Le operazioni LDAP anonime in Active Directory sono disabilitate nei controller di dominio

  • Articolo

Questo articolo fornisce alcune informazioni sul problema relativo alla disabilitazione delle operazioni LDAP anonime in Active Directory nei controller di dominio.

Si applica a: Windows Server 2003
Numero KB originale: 326690

Riepilogo

Per impostazione predefinita, in Microsoft Windows Server 2003 non sono consentite operazioni LDAP (Lightweight Directory Access Protocol) anonime ad Active Directory, diverse dalle ricerche e dai binding rootDSE.

Ulteriori informazioni

Active Directory nelle versioni precedenti dei domini basati su Microsoft Windows accetta richieste anonime. In queste versioni, un risultato positivo dipende dall'avere le autorizzazioni utente corrette in Active Directory.

Con Windows Server 2003, solo gli utenti autenticati possono avviare una richiesta LDAP su controller di dominio basati su Windows Server 2003. È possibile eseguire l'override di questo nuovo comportamento predefinito modificando il settimo carattere dell'attributo dsHeuristics nel percorso DN come indicato di seguito:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, Root domain in forest
L'impostazione DsHeuristics si applica a tutti i controller di dominio basati su Windows Server 2003 nella stessa foresta. Il valore viene realizzato dai controller di dominio durante la replica di Active Directory senza riavviare Windows. I controller di dominio basati su Microsoft Windows 2000 non supportano questa impostazione e non limitano le operazioni anonime se sono presenti in una foresta basata su Windows Server 2003.

I valori validi per l'attributo dsHeuristic sono 0 e 0000002. Per impostazione predefinita, l'attributo DsHeuristics non esiste, ma il relativo valore predefinito interno è 0. Se si imposta il settimo carattere su 2 (0000002), i client anonimi possono eseguire qualsiasi operazione consentita dall'elenco di controllo di accesso (ACL), così come i controller di dominio basati su Windows 2000.

Nota

Se l'attributo è già impostato, non modificare alcun carattere nella stringa DsHeuristics diverso dal settimo carattere. Se il valore non è impostato, assicurarsi di specificare gli zeri iniziali fino al settimo carattere. È anche possibile usare Adsiedit.msc per apportare la modifica all'attributo.

La stringa dsHeuristics in un controller di dominio nella foresta Forest_Name.com viene visualizzata come segue quando viene visualizzata usando Ldp.exe. Vengono visualizzati solo gli attributi selezionati.

>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name,DC>=com
2> objectClass: top; nTDSService;
1> cn: Servizio directory;
1> dSHeuristics: 0000002; <-2 nel settimo carattere = anonimo
accesso consentito. Prendere nota degli zeri iniziali.
1> nome: Servizio directory;