Ανώνυμες λειτουργίες LDAP στην υπηρεσία καταλόγου Active Directory είναι απενεργοποιημένες σε ελεγκτές τομέα με Windows Server 2003

Σύνοψη

Από προεπιλογή, οι ανώνυμες εργασίες Lightweight Directory Access Protocol (LDAP) για την υπηρεσία καταλόγου Active Directory, εκτός από την rootDSE αναζητήσεις και συνδέσεις, δεν επιτρέπεται στον Microsoft Windows Server 2003.

Περισσότερες πληροφορίες

Υπηρεσία καταλόγου Active Directory σε παλαιότερες εκδόσεις του Microsoft τομείς που βασίζονται σε Windows δέχεται ανώνυμες αιτήσεις. Σε αυτές τις εκδόσεις, μια επιτυχημένη αποτέλεσμα εξαρτάται από έχουν δικαιώματα χρήστη σωστά στην υπηρεσία καταλόγου Active Directory.

Στον Windows Server 2003, μόνο οι εξουσιοδοτημένοι χρήστες μπορεί να αρχίσει μια αίτηση LDAP σε ελεγκτές τομέα που βασίζεται σε Windows Server 2003. Μπορείτε να παρακάμψετε αυτήν τη νέα προεπιλεγμένη συμπεριφορά αλλάζοντας τον έβδομο χαρακτήρα από το χαρακτηριστικό dsHeuristics στη διαδρομή DN ως εξής:
CN = υπηρεσίας καταλόγου, CN = Windows NT, CN = υπηρεσίες, CN = Configuration,τομέα ρίζας συμπλέγματος δομών
Η ρύθμιση DsHeuristics εφαρμόζεται σε όλους τους ελεγκτές τομέα που βασίζεται σε Windows Server 2003 στο ίδιο σύμπλεγμα δομών. Η τιμή είναι Πραγματοποιημένη από ελεγκτές τομέα κατά την αναπαραγωγή της υπηρεσίας καταλόγου Active Directory χωρίς επανεκκίνηση των Windows. Οι ελεγκτές τομέα που βασίζεται στα Microsoft Windows 2000 δεν υποστηρίζουν αυτήν τη ρύθμιση και χωρίς περιορισμό ανώνυμης λειτουργίες εάν υπάρχουν σε ένα σύμπλεγμα που βασίζεται σε Windows Server 2003.

Οι έγκυρες τιμές για το χαρακτηριστικό dsHeuristic είναι 0 και 0000002. Από προεπιλογή, το χαρακτηριστικό DsHeuristics δεν υπάρχει, αλλά το εσωτερικό προεπιλεγμένη τιμή είναι 0. Εάν ορίσετε τον έβδομο χαρακτήρα 2 (0000002), ανώνυμων πελατών να εκτελέσετε οποιαδήποτε λειτουργία που επιτρέπεται από τη λίστα ελέγχου πρόσβασης (ACL), όπως οι ελεγκτές τομέα που βασίζεται στα Windows 2000.

Σημείωση Εάν το χαρακτηριστικό έχει ήδη οριστεί, μην τροποποιήσετε όλους τους χαρακτήρες από τη συμβολοσειρά DsHeuristics από τον έβδομο χαρακτήρα. Εάν η τιμή δεν έχει οριστεί, βεβαιωθείτε ότι παρέχετε τα αρχικά μηδενικά μέχρι τον έβδομο χαρακτήρα. Επίσης, μπορείτε να χρησιμοποιήσετε Adsiedit.msc να κάνετε την αλλαγή στο χαρακτηριστικό.

Η συμβολοσειρά dsHeuristics σε έναν ελεγκτή τομέα του
Forest_Nameσύμπλεγμα δομών .com εμφανίζεται ως εξής όταν προβάλλετε χρησιμοποιώντας το Ldp.exe. Εμφανίζονται μόνο τα επιλεγμένα χαρακτηριστικά.
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name>,DC=com     2> objectClass: top; nTDSService; 
1> cn: Directory Service;
1> dSHeuristics: 0000002; <-2 in the seventh character = anonymous
access allowed. Note the leading zeros.
1> name: Directory Service;
Ιδιότητες

Αναγνωριστικό άρθρου: 326690 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια