DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 326690 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 13.2

Résumé

Par défaut, les opérations anonymes du protocole LDAP vers Active Directory, autres que des recherches et des liaisons rootDSE, ne sont pas autorisées dans Microsoft Windows Server 2003.

Plus d'informations

Active Directory acceptait des requêtes anonymes dans les versions précédentes des domaines Microsoft Windows. Dans ces versions, le succès du résultat dépendait de l'obtention des autorisations de l'utilisateur appropriées dans Active Directory.

Avec Windows Server 2003, seuls des utilisateurs authentifiés peuvent initialiser une requête LDAP sur des contrôleurs de domaine Windows Server 2003. Vous pouvez remplacer ce nouveau comportement par défaut en modifiant le septième caractère de l'attribut dsHeuristics dans le chemin d'accès de nom de domaine comme suit :
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,domaine_racine_dans_forêt
Le paramètre DsHeuristics s'applique à tous les contrôleurs de domaine Windows Server 2003 dans la même forêt. La valeur est réalisée par des contrôleurs de domaine sur une réplication Active Directory sans redémarrage de Windows. Les contrôleurs de domaine Microsoft Windows 2000 ne prennent pas en charge ce paramètre et ne restreignent pas des opérations anonymes si elles sont présentes dans une forêt Windows Server 2003.

Les valeurs valides pour l'attribut dsHeuristic sont 0 et 0000002. Par défaut, l'attribut DsHeuristics n'existe pas, mais sa valeur interne par défaut est 0. Si vous définissez le septième caractère sur 2 (0000002), les clients anonymes peuvent exécuter toutes les opérations autorisées par la liste de contrôle d'accès, comme le peuvent les contrôleurs de domaine Windows 2000.

Remarque Si l'attribut est déjà défini, ne modifiez aucun caractère dans la chaîne DsHeuristics autre que le septième caractère. Si la valeur n'est pas définie, assurez-vous de spécifier les zéros de début jusqu'au septième caractère. En outre, vous pouvez utiliser Adsiedit.msc pour modifier l'attribut.

La chaîne dsHeuristics sur un contrôleur de domaine dans la forêt Nom_Forêt.com apparaît comme suit lorsque vous l'affichez à l'aide de Ldp.exe. Seuls les attributs sélectionnés sont indiqués.
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<nom_forêt>,DC=com
     2> objectClass: top; nTDSService;
     1> cn: Service d'annuaire ;
     1> dSHeuristics: 0000002; <-2 dans le septième caractère = anonyme
        accès autorisé. Notez les zéros non significatifs.
     1> name: Service d'annuaire ;

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Service Pack 1
Mots-clés : 
kbinfo kbenv KB326690
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store