ドメイン コントローラーで Active Directory への匿名 LDAP 操作が無効になっている

この記事では、ドメイン コントローラーで Active Directory に対する匿名 LDAP 操作が無効になっている問題について説明します。

適用対象: Windows Server 2003
元の KB 番号: 326690

概要

既定では、RootDSE の検索とバインド以外の Active Directory への匿名ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 操作は、Microsoft Windows Server 2003 では許可されません。

詳細情報

以前のバージョンの Microsoft Windows ベースのドメインの Active Directory は、匿名要求を受け入れます。 これらのバージョンでは、正常な結果は、Active Directory で正しいユーザーアクセス許可を持っていることに依存します。

Windows Server 2003 では、認証されたユーザーのみが Windows Server 2003 ベースのドメイン コントローラーに対して LDAP 要求を開始できます。 この新しい既定の動作をオーバーライドするには、DN パスの dsHeuristics 属性の 7 番目の文字を次のように変更します。
CN=Directory Service、CN=Windows NT、CN=Services、CN=Configuration、フォレスト内のルート ドメイン
DsHeuristics 設定は、同じフォレスト内のすべての Windows Server 2003 ベースのドメイン コントローラーに適用されます。 この値は、Windows を再起動せずに Active Directory レプリケーション時にドメイン コントローラーによって実現されます。 Microsoft Windows 2000 ベースのドメイン コントローラーはこの設定をサポートせず、Windows Server 2003 ベースのフォレストに存在する場合は匿名操作を制限しません。

dsHeuristic 属性の有効な値は 0 で0000002。 既定では、DsHeuristics 属性は存在しませんが、内部の既定値は 0 です。 7 番目の文字を 2 (0000002) に設定した場合、匿名クライアントは、Windows 2000 ベースのドメイン コントローラーと同様に、アクセス制御リスト (ACL) で許可されている任意の操作を実行できます。

注:

属性が既に設定されている場合は、DsHeuristics 文字列内の 7 番目の文字以外の文字は変更しないでください。 値が設定されていない場合は、先頭の 0 を 7 番目の文字まで指定してください。 また、Adsiedit.msc を使用して属性を変更することもできます。

Forest_Name.com フォレスト内のドメイン コントローラーの dsHeuristics 文字列は、Ldp.exeを使用して表示すると、次のように表示されます。 選択した属性のみが表示されます。

>>Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name,DC>=com
2> objectClass: top; nTDSService;
1> cn: Directory Service;
1> dSHeuristics: 0000002; <7 番目の文字の -2 = 匿名
アクセスが許可されます。 先頭の 0 に注意してください。
1> つの名前: ディレクトリ サービス。