Jak skonfigurować usługę Active Directory, aby zezwolić na kwerendy anonimowe

Streszczenie

W wielu środowiskach jest wymagane tworzenie anonimowych kwerend dotyczących usługi Active Directory. Kwerendy anonimowe można na przykład utworzyć w celu zwrócenia adresów e-mail. Aby zezwolić na takie kwerendy, należy skonfigurować usługę Active Directory.

W tym artykule opisano sposób konfiguracji usługi Active Directory umożliwiający obsługę kwerend anonimowych nawet wtedy, gdy zezwolenie na kwerendy anonimowe mogłoby osłabić zabezpieczenia usługi Active Directory. Podczas stosowania uprawnień do usługi Active Directory należy zachować szczególną ostrożność, ponieważ błąd w konfiguracji może zezwolić użytkownikom nieuprawnionym na wyszukiwanie zabezpieczonych informacji. Ogólnie można przyjąć, że do konta Logowanie anonimowe należy nadawać wyłącznie uprawnienia, które są wymagane do uruchamiania kwerend anonimowych.

Więcej informacji

Aby obsługa kwerend anonimowych w usłudze Active Directory była możliwa, muszą zostać spełnione następujące warunki:

 • uprawnienia, które ustawiono w usłudze Active Directory, zezwalają na uruchamianie kwerend anonimowych;
 • klient LDAP, na którym będą uruchamiane kwerendy, został poprawnie skonfigurowany.
W tym artykule opisano sposób konfiguracji klienta LDAP do przeszukiwania usługi Active Directory.

Ustawianie uprawnień usługi Active Directory

Poniższe uprawnienia należy zastosować do głównego kontekstu nazw domeny, na podstawie której mają zostać utworzone kwerendy.

Aby udzielić uprawnień wymaganych do uzyskania dostępu anonimowego, należy wykonać poniższe kroki. Kroki należy powtórzyć w przypadku każdego elementu w tabeli. W tabeli pokazano uprawnienia, które są wymagane do uruchomienia kwerend wyszukujących nazwy adresów e-mail. Nagłówek tabeli w krokach poniżej należy zamienić na nagłówek, który podano w tabeli.

Obiekt użytkownikaUprawnieniaDziedziczenieTyp uprawnienia
LOGOWANIE ANONIMOWE Wyświetlanie zawartości Obiekty kontenera Obiekt
LOGOWANIE ANONIMOWE Wyświetlanie zawartości Obiekty jednostki organizacyjnej Obiekt
LOGOWANIE ANONIMOWEOdczyt informacji publicznych Obiekty użytkownika Właściwość
LOGOWANIE ANONIMOWE Odczyt opcji telefonu i poczty Obiekt użytkownika Właściwość

OSTRZEŻENIE: Użycie przystawki Edycja ADSI, narzędzia LDP lub dowolnego innego klienta protokołu LDAP 3 i niepoprawna modyfikacja atrybutów obiektów usługi Active Directory mogą być przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu Microsoft Windows 2000 Server, programu Microsoft Exchange 2000 Server lub obu. Firma Microsoft nie może zagwarantować, że możliwe będzie rozwiązanie problemów, które wystąpiły po niepoprawnej modyfikacji atrybutów obiektów usługi Active Directory. Atrybuty te można modyfikować na własną odpowiedzialność.
 1. Otwórz przystawkę ADSIEdit z folderu Windows 2000 Support Tools.
 2. Zlokalizuj folder Domain Naming Context. Folder ten ma ścieżkę LDAP domeny.
 3. Kliknij prawym przyciskiem myszy folder Domain Naming Context, a następnie kliknij polecenie Właściwości.
 4. Kliknij kartę Zabezpieczenia.
 5. Kliknij przycisk Zaawansowane.
 6. Kliknij przycisk Dodaj.
 7. Kliknij pozycję Obiekt użytkownika, a następnie kliknij przycisk OK.
 8. Kliknij kartę Typ uprawnienia.
 9. Kliknij pozycję Dziedziczenie w polu Zastosuj dla.
 10. Kliknij, aby zaznaczyć pole wyboru Zezwalaj dotyczące uprawnienia Uprawnienie.

Konfigurowanie klienta

Aby uruchomić kwerendy anonimowe w usłudze Active Directory, należy poprawnie skonfigurować nazwę serwera, numer portu, nazwę użytkownika i hasło na kliencie LDAP, przy użyciu którego będą one tworzone. Wprowadzone tutaj informacje będą miały zastosowanie do wszystkich klientów LDAP:

 • Nazwa serwera:

  Nazwa serwera musi być w pełni kwalifikowaną nazwą domeny (FQDN, Fully Qualified Domain Name) kontrolera domeny systemu Windows 2000, który jest również serwerem wykazu globalnego. Wszystkie kwerendy LDAP należy wysyłać do wykazu globalnego, ponieważ w wykazie globalnym znajdują się kopie wszystkich obiektów lasu, ale tylko częściowy zestaw atrybutów. Dzięki temu, jeśli wyszukiwany atrybut umieszczono w wykazie globalnym, przeszukiwanie wykazu globalnego odbywa się bardzo szybko, nawet w przypadku obiektów znajdujących się poza swoją domeną.
 • Numer portu:

  Ustaw numer portu na wartość 3268. Jest to port, do którego powinny trafiać kwerendy dotyczące wykazu globalnego. Z tego portu mogą korzystać wyłącznie kontrolery domeny, które są jednocześnie serwerami wykazu globalnego.
 • Nazwa_użytkownika:

  Ustaw opcję Nazwa_użytkownika na wartość anonimowy. Jest to ustawienie zgodne z ustawieniem zabezpieczeń, o którym wspominano wcześniej. Ustawienie Nazwa_użytkownika w taki sposób jest równie ważne, jak zastosowanie poprawnych zabezpieczeń domeny.
 • Hasło:

  Hasło należy pozostawić puste.
Taka konfiguracja umożliwia anonimowym użytkownikom przeszukiwanie usługi Active Directory. Jest to tylko przykładowy sposób konfiguracji usługi Active Directory, który zezwala anonimowym kwerendom na pobieranie informacji o poczcie e-mail konkretnego użytkownika. Aby umożliwić wyszukiwanie innego obiektu lub atrybutu, należy spróbować innej konfiguracji uprawnień. Oto przykład kwerendy, która może służyć do przetestowania konfiguracji użytej w tym artykule:

(&(objectclass=user)(cn=*[nazwa_użytkownika]))
Właściwości

Identyfikator artykułu: 320528 — ostatni przegląd: 18.03.2004 — zmiana: 1

Opinia