域控制器上的 Active Directory 匿名 LDAP 作業已停用

本文提供在域控制器上停用 Active Directory 匿名 LDAP 作業的一些相關信息。

適用於：Windows Server 2003
原始 KB 編號： 326690

摘要

根據預設，Microsoft Windows Server 2003 不允許對 Active Directory 進行匿名輕量型目錄存取通訊協定 (LDAP) 作業，而非 rootDSE 搜尋和系結。

其他相關資訊

舊版 Microsoft Windows 網域中的 Active Directory 接受匿名要求。 在這些版本中，成功的結果取決於在 Active Directory 中擁有正確的用戶權力。

使用 Windows Server 2003 時，只有已驗證的使用者可以針對 Windows Server 2003 型域控制器起始 LDAP 要求。 您可以藉由變更 DN 路徑上 dsHeuristics 屬性的第七個字元來覆寫這個新的預設行為，如下所示：
CN=Directory Service，CN=Windows NT，CN=Services，CN=Configuration，樹系中的根域
DsHeuristics 設定適用於相同樹系中所有以 Windows Server 2003 為基礎的域控制器。 域控制器會在 Active Directory 複寫時實現此值，而不需要重新啟動 Windows。 以 Microsoft Windows 2000 為基礎的域控制器不支援此設定，而且如果匿名作業存在於以 Windows Server 2003 為基礎的樹系中，則不會限制匿名作業。

dsHeuristic 屬性的有效值為 0 且0000002。 根據預設，DsHeuristics 屬性不存在，但其內部預設值為 0。 如果您將第七個字元設定為 2 (0000002) ，匿名用戶端可以執行訪問控制清單 (ACL) 允許的任何作業，Windows 2000 型域控制器也可以執行。

當您使用 Ldp.exe 檢視域控制器時， Forest_Name.com樹系中域控制器上的 dsHeuristics 字串會如下所示。 只會顯示選取的屬性。

>>Dn： CN=Directory Service，CN=Windows NT，CN=Services，CN=Configuration，DC=<forest_name，DC>=com
2> objectClass： top; nTDSService;
1> cn：目錄服務;
1> dSHeuristics：0000002; <第七個字元中的 -2 = 匿名
允許存取。 請注意前置零。
1> 個名稱：目錄服務;