默认情况下,Active Directory 要求对除最简单搜索之外的所有搜索进行身份验证。禁用此策略的推荐方法是什么?(我搜索了一下,但一开始只找到了几篇不具体的 Microsoft 博客文章。)
答案1
答案可以在本文来自 Microsoft Technet。在页面上搜索“匿名查询”。
摘录如下:
默认情况下,Windows Server 2003 不允许对 Active Directory 进行匿名 LDAP 操作(rootDSE 搜索和绑定除外)。(Windows 2000 Server 中的 Active Directory 接受匿名请求;成功的结果取决于 Active Directory 中的对象是否具有正确的用户权限。)
要在 Windows Server 2003 中启用与 Active Directory 的匿名绑定,必须更改以下目录对象上的 dsHeuristics 属性的第七个字符:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest
dsHeuristics 属性的有效值为 0 和 2。默认情况下,dsHeuristics 属性不存在,但其内部默认值为 0。如果将第七个字符设置为 2,则匿名客户端可以执行访问控制列表 (ACL) 允许的任何操作。如果已设置该属性,请不要修改 dsHeuristics 字符串中除第七位以外的任何位。如果未设置该值,请确保提供直到第七位的前导零。您可以使用 Adsiedit.msc 对 dsHeuristics 属性进行更改。
设置 dsHeuristics 属性后,如果希望匿名用户能够查询 Active Directory,则可以启用对特定目录对象的匿名访问。用户通过匿名登录获得对 Active Directory 对象的匿名访问权限,匿名登录是一种特殊的安全标识符 (SID),用于表示使用 NULL 凭据执行 LDAP 绑定的匿名网络呼叫者。
答案2
查看本文适用于 Windows 2003 AD。不知道 2008 怎么样,可能一样。