默认情况下,活动目录需要对除最简单的search以外的所有其他身份验 build议禁用此政策的方法是什么? (我search了一下,但最初只发现了一些非特定的微软博客文章。)
答案可以从Microsoft Technet的这篇文章中find。 search“匿名查询”页面。
摘录如下:
默认情况下,在Windows Server 2003中不允许对Active Directory进行匿名LDAP操作(而不是rootDSEsearch和绑定)。(Windows 2000 Server中的Active Directory接受匿名请求;成功的结果取决于在Active Directory中具有正确用户权限的对象。 )
要在Windows Server 2003中启用对Active Directory的匿名绑定,必须在以下目录对象上更改dsHeuristics属性的第七个字符:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest dsHeuristics属性的有效值为0和2.默认情况下,dsHeuristics属性不存在,但其内部默认值为0.如果将第七个字符设置为2,则匿名客户端可以执行访问控制所允许的任何操作列表(ACL)。 如果属性已经设置,请不要修改第七位以外的dsHeuristicsstring中的任何位。 如果没有设置该值,请确保提供前七个位的前导零。 您可以使用Adsiedit.msc对dsHeuristics属性进行更改。
在设置dsHeuristics属性之后,如果您希望匿名用户能够查询Active Directory,则可以启用对特定目录对象的匿名访问。 用户通过匿名login匿名访问Active Directory对象,这是一个特殊的安全标识符(SID),用于表示使用NULL凭据执行LDAP绑定的匿名networking调用方。
看看这篇文章的Windows 2003 AD。 不知道2008年,可能是一样的。