Anonym LDAP-operasjoner til Active Directory er deaktivert på Windows Server 2003-domenekontrollere

Sammendrag

Som standard tillates ikke anonym Lightweight Directory Access Protocol (LDAP)-operasjoner til Active Directory, bortsett fra rootDSE Søk og bindinger, i Microsoft Windows Server 2003.

Hvis du vil ha mer informasjon

Active Directory i tidligere versjoner av Microsoft Windows-baserte domener godtar anonyme forespørsler. I disse versjonene avhengig et vellykket resultat av å ha riktig brukertillatelser i Active Directory.

Med Windows Server 2003 kan bare godkjente brukere opprette en LDAP-forespørsel mot Windows Server 2003-baserte domenekontrollere. Du kan overstyre standardvirkemåten ved å endre det sjuende tegnet for dsHeuristics -attributtet på DN-banen som følger:

CN = katalogtjenesten, CN = Windows NT, CN = tjenester, CN = Configuration,rotdomenet i skogenDsHeuristics -innstillingen gjelder for alle Windows Server 2003-baserte domenekontrollere i samme skog. Verdien er realisert av domenekontrollere på Active Directory-replikering uten å starte Windows på nytt. Microsoft Windows 2000-baserte domenekontrollere støtter ikke denne innstillingen og begrenser ikke anonyme operasjoner, hvis de finnes i en Windows Server 2003-basert skog.

Gyldige verdier for attributtet dsHeuristic er 0 og 0000002. DsHeuristics -attributtet finnes ikke som standard, men den interne standardverdien er 0. Hvis du setter det sjuende tegnet til 2 (0000002), vil anonyme klienter kan utføre alle operasjoner som tillates av tilgangskontrollisten (ACL), kan Windows 2000-baserte domenekontrollere.

Obs! Hvis attributtet allerede er angitt, må du ikke endre eventuelle tegn i strengen DsHeuristics enn det sjuende tegnet. Hvis verdien ikke er angitt, må du kontrollere at du oppgir foranstilte nuller opp til det sjuende tegnet. Du kan også bruke Adsiedit.msc til å gjøre endringen i attributtet.

Strengen dsHeuristics på en domenekontroller i det
Forest_Name.com skogen ser slik ut når du viser den ved hjelp av Ldp.exe. Bare merkede attributter vises.>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name>,DC=com 2> objectClass: top; nTDSService;
1> cn: Directory Service;
1> dSHeuristics: 0000002; <-2 in the seventh character = anonymous
access allowed. Note the leading zeros.
1> name: Directory Service;

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×