Ich habe Active Directory auf einem Windows 2012R2-Rechner eingerichtet. Ich habe versucht,Anonyme Bindungzum AD, habe aber noch nicht herausgefunden, wie das geht. Als Ergebnis kann ich mich nur mit der IP-Adresse und einem Programm wie einem LDAP-Browser an das AD binden.
Wie kann ich die anonyme Bindung deaktivieren?
Antwort1
Active Directory (ab Windows 2000) erlaubt standardmäßig keine anonymen Operationen außer rootDSESuchvorgängen. Wenn Sie also eine anonyme Verbindung zu Active Directory herstellen können, bedeutet das eines von zwei Dingen. Entweder
- Sie stellen eine Verbindung zu RootDSE her, für das anonyme Bindungensollenkonstruktionsbedingt zulässig sein.
- Sie haben Active Directory bereits geändert, um anonyme Bindungen für Nicht-RootDSE-Vorgänge zuzulassen, und jetzt müssen Sie diese Konfiguration rückgängig machen.
Anonyme Bindungen an RootDSEsollte seinzulässig, da die meisten Anwendungen über RootDSE Informationen über das Verzeichnis erhalten, um weitere Bindungen abzuschließen, wie z. B. Distinguished Names verschiedener Partitionen usw. RootDSE enthält keine vertraulichen Informationen und ist für die anonyme Bindung an RootDSE konzipiert. Wenn Anwendungen nicht anonym an RootDSE gebunden werden können, kommt es zu Problemen.
Wenn eine Anwendung beispielsweise wissen möchte, welche Authentifizierungsmechanismen für die Bindung an Ihr AD unterstützt werden, könnte sie diese Information aus dem supportedSASLMechanismsAttribut in RootDSEabrufen. Dies müsste jedoch natürlich vor der Authentifizierung geschehen, da Sie noch nicht einmal wissen, welche Authentifizierungsmechanismen Sie verwenden dürfen.
Lesen:https://msdn.microsoft.com/en-us/library/ms677945(v=vs.85).aspx
Im zweiten Fall deaktivieren Sie die anonyme Bindung an AD für Nicht-RootDSE-Vorgänge, indem Sie das siebte Zeichen des dsHeuristicsAttributs im folgenden Verzeichnisobjekt ändern:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest
Gültige Werte für das Attribut „dsHeuristics“ sind 0 und 2. Standardmäßig ist das Attribut „dsHeuristics“ nicht vorhanden, aber sein interner Standardwert ist 0. Wenn Sie das siebte Zeichen auf 2 setzen, können anonyme Clients alle Vorgänge ausführen, die von der Zugriffssteuerungsliste (ACL) zugelassen werden. Wenn das Attribut bereits gesetzt ist, ändern Sie keine anderen Bits in der Zeichenfolge „dsHeuristics“ außer dem siebten Bit. Wenn der Wert nicht gesetzt ist, stellen Sie sicher, dass Sie die führenden Nullen bis zum siebten Bit angeben. Sie können Adsiedit.msc verwenden, um die Änderung am Attribut „dsHeuristics“ vorzunehmen.
Um das noch deutlicher zu machen:auf keinen Fallum anonyme Bindungen an RootDSE zu deaktivieren. Dies ist keine Active Directory-spezifische Sache. Es ist Teil der LDAP v3-Spezifikation.
Lesen:https://technet.microsoft.com/en-us/library/cc755809%28v=ws.10%29.aspx