Я настроил Active Directory на машине с Windows 2012R2. Я пытаюсь отключитьАнонимное связываниек AD, но пока не понял, как это сделать. В результате я могу сделать привязку к AD, используя только IP-адрес и программу, например, браузер LDAP.
Как отключить анонимную привязку?
решение1
Active Directory (более ранняя версия Windows 2000) по умолчанию не допускает анонимных операций, кроме rootDSEпоиска. Так что, если вы можете анонимно привязываться к Active Directory, это означает одно из двух. Либо
- Вы подключаетесь к RootDSE, для которого анонимные привязкидолженбыть разрешено по замыслу.
- Вы уже изменили Active Directory, чтобы разрешить анонимные привязки для операций, не являющихся rootDSE, и теперь вам нужно отменить эту конфигурацию.
Анонимный привязывается к RootDSEдолжно бытьразрешено, поскольку RootDSE — это то, как большинство приложений получают информацию о каталоге для выполнения дальнейших привязок, таких как отличительные имена различных разделов и т. д. В RootDSE не содержится никакой конфиденциальной информации, и анонимная привязка к RootDSE — это то, как она была разработана. Все сломается, если приложения не смогут анонимно привязываться к RootDSE.
Например, если приложению необходимо узнать, какие механизмы аутентификации поддерживаются для привязки к вашему AD, оно может получить эту информацию из атрибута supportedSASLMechanismsв RootDSE, но, конечно, это должно произойти до того, как будет выполнена какая-либо аутентификация, поскольку вы еще не знаете, какие механизмы аутентификации вам разрешено использовать.
Читать:https://msdn.microsoft.com/en-us/library/ms677945(v=vs.85).aspx
Во втором случае, если вы включили анонимные привязки к AD для операций, отличных от RootDSE, вы отключаете это, изменяя седьмой символ атрибута dsHeuristicsв следующем объекте каталога:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest
Допустимые значения атрибута dsHeuristics: 0 и 2. По умолчанию атрибут dsHeuristics не существует, но его внутреннее значение по умолчанию равно 0. Если вы установите седьмой символ на 2, анонимные клиенты смогут выполнять любую операцию, разрешенную списком управления доступом (ACL). Если атрибут уже установлен, не изменяйте никакие биты в строке dsHeuristics, кроме седьмого бита. Если значение не установлено, убедитесь, что вы указали начальные нули до седьмого бита. Вы можете использовать Adsiedit.msc, чтобы внести изменения в атрибут dsHeuristics.
Для дальнейшего разъяснения, в настоящее время существуетни за чтодля отключения анонимных привязок к RootDSE. Это не специфическая вещь Active Directory. Это часть спецификации LDAP v3.
Читать:https://technet.microsoft.com/en-us/library/cc755809%28v=ws.10%29.aspx