Active Directory への匿名 LDAP 操作がドメイン コントローラーで無効になっている

この記事では、ドメイン コントローラーで Active Directory に対する匿名 LDAP 操作が無効になる問題に関する情報を提供します。

適用対象: Windows Server 2003
元の KB 番号: 326690

概要

既定では、rootDSE 検索とバインド以外の Active Directory への匿名ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 操作は、Microsoft Windows Server 2003 では許可されません。

詳細

以前のバージョンの Microsoft Windows ベースのドメインの Active Directory では、匿名要求を受け入れます。 これらのバージョンでは、成功した結果は、Active Directory で適切なユーザーアクセス許可を持つことによって異なります。

Windows Server 2003 では、認証されたユーザーのみが Windows Server 2003 ベースのドメイン コントローラーに対して LDAP 要求を開始できます。 DN パスの dsHeuristics 属性の 7 番目の文字を次のように変更することで、この新しい既定の動作をオーバーライドできます。
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, フォレスト内のルート ドメイン
DsHeuristics 設定は、同じフォレスト内のすべての Windows Server 2003 ベースのドメイン コントローラーに適用されます。 この値は、Windows を再起動せずに Active Directory レプリケーション時にドメイン コントローラーによって実現されます。 Microsoft Windows 2000 ベースのドメイン コントローラーは、この設定をサポートしていないため、匿名操作が Windows Server 2003 ベースのフォレストに存在する場合は制限されません。

dsHeuristic 属性の有効な値は 0 であり、0000002。 既定では、DsHeuristics 属性は存在しませんが、内部の既定値は 0 です。 7 文字目を 2 (0000002) に設定した場合、匿名クライアントは、Windows 2000 ベースのドメイン コントローラーと同様に、アクセス制御リスト (ACL) によって許可される任意の操作を実行できます。

Ldp.exe を使用して表示すると、 Forest_Name.com フォレスト内のドメイン コントローラーの dsHeuristics 文字列が次のように表示されます。 選択した属性のみが表示されます。

>>Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name,DC>=com
2> objectClass: top; nTDSService;
1> cn: ディレクトリ サービス。
1> dSHeuristics: 0000002; <7 文字目の -2 = anonymous
アクセスが許可されます。 先頭の 0 に注意してください。
1> 名: ディレクトリ サービス。