この記事では、ドメイン コントローラーで Active Directory に対する匿名 LDAP 操作が無効になる問題について説明します。
適用対象: Windows Server 2003
元の KB 番号: 326690
まとめ
既定では、rootDSE の検索とバインド以外の Active Directory への匿名ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 操作は、Microsoft Windows Server 2003 では許可されません。
詳細
以前のバージョンの Microsoft Windows ベースのドメインの Active Directory は、匿名要求を受け入れます。 これらのバージョンでは、成功した結果は、Active Directory で適切なユーザーアクセス許可を持つことによって異なります。
Windows Server 2003 では、認証されたユーザーのみが Windows Server 2003 ベースのドメイン コントローラーに対して LDAP 要求を開始できます。 DN パスの dsHeuristics 属性の 7 番目の文字を次のように変更することで、この新しい既定の動作をオーバーライドできます。
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, フォレスト内のRoot ドメイン
DsHeuristics 設定は、同じフォレスト内のすべての Windows Server 2003 ベースのドメイン コントローラーに適用されます。 この値は、Windows を再起動せずに Active Directory レプリケーション時にドメイン コントローラーによって実現されます。 Microsoft Windows 2000 ベースのドメイン コントローラーは、この設定をサポートしていないため、匿名操作が Windows Server 2003 ベースのフォレストに存在する場合は制限されません。
dsHeuristic 属性の有効な値は 0 で、0000002。 既定では、DsHeuristics 属性は存在しませんが、内部の既定値は 0 です。 7 番目の文字を 2 (0000002) に設定すると、匿名クライアントは、Windows 2000 ベースのドメイン コントローラーと同様に、アクセス制御リスト (ACL) で許可される任意の操作を実行できます。
Note
属性が既に設定されている場合は、7 番目の文字以外の DsHeuristics 文字列の文字を変更しないでください。 値が設定されていない場合は、先頭に 0 を 7 文字まで指定してください。 また、Adsiedit.msc を使用して属性を変更することもできます。
Ldp.exeを使用して表示すると、 Forest_Name.com フォレスト内のドメイン コントローラーの dsHeuristics 文字列が次のように表示されます。 選択した属性のみが表示されます。
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name>,DC=com
2> objectClass: top; nTDSService;
1> cn: ディレクトリ サービス;
1> dSHeuristics: 0000002; <7 文字目の -2 = anonymous
アクセスが許可されます。 先頭のゼロに注意してください。
1> 名前: ディレクトリ サービス;