ドメイン コントローラーで Active Directory への匿名 LDAP 操作が無効になっている

この記事では、ドメイン コントローラーで Active Directory への匿名 LDAP 操作が無効になっているという問題について説明します。

適用対象:  WindowsServer 2003
元の KB 番号:   326690

概要

既定では、Microsoft Windows Server 2003 では、rootDSE の検索とバインド以外の Active Directory への匿名ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 操作は許可されていません。

詳細

以前のバージョンの Microsoft Windowsの Active Directory は匿名要求を受け入れる。 これらのバージョンでは、成功した結果は Active Directory で正しいユーザーアクセス許可を持つことによって異なります。

サーバー 2003 Windowsでは、認証されたユーザーだけがサーバー 2003 ベースのドメイン コントローラーに対Windows LDAP 要求を開始できます。 この新しい既定の動作を上書きするには、DN パスの dsHeuristics 属性の 7 番目の文字を次のように変更します。
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, root domain in forest
DsHeuristics 設定は、同じフォレストWindowsサーバー 2003 ベースのドメイン コントローラーに適用されます。 この値は、Active Directory レプリケーション時にドメイン コントローラーによって、ドメイン コントローラーによって実行され、Windows。 Microsoft Windows 2000 ベースのドメイン コントローラーは、この設定をサポートしていないので、Windows Server 2003 ベースのフォレストに存在する場合は匿名操作を制限しません。

dsHeuristic 属性の有効な値は 0 で、0000002。 既定では、DsHeuristics 属性は存在しませんが、内部の既定値は 0 です。 7 番目の文字を 2 (0000002) に設定すると、匿名クライアントは、2000 ベースのドメイン コントローラーと同様に、アクセス制御リスト (ACL) で許可されている任意の操作を実行できます。Windowsを使用できます。

注意

属性が既に設定されている場合は、7 番目の文字以外の DsHeuristics 文字列内の文字を変更しません。 値が設定されていない場合は、7 文字目までの先頭に 0 を指定してください。 また、Adsiedit.msc を使用して属性を変更できます。

Forest_Name .com フォレストのドメイン コントローラーの dsHeuristics 文字列は、Ldp.exe を使用して表示すると、次のように表示されます。 選択した属性だけが表示されます。

>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name>,DC=com
2> objectClass: top;nTDSService;
1> cn: Directory Service;
1> dSHeuristics: 0000002;<-2 の 7 番目の文字 = 匿名
アクセスが許可されます。 先頭の 0 に注意してください。
1>名: Directory Service;