Le operazioni LDAP anonime in Active Directory sono disabilitate sui controller di dominio di Windows Server 2003

Sommario

Per impostazione predefinita, le operazioni LDAP (Lightweight Directory Access Protocol) in Active Directory diverse da ricerche e binding rootDSE non sono consentite in Microsoft Windows Server 2003.

Informazioni

Active Directory nelle versioni precedenti di domini basati su Microsoft Windows accetta richieste anonime. In queste versioni, la riuscita di queste operazioni dipende dalla presenza delle autorizzazioni utente corrette in Active Directory.

Con Windows Server 2003, solo gli utenti autenticati possono avviare una richiesta LDAP a controller di dominio basati su Windows Server 2003. È possibile ignorare questo nuovo comportamento predefinito modificando il settimo carattere dell'attributo dsHeuristics nel percorso DN, come mostrato di seguito:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Dominio radice della foresta
. L'impostazione DsHeuristics si applica a tutti i controller di dominio basati su Windows Server 2003 della stessa foresta. Il valore viene realizzato dai controller di dominio alla replica di Active Directory senza riavviare Windows. I controller di dominio basati su Microsoft Windows 2000 non supportano questa impostazione e non limitano le operazioni anonime se sono presenti in una foresta basata su Windows Server 2003.

I valori validi per l'attributo dsHeuristic sono 0 e 0000002. Per impostazione predefinita, l'attributo DsHeuristics non esiste, ma la relativa impostazione predefinita interna è 0. Se si imposta il settimo carattere su 2 (0000002), i client anonimi possono eseguire qualsiasi operazione consentita dall'elenco di controllo dell'accesso (ACL), analogamente a quanto avviene per i controller di dominio basati su Windows 2000.

Nota Se l'attributo è già impostato, non modificare caratteri della stringa DsHeuristics diversi dal settimo. Se il valore non è impostato, accertarsi di inserire zeri iniziali fino al settimo carattere. Inoltre è possibile utilizzare Adsiedit.msc per apportare la modifica all'attributo.

La stringa dsHeuristics su un controller di dominio nella foresta
Nome_foresta.com appare come segue quando viene visualizzata mediante Ldp.exe (vengono visualizzati solo gli attributi selezionati):
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<nome_foresta>,DC=com
2> objectClass: top; nTDSService;
1> cn: Directory Service;
1> dSHeuristics: 0000002; <-2 nel settimo carattere = anonimo
access consentito. Notare gli zero iniziali.
1> name: Directory Service;
Proprietà

ID articolo: 326690 - Ultima revisione: 13 gen 2008 - Revisione: 1

Feedback