Cómo configurar Active Directory para permitir las consultas anónimas

En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración desde Windows 2000. Para obtener más información, consulte la Directiva de ciclo de vida de soporte técnico de Microsoft.

Resumen

Muchos entornos requieren realizar las consultas anónimas a Active Directory. Por ejemplo, tendrá que realizar las consultas anónimas al devolver direcciones de correo electrónico. Puede configurar Active Directory para permitir estas consultas.

En este artículo se describe cómo configurar Active Directory para admitir las consultas anónimas a pesar de lo que las consultas anónimas puede debilitar la seguridad de Active Directory. Tenga cuidado al aplicar permisos a Active Directory debido a un error de configuración permiten a los usuarios no autenticados para proteger la información de consulta. Como norma general, sólo dan la cuenta de inicio de sesión anónimo los permisos necesarios para realizar la consulta anónima.

Más información

Para que Active Directory admitir las consultas anónimas, deben cumplirse las siguientes condiciones:
  • Se establecen permisos en Active Directory para permitir las consultas anónimas.
  • El cliente LDAP que realiza las consultas está configurado correctamente.
En este artículo se describe cómo configurar un cliente LDAP para buscar en Active Directory.

Configuración de permisos de Active Directory

Se aplican los siguientes permisos a la raíz del contexto de nomenclatura de dominio para el dominio con el que desea realizar consultas.

Para conceder los permisos necesarios para el acceso anónimo, siga estos pasos. Repita los pasos para cada elemento de la tabla. La tabla muestra los permisos necesarios para realizar consultas para buscar nombres de correo electrónico. Título de la tabla enumerado en los pasos con el valor de sustitución que se enumeran en la tabla.

Objeto de usuarioPermisosHerenciaTipo de permiso
INICIO DE SESIÓN ANÓNIMOMostrar el contenidoObjetos contenedoresObjeto
INICIO DE SESIÓN ANÓNIMOMostrar el contenido
Objetos unidad organizativaObjeto
INICIO DE SESIÓN ANÓNIMOLeer información públicaObjetos de usuarioPropiedad
INICIO DE SESIÓN ANÓNIMOLeer opciones de teléfono y correo
Objetos de usuarioPropiedad

Advertencia: Si utiliza el complemento ADSI Edit, la utilidad LDP o cualquier otro cliente LDAP versión 3 y modifica incorrectamente los atributos de los objetos de Active Directory, puede provocar problemas graves. Estos problemas pueden exigir que vuelva a instalar Microsoft Windows 2000 Server, Microsoft Exchange 2000 Server o ambos. Microsoft no puede garantizar que puedan resolverse los problemas que se producen si modifica incorrectamente atributos de objeto de Active Directory. Modifique estos atributos bajo su propio riesgo.
  1. Abra ADSIEdit desde las herramientas de soporte de Windows 2000.
  2. Busque la carpeta de Contexto de nombres de dominio . Esta carpeta tiene la ruta de acceso LDAP de su dominio.
  3. Haga clic en la carpeta de Contexto de nombres de dominio y, a continuación, haga clic en Propiedades.
  4. Haga clic en seguridad.
  5. Haga clic en Avanzadas.
  6. Haga clic en Agregar.
  7. Haga clic en el usuario del Objeto de usuario y, a continuación, haga clic en
    OK.
  8. Haga clic en la ficha Tipo de permiso .
  9. Haga clic en el cuadro Aplicar en herencia .
  10. Haga clic para activar la casilla de verificación Permitir para el permiso permiso .

Configuración del cliente

Para realizar las consultas anónimas a Active Directory, debe configurar correctamente el nombre del servidor, el número de puerto, el nombre de usuario y la contraseña del cliente LDAP que realiza las consultas. La información proporcionada aquí se aplica a todos los clientes LDAP:
  • Nombre del servidor:

    El nombre del servidor debe ser un nombre de dominio completo (FQDN) de un controlador de dominio de Windows 2000 también es un servidor de catálogo global. Debe enviar todas las consultas LDAP a un catálogo global porque el catálogo global contiene una copia de todos los objetos de un bosque, pero sólo un conjunto parcial de atributos. Esto permite que el catálogo global realizar búsquedas muy rápidamente, incluso para objetos que están fuera de su dominio, si el atributo que está buscando está incluido en el catálogo global.
  • Número de puerto:

    Establezca el número de puerto en 3268. Este es el puerto designado en el que el catálogo global escucha las consultas. Sólo los controladores de dominio que también son servidores de catálogo global utilizan este puerto.
  • Nombre de usuario:

    Establecer el nombre de usuario en anónimo. Esta configuración coincide con la configuración de seguridad que se ha mencionado anteriormente. Establecer nombre de usuario de esta forma es tan importante como aplicar la seguridad correcta al dominio.
  • Contraseña:

    Deje la contraseña en blanco.
Esta configuración permite que las consultas anónimas a Active Directory. Esto es sólo un ejemplo de cómo configurar Active Directory para permitir las consultas anónimas al recuperar la información de correo electrónico de un usuario concreto. Tendrá que probar la configuración de permisos diferentes si desea buscar un objeto diferente o un atributo. La consulta siguiente es un ejemplo que puede utilizar para probar la configuración que se utilizó en este artículo:
(&(objectclass=user) (cn = * [username]))
Propiedades

Id. de artículo: 320528 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios