Анонимные операции LDAP в Active Directory отключены на контроллерах домена
В этой статье содержатся некоторые сведения о проблеме, из-за чего анонимные операции LDAP в Active Directory отключены на контроллерах домена.
Применяется к: Windows Server 2003
Оригинальный номер базы знаний: 326690
Сводка
По умолчанию в Microsoft Windows Server 2003 не разрешены анонимные операции ldap для Active Directory, кроме поиска и привязки rootDSE.
Дополнительная информация
Active Directory в более ранних версиях доменов под управлением Microsoft Windows принимает анонимные запросы. В этих версиях успешный результат зависит от наличия правильных разрешений пользователя в Active Directory.
В Windows Server 2003 только прошедшие проверку подлинности пользователи могут инициировать запрос LDAP к контроллерам домена под управлением Windows Server 2003. Это новое поведение по умолчанию можно переопределить, изменив седьмой символ атрибута dsHeuristics в пути DN следующим образом:
CN=Служба каталогов,CN=Windows NT,CN=Services,CN=Configuration, Корневой домен в лесу
Параметр DsHeuristics применяется ко всем контроллерам домена под управлением Windows Server 2003 в одном лесу. Это значение реализуется контроллерами домена при репликации Active Directory без перезапуска Windows. Контроллеры домена под управлением Microsoft Windows 2000 не поддерживают этот параметр и не ограничивают анонимные операции, если они присутствуют в лесу под управлением Windows Server 2003.
Допустимые значения для атрибута dsHeuristic: 0 и 0000002. По умолчанию атрибут DsHeuristics не существует, но его внутреннее значение по умолчанию равно 0. Если для седьмого символа задано значение 2 (0000002), анонимные клиенты могут выполнять любую операцию, разрешенную списком управления доступом (ACL), как и контроллеры домена под управлением Windows 2000.
Примечание.
Если атрибут уже задан, не изменяйте символы в строке DsHeuristics, кроме седьмого символа. Если значение не задано, убедитесь, что вы указали начальные нули до седьмого символа. Кроме того, вы можете использовать Adsiedit.msc, чтобы внести изменения в атрибут .
Строка dsHeuristics на контроллере домена в лесу Forest_Name.com отображается следующим образом при просмотре с помощью Ldp.exe. Отображаются только выбранные атрибуты.
>>Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name,DC>=com
2> objectClass: top; nTDSService;
1> cn: служба каталогов;
1> dSHeuristics: 0000002; <-2 в седьмом символе = анонимный
доступ разрешен. Обратите внимание на начальные нули.
1> имя: служба каталогов;
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по