没有域用户帐户是否可以与 Active Directory 交互?

没有域用户帐户是否可以与 Active Directory 交互?

没有域用户帐户的人是否可以与 Active Directory 交互以获取例如密码策略、域用户列表、域控制器列表等? - 或者如果没有域用户凭据是否无法与 Active Directory 交互?

答案1

如果您是域管理员,则可以通过 dSHeuristics 参数启用对 AD LDAP 服务的匿名(未经身份验证)登录。搜索词是“匿名绑定”。启用该功能后,您可能必须通过 ACL 授予对单个 LDAP 条目的访问权限。

这样做明智吗?在我看来,一点也不明智。至少,这很容易成为员工的重大隐私问题——并且还会带来安全问题。(因此没有文档链接。)

如果您正在为其他人管理的域编写脚本 – 一般答案是“否”。即使是服务或批处理作业等也应该有自己的凭据。

答案2

我不确定您说的 Windows 特定是什么意思。Active Directory 提供了一个 LDAP 接口来使用它。AD 提供的大部分信息都可以使用该接口进行查询。

微软有各种文章详细介绍了它的工作原理和重要性。例如:

默认情况下,AD 不会/不应该接受可以更改的匿名连接。如果启用它们,ACL 可能会限制您能够查询的内容。为了测试这一点,您可能能够使用 ADSI 编辑或其他 LDAP 工具。应该可以访问 RootDSE。

相关内容