我已在 Windows 2012R2 電腦上設定了 Active Directory。我一直在嘗試禁用匿名綁定給 AD 但尚未弄清楚如何做到這一點。因此,我可以只使用 IP 位址和 LDAP 瀏覽器等程式來綁定到 AD。
如何禁用匿名綁定?
答案1
rootDSE預設情況下,Active Directory(Windows 2000 之前的版本)不允許除搜尋之外的匿名操作。因此,如果您能夠匿名綁定到 Active Directory,則表示以下兩件事之一。任何一個
- 您正在連接到 RootDSE,為此匿名綁定應該設計允許。
- 您已經修改了 Active Directory 以允許對非 rootDSE 操作進行匿名綁定,現在您需要還原該配置。
匿名綁定到 RootDSE應該允許,因為 RootDSE 是大多數應用程式獲取有關目錄的資訊以完成進一步綁定的方式,例如各個分區的可分辨名稱等。 。如果應用程式無法匿名綁定到 RootDSE,事情就會崩潰。
例如,如果應用程式想要知道支援哪些身份驗證機制以便綁定到您的 AD,它可以supportedSASLMechanisms從中的屬性獲取該信息RootDSE,但是當然這必須在進行任何身份驗證之前進行,因為您還不知道您可以使用哪些身份驗證機制。
讀:https://msdn.microsoft.com/en-us/library/ms677945(v=vs.85).aspx
現在,在第二種情況下,假設您已為非 RootDSE 操作啟用至 AD 的匿名綁定,則可以透過變更dsHeuristics下列目錄物件上屬性的第七個字元來停用該綁定:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest
dsHeuristics 屬性的有效值為 0 和 2。 (ACL)。如果該屬性已設置,請勿修改 dsHeuristics 字串中除第七位元之外的任何位元。如果未設定該值,請確保提供直到第七位的前導零。您可以使用 Adsiedit.msc 對 dsHeuristics 屬性進行變更。
為了進一步澄清,目前有決不停用對 RootDSE 的匿名綁定。這不是 Active Directory 特有的事。這是 LDAP v3 規格的一部分。
讀:https://technet.microsoft.com/en-us/library/cc755809%28v=ws.10%29.aspx