默认情况下,Active Directory 要求对除最简单搜索之外的所有搜索进行身份验证。禁用此策略的推荐方法是什么?(我搜索过,但起初只发现了一些非特定的 Microsoft 博客文章。)
AskOverflow.Dev
默认情况下,Active Directory 要求对除最简单搜索之外的所有搜索进行身份验证。禁用此策略的推荐方法是什么?(我搜索过,但起初只发现了一些非特定的 Microsoft 博客文章。)
答案可以在Microsoft Technet的这篇文章中找到。在页面上搜索“匿名查询”。
摘录如下:
默认情况下,Windows Server 2003 中不允许对 Active Directory 进行匿名 LDAP 操作,而不是 rootDSE 搜索和绑定。(Windows 2000 Server 中的 Active Directory 接受匿名请求;成功的结果取决于对象在 Active Directory 中具有正确的用户权限。 )
要在 Windows Server 2003 中启用到 Active Directory 的匿名绑定,您必须更改以下目录对象的 dsHeuristics 属性的第七个字符:
dsHeuristics 属性的有效值为 0 和 2。默认情况下,dsHeuristics 属性不存在,但其内部默认值为 0。如果将第七个字符设置为 2,匿名客户端可以执行访问控制允许的任何操作列表 (ACL)。如果该属性已设置,请不要修改 dsHeuristics 字符串中除第七位之外的任何位。如果未设置该值,请确保提供前导零直到第七位。您可以使用 Adsiedit.msc 对 dsHeuristics 属性进行更改。
设置 dsHeuristics 属性后,如果您希望匿名用户能够查询 Active Directory,您可以启用对特定目录对象的匿名访问。用户通过匿名登录获得对 Active Directory 对象的匿名访问,这是一种特殊的安全标识符 (SID),用于表示使用 NULL 凭据执行 LDAP 绑定的匿名网络调用者。
查看这篇关于 Windows 2003 AD 的文章。不知道 2008 年的情况,可能是一样的。