Windows Server 2003 のドメイン コントローラでは Active Directory に対する匿名の LDAP 操作が無効になっている

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響します。 この変更の意味および保護された状態を維持する方法について説明します。

概要
Microsoft Windows Server 2003 では、rootDSE の検索とバインドを除き、Active Directory に対する匿名の LDAP (Lightweight Directory Access Protocol) 操作はデフォルトで使用できなくなっています。
詳細
以前のバージョンの Microsoft Windows ベース ドメインの Active Directory は匿名の要求を受け付けます。以前のバージョンでは、要求が成功するかどうかは Active Directory のユーザーに正しいアクセス許可があるかどうかで決まります。

Windows Server 2003 の場合、Windows Server 2003 ベースのドメイン コントローラに対して LDAP 要求を開始できるのは、認証を受けたユーザーだけです。この新しいデフォルト動作は、次のように、DN パスで dsHeuristics 属性の 7 番目の文字を変更することで再定義できます。
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest
DsHeuristics の設定は、同じフォレストにあるすべての Windows Server 2003 ベースのドメイン コントローラに適用されます。この値は、Windows を再起動しなくても、Active Directory のレプリケーション時にドメイン コントローラに認識されます。Microsoft Windows 2000 ベースのドメイン コントローラはこの設定に対応しておらず、Windows Server 2003 ベースのフォレスト内にある場合、匿名の操作を制限しません。

dsHeuristic 属性の有効な値は 0 と 0000002 です。デフォルトでは DsHeuristics 属性は存在しませんが、内部のデフォルト値は 0 です。上位から 7 番目の文字を 2 (0000002) に設定すると、匿名のクライアントが、アクセス制御リスト (ACL) で許可される任意の操作を実行できます (この動作は Windows 2000 ベースのドメイン コントローラと同じです)。

: この属性が既に設定されている場合は、7 番目の文字以外、DsHeuristics の文字列は一切変更しないでください。値が設定されていない場合は、7 番目の文字より上位の文字はすべて 0 に設定してください。また、Adsiedit.msc を使用して、属性を変更することもできます。

Forest_Name.com フォレストのドメイン コントローラの dsHeuristics という文字列は、Ldp.exe を使用して参照すると次のように表示されます。このとき、指定した属性だけが表示されます。
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name>,DC=com     2> objectClass: top; nTDSService;      1> cn: Directory Service;      1> dSHeuristics: 0000002; <-- 7 番目の文字が 2 に設定されているため、匿名        アクセスが許可されます。上位の 0 (ゼロ) に注意してください。     1> name: Directory Service;
プロパティ

文書番号:326690 - 最終更新日: 12/03/2007 07:48:00 - リビジョン: 13.2

Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Server 2003 Service Pack 1

  • kbinfo kbenv KB326690
フィードバック