没有域用户帐户的人是否可以与 Active Directory 交互以获取例如密码策略、域用户列表、域控制器列表等? - 或者如果没有域用户凭据是否无法与 Active Directory 交互?
答案1
如果您是域管理员,则可以通过 dSHeuristics 参数启用对 AD LDAP 服务的匿名(未经身份验证)登录。搜索词是“匿名绑定”。启用该功能后,您可能必须通过 ACL 授予对单个 LDAP 条目的访问权限。
这样做明智吗?在我看来,一点也不明智。至少,这很容易成为员工的重大隐私问题——并且还会带来安全问题。(因此没有文档链接。)
如果您正在为其他人管理的域编写脚本 – 一般答案是“否”。即使是服务或批处理作业等也应该有自己的凭据。
答案2
我不确定您说的 Windows 特定是什么意思。Active Directory 提供了一个 LDAP 接口来使用它。AD 提供的大部分信息都可以使用该接口进行查询。
微软有各种文章详细介绍了它的工作原理和重要性。例如:
- 无服务器绑定和 RootDSE其中有一些有关如何连接到 AD 的信息。
- RootDSE 架构信息其中详细说明了 RootDSE 中可用的信息。
- Active Directory 搜索的工作原理其中还包含一些有关匿名访问的信息。
- Windows Server 2003 域控制器上禁用对 Active Directory 的匿名 LDAP 操作
默认情况下,AD 不会/不应该接受可以更改的匿名连接。如果启用它们,ACL 可能会限制您能够查询的内容。为了测试这一点,您可能能够使用 ADSI 编辑或其他 LDAP 工具。应该可以访问 RootDSE。