Configurei o Active Directory em uma máquina Windows 2012R2. Eu tenho tentado desativarVinculação anônimaao AD, mas ainda não descobri como fazer isso. Como resultado, consigo vincular-me ao AD usando apenas o endereço IP e um programa como um navegador LDAP.
Como posso desativar a ligação anônima?
Responder1
O Active Directory (anterior ao Windows 2000) não permite operações anônimas além de rootDSEpesquisas, por padrão. Portanto, se você conseguir vincular-se anonimamente ao Active Directory, isso significa uma de duas coisas. Qualquer
- Você está se conectando ao RootDSE, para o qual ligações anônimasdeveser permitido por design.
- Você já modificou o Active Directory para permitir ligações anônimas para operações não rootDSE e agora precisa reverter essa configuração.
Anônimo se liga ao RootDSEdeveria estarpermitido, porque RootDSE é como a maioria dos aplicativos obtém informações sobre o diretório para concluir ligações adicionais, como nomes distintos de várias partições, etc. Nenhuma informação confidencial está contida no RootDSE, e a ligação anônima ao RootDSE é como ele foi projetado para funcionar . As coisas irão falhar se os aplicativos não puderem se vincular anonimamente ao RootDSE.
Por exemplo, se um aplicativo quisesse saber quais mecanismos de autenticação eram suportados para se vincular ao seu AD, ele poderia obter essas informações do supportedSASLMechanismsatributo em RootDSE, mas é claro que isso teria que ocorrer antes de qualquer autenticação ocorrer, já que você ainda não sei quais mecanismos de autenticação você pode usar.
Ler:https://msdn.microsoft.com/en-us/library/ms677945(v=vs.85).aspx
Agora, no segundo caso, supondo que você tenha habilitado ligações anônimas ao AD para operações não-RootDSE, você desabilita isso alterando o sétimo caractere do dsHeuristicsatributo no seguinte objeto de diretório:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest
Os valores válidos para o atributo dsHeuristics são 0 e 2. Por padrão, o atributo dsHeuristics não existe, mas seu padrão interno é 0. Se você definir o sétimo caractere como 2, os clientes anônimos poderão executar qualquer operação permitida pelo controle de acesso lista (ACL). Se o atributo já estiver configurado, não modifique nenhum bit na sequência dsHeuristics além do sétimo bit. Se o valor não estiver definido, certifique-se de fornecer os zeros iniciais até o sétimo bit. Você pode usar Adsiedit.msc para fazer a alteração no atributo dsHeuristics.
Apenas para esclarecer melhor, atualmente existesem chancepara desabilitar ligações anônimas ao RootDSE. Isso não é algo específico do Active Directory. Isso faz parte da especificação LDAP v3.
Ler:https://technet.microsoft.com/en-us/library/cc755809%28v=ws.10%29.aspx