在本地策略中禁用 Windows PDC 上的 LDAP 签名

在本地策略中禁用 Windows PDC 上的 LDAP 签名

看来我只是被自己的脚绊倒了。

在 Windows 2008 R2 服务器(设置为域控制器)上操作时,我对某个警告事件(事件 ID 2886)很感兴趣,它说:

“为了增强目录服务器的安全性,您可以将 Active Directory 域服务 (AD DS) 和 Active Directory 轻量级目录服务 (AD LDS) 配置为要求签名的轻量级目录访问协议 (LDAP) 绑定。”

于是我漫不经心地在 Google 上搜索了一下,并设置了强制 LDAP 签名的相关策略。现在我不记得了,但我可能使用本地策略做到了这一点。

现在我已经设置了一个 pfsense 框,它必须通过 LDAP 验证 AD 用户。虽然防火墙可以通过安全通道进行通信,但对于其他软件包(如 Squid 和 SquidGuard)来说,管理安全通道却很困难。所以现在我必须禁用即撤消这些策略更改。

问题是它们都变成灰色了!

有问题的策略是 LDAP 服务器签名和 LDAP 客户端签名。我不记得我做了什么,但是当我从服务器上的本地策略编辑器访问这些策略时,它们被设置为“需要签名”并且呈灰色。仍然可以通过组策略编辑器中的默认域控制器选项设置相同的策略。

那么我该如何重置这些灰色的策略呢?

谢谢

更新:

我编辑了注册表:

找到并单击以下注册表子项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

右键单击 LDAPServerIntegrity 注册表项,然后单击“修改”。将“值数据”更改为 1(原为 2),然后单击“确定”。

本地策略中的“域控制器:LDAP 服务器签名要求”现在设置为“无”。之前该值是“需要签名”。但是,它仍然是灰色的。为什么它是灰色的......我不明白。

pfSense 框现在可以通过 LDAP 对用户进行身份验证……但在系统重启后,该策略再次重置为“需要签名”

所以...问题仍然存在。

答案1

我知道这是一个相当老的问题,但由于我再次遇到这个问题,所以我想分享我的经验。

我也遇到过“域控制器:LDAP 服务器签名要求”设置呈灰色的问题。原来是我使用了错误的管理单元mmc.exe。您必须使用组策略管理编辑器,如图所示这里。添加管理单元时,转到浏览并添加对象默认域控制器策略从你的域控制器节点。之后,您应该能够编辑上述设置,如下所示这里。请注意,与本地计算机策略设置,其中 LDAP 签名的设置呈灰色(如图所示这里)。

还有很棒的博客文章这对我帮助很大。

相关内容