没有域用户帐户是否可以与 Active Directory 交互？

如果您是域管理员，则可以通过 dSHeuristics 参数启用对 AD LDAP 服务的匿名（未经身份验证）登录。搜索词是“匿名绑定”。启用该功能后，您可能必须通过 ACL 授予对单个 LDAP 条目的访问权限。

这样做明智吗？在我看来，一点也不明智。至少，这很容易成为员工的重大隐私问题——并且还会带来安全问题。（因此没有文档链接。）

如果您正在为其他人管理的域编写脚本 – 一般答案是“否”。即使是服务或批处理作业等也应该有自己的凭据。

我不确定您说的 Windows 特定是什么意思。Active Directory 提供了一个 LDAP 接口来使用它。AD 提供的大部分信息都可以使用该接口进行查询。

微软有各种文章详细介绍了它的工作原理和重要性。例如：

• 无服务器绑定和 RootDSE其中有一些有关如何连接到 AD 的信息。
• RootDSE 架构信息其中详细说明了 RootDSE 中可用的信息。
• Active Directory 搜索的工作原理其中还包含一些有关匿名访问的信息。
• Windows Server 2003 域控制器上禁用对 Active Directory 的匿名 LDAP 操作

默认情况下，AD 不会/不应该接受可以更改的匿名连接。如果启用它们，ACL 可能会限制您能够查询的内容。为了测试这一点，您可能能够使用 ADSI 编辑或其他 LDAP 工具。应该可以访问 RootDSE。