Active Directory'ye anonim LDAP işlemleri etki alanı denetleyicilerinde devre dışı bırakıldı
Bu makalede, Active Directory'ye anonim LDAP işlemlerinin etki alanı denetleyicilerinde devre dışı bırakılması sorunu hakkında bazı bilgiler sağlanmaktadır.
Şunlar için geçerlidir: Windows Server 2003
Özgün KB numarası: 326690
Özet
Varsayılan olarak, Microsoft Windows Server 2003'te rootDSE aramaları ve bağlamaları dışında Active Directory'ye anonim Basit Dizin Erişim Protokolü (LDAP) işlemlerine izin verilmez.
Daha fazla bilgi
Microsoft Windows tabanlı etki alanlarının önceki sürümlerindeki Active Directory anonim istekleri kabul eder. Bu sürümlerde başarılı bir sonuç, Active Directory'de doğru kullanıcı izinlerine sahip olmasına bağlıdır.
Windows Server 2003 ile yalnızca kimliği doğrulanmış kullanıcılar Windows Server 2003 tabanlı etki alanı denetleyicilerine yönelik bir LDAP isteği başlatabilir. DN yolunda dsHeuristics özniteliğinin yedinci karakterini aşağıdaki gibi değiştirerek bu yeni varsayılan davranışı geçersiz kılabilirsiniz:
CN=Dizin Hizmeti,CN=Windows NT,CN=Hizmetler,CN=Yapılandırma, Ormanda kök etki alanı
DsHeuristics ayarı, aynı ormandaki tüm Windows Server 2003 tabanlı etki alanı denetleyicileri için geçerlidir. Değer, Windows yeniden başlatılmadan Active Directory çoğaltması sırasında etki alanı denetleyicileri tarafından gerçekleştirilir. Microsoft Windows 2000 tabanlı etki alanı denetleyicileri bu ayarı desteklemez ve Windows Server 2003 tabanlı bir ormanda varsa anonim işlemleri kısıtlamaz.
dsHeuristic özniteliği için geçerli değerler 0 ve 0000002. Varsayılan olarak, DsHeuristics özniteliği yoktur, ancak iç varsayılanı 0'dır. Yedinci karakteri 2 (0000002) olarak ayarlarsanız anonim istemciler, Windows 2000 tabanlı etki alanı denetleyicileri gibi erişim denetimi listesi (ACL) tarafından izin verilen herhangi bir işlemi gerçekleştirebilir.
Not
Öznitelik zaten ayarlanmışsa, DsHeuristics dizesindeki yedinci karakter dışında hiçbir karakteri değiştirmeyin. Değer ayarlanmadıysa, yedinci karaktere kadar baştaki sıfırları sağladığınıza emin olun. Ayrıca, özniteliğinde değişiklik yapmak için Adsiedit.msc kullanabilirsiniz.
Forest_Name.com ormanındaki bir etki alanı denetleyicisindeki dsHeuristics dizesi, Ldp.exe kullanarak görüntülediğinizde aşağıdaki gibi görünür. Yalnızca seçili öznitelikler gösterilir.
>>Dn: CN=Dizin Hizmeti,CN=Windows NT,CN=Hizmetler,CN=Yapılandırma,DC=<forest_name,DC>=com
2> objectClass: top; nTDSService;
1> cn: Dizin Hizmeti;
1> dSHeuristics: 0000002; <Yedinci karakterde -2 = anonim
erişimine izin verilir. Baştaki sıfırları not edin.
1> ad: Dizin Hizmeti;
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin