DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 326690 - Ultima modifica: lunedì 3 dicembre 2007 - Revisione: 13.3

Sommario

Per impostazione predefinita, le operazioni LDAP (Lightweight Directory Access Protocol) in Active Directory diverse da ricerche e binding rootDSE non sono consentite in Microsoft Windows Server 2003.

Informazioni

Active Directory nelle versioni precedenti di domini basati su Microsoft Windows accetta richieste anonime. In queste versioni, la riuscita di queste operazioni dipende dalla presenza delle autorizzazioni utente corrette in Active Directory.

Con Windows Server 2003, solo gli utenti autenticati possono avviare una richiesta LDAP a controller di dominio basati su Windows Server 2003. È possibile ignorare questo nuovo comportamento predefinito modificando il settimo carattere dell'attributo dsHeuristics nel percorso DN, come mostrato di seguito:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Dominio radice della foresta
. L'impostazione DsHeuristics si applica a tutti i controller di dominio basati su Windows Server 2003 della stessa foresta. Il valore viene realizzato dai controller di dominio alla replica di Active Directory senza riavviare Windows. I controller di dominio basati su Microsoft Windows 2000 non supportano questa impostazione e non limitano le operazioni anonime se sono presenti in una foresta basata su Windows Server 2003.

I valori validi per l'attributo dsHeuristic sono 0 e 0000002. Per impostazione predefinita, l'attributo DsHeuristics non esiste, ma la relativa impostazione predefinita interna è 0. Se si imposta il settimo carattere su 2 (0000002), i client anonimi possono eseguire qualsiasi operazione consentita dall'elenco di controllo dell'accesso (ACL), analogamente a quanto avviene per i controller di dominio basati su Windows 2000.

Nota Se l'attributo è già impostato, non modificare caratteri della stringa DsHeuristics diversi dal settimo. Se il valore non è impostato, accertarsi di inserire zeri iniziali fino al settimo carattere. Inoltre è possibile utilizzare Adsiedit.msc per apportare la modifica all'attributo.

La stringa dsHeuristics su un controller di dominio nella foresta Nome_foresta.com appare come segue quando viene visualizzata mediante Ldp.exe (vengono visualizzati solo gli attributi selezionati):
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<nome_foresta>,DC=com
     2> objectClass: top; nTDSService;
     1> cn: Directory Service;
     1> dSHeuristics: 0000002; <-2 nel settimo carattere = anonimo 
        access consentito. Notare gli zero iniziali.
     1> name: Directory Service;

Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Service Pack 1
Chiavi: 
kbinfo kbenv KB326690
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store