Анонимные операции LDAP в Active Directory отключены на контроллерах домена

  • Статья

В этой статье содержатся некоторые сведения о проблеме, из-за чего анонимные операции LDAP в Active Directory отключены на контроллерах домена.

Применяется к: Windows Server 2003
Оригинальный номер базы знаний: 326690

Сводка

По умолчанию в Microsoft Windows Server 2003 не разрешены анонимные операции ldap для Active Directory, кроме поиска и привязки rootDSE.

Дополнительная информация

Active Directory в более ранних версиях доменов под управлением Microsoft Windows принимает анонимные запросы. В этих версиях успешный результат зависит от наличия правильных разрешений пользователя в Active Directory.

В Windows Server 2003 только прошедшие проверку подлинности пользователи могут инициировать запрос LDAP к контроллерам домена под управлением Windows Server 2003. Это новое поведение по умолчанию можно переопределить, изменив седьмой символ атрибута dsHeuristics в пути DN следующим образом:
CN=Служба каталогов,CN=Windows NT,CN=Services,CN=Configuration, Корневой домен в лесу
Параметр DsHeuristics применяется ко всем контроллерам домена под управлением Windows Server 2003 в одном лесу. Это значение реализуется контроллерами домена при репликации Active Directory без перезапуска Windows. Контроллеры домена под управлением Microsoft Windows 2000 не поддерживают этот параметр и не ограничивают анонимные операции, если они присутствуют в лесу под управлением Windows Server 2003.

Допустимые значения для атрибута dsHeuristic: 0 и 0000002. По умолчанию атрибут DsHeuristics не существует, но его внутреннее значение по умолчанию равно 0. Если для седьмого символа задано значение 2 (0000002), анонимные клиенты могут выполнять любую операцию, разрешенную списком управления доступом (ACL), как и контроллеры домена под управлением Windows 2000.

Примечание.

Если атрибут уже задан, не изменяйте символы в строке DsHeuristics, кроме седьмого символа. Если значение не задано, убедитесь, что вы указали начальные нули до седьмого символа. Кроме того, вы можете использовать Adsiedit.msc, чтобы внести изменения в атрибут .

Строка dsHeuristics на контроллере домена в лесу Forest_Name.com отображается следующим образом при просмотре с помощью Ldp.exe. Отображаются только выбранные атрибуты.

>>Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name,DC>=com
2> objectClass: top; nTDSService;
1> cn: служба каталогов;
1> dSHeuristics: 0000002; <-2 в седьмом символе = анонимный
доступ разрешен. Обратите внимание на начальные нули.
1> имя: служба каталогов;