我们即将开始将 AD 升级到 2012 R2,但我惊恐地发现,匿名 LDAP 绑定已在2003领域。
我们确实一直按照策略向非 Windows 系统颁发 LDAP 身份验证帐户,但在禁用匿名绑定之前,我们应该做一些尽职调查,以确保没有人走匿名捷径。
关于如何审核 LDAP 中的匿名操作,有什么建议吗?显然,可以启用 AD 调试诊断日志记录,或者使用 ADInsight 之类的工具,但我不知道要过滤哪些事件。
答案1
根据 Microsoft PSS,没有办法审核绑定是否是匿名的。
如果您启用 ldap 调试日志,它会显示绑定活动,但不会显示所使用的任何身份验证方法。