到 Active Directory 的匿名 LDAP 操作會停用 Windows Server 2003 網域控制站上

摘要

根據預設,到 Active Directory,匿名的輕量型目錄存取通訊協定 (LDAP) 操作,而不進行 rootDSE 搜尋和繫結,不允許在 Microsoft Windows Server 2003。

其他相關資訊

在較早版本的 Microsoft windows 網域中的 active Directory 接受匿名要求。在這些版本中,成功的結果取決於在 Active Directory 中具有正確的使用者權限。 使用 Windows Server 2003,只有驗證的使用者可能會起始向 Windows Server 2003 網域控制站 LDAP 要求。若要覆寫這個新的預設行為,可以變更dsHeuristics屬性 DN 路徑上的第七個字元,如下所示:

CN = 目錄服務,CN = Windows NT,CN = 服務,CN = 組態,在樹系根網域DsHeuristics設定會套用至相同的樹系中的所有 Windows Server 2003 網域控制站。Active Directory 複寫的網域控制站被實現價值,而不用重新啟動 Windows。Microsoft Windows 2000 為基礎的網域控制站不支援這項設定,而不會限制匿名作業如果它們存在 Windows Server 2003 的樹系中。DsHeuristic屬性的有效值是 0 到 0000002。根據預設, DsHeuristics屬性不存在,但其內部的預設值為 0。如果您的第七個字元設定為 2 (0000002) 時,匿名用戶端可以執行任何作業所允許的存取控制清單 (ACL),因為可以在 Windows 2000 網域控制站。附註如果已設定的屬性,請勿修改中的DsHeuristics字串,第七個字元以外的任何字元。如果未設定值,請確定您提供前置的零到第七個字元。此外,您可以使用 Adsiedit.msc 屬性進行變更。Forest_Name.com 樹系的網域控制站上的dsHeuristics字串會出現,如下所示,當您使用 Ldp.exe 來加以檢視。顯示選取的屬性。>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name>,DC=com 2> objectClass: top; nTDSService; 1> cn: Directory Service; 1> dSHeuristics: 0000002; <-2 in the seventh character = anonymous access allowed. Note the leading zeros. 1> name: Directory Service;

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與我們的其中一個 Office 支援專員連絡以深入了解您的意見。

×