichen des Attributs DsHeuristics der DN-Pfad wie folgt ändern:
CN = Directory Service, CN = Windows NT, CN = Dienste, CN = Configuration,Gesamtstruktur-Stammdomäne
DsHeuristics Einstellung gilt für alle Windows Server 2003-Domänencontroller in derselben Gesamtstruktur. Der Wert von Domänencontrollern auf Active Directory-Replikation erweist sich ohne Neustart von Windows. Microsoft Windows 2000-Domänencontroller unterstützen diese Einstellung und anonyme Operationen sind in Windows Server 2003-Gesamtstruktur vorhanden nicht einschränken.

Gültige Werte für das Attribut DsHeuristic sind 0 und 0000002. Standardmäßig DsHeuristics Attribut ist nicht vorhanden, interne Standardwert ist jedoch 0. Wenn Sie das Siebte Zeichen 2 (0000002) festlegen, können anonyme Clients Vorgänge ausführen, die Zugriffssteuerungsliste (ACL) zulässig ist wie Windows 2000-Domänencontroller.

Hinweis Wenn das Attribut bereits festgelegt ist, ändern Sie alle Zeichen in der Zeichenfolge DsHeuristics als dem siebten Zeichen nicht. Wenn der Wert nicht festgelegt ist, stellen Sie sicher, dass Sie die führenden Nullen bis siebten Zeichen. Adsiedit.msc können Sie auch das Attribut ändern.

DsHeuristics Zeichenfolge auf einem Domänencontroller in der
Forest_Name.com Gesamtstruktur wird wie folgt angezeigt, wenn Sie mithilfe von Ldp.exe anzeigen. Nur ausgewählte Attribute werden angezeigt.
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name>,DC=com     2> objectClass: top; nTDSService; 
1> cn: Directory Service;
1> dSHeuristics: 0000002; <-2 in the seventh character = anonymous
access allowed. Note the leading zeros.
1> name: Directory Service;
Eigenschaften

Artikelnummer: 326690 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback