É possível interagir com o Active Directory sem uma conta de usuário de domínio?

0

Alguém sem uma conta de usuário de domínio interage com o Active Directory para obter, por exemplo, política de senha, lista de usuários do domínio, lista de controladores de domínio etc.? - ou é impossível interagir com o Active Directory sem credenciais de usuário de domínio?

    
por user111854 25.09.2018 / 07:17

2 respostas

3

Se você for um administrador de domínio, é possível ativar logins anônimos (não autenticados) no serviço LDAP do AD por meio do parâmetro dSHeuristics. O termo de pesquisa para isso é "ligação anônima". Assim que estiver ativado, você provavelmente terá que conceder acesso a entradas LDAP individuais por meio de ACLs.

É sensato fazer isso? IMHO, não em todos. No mínimo, isso facilmente se tornaria um grande problema de privacidade para seus funcionários - e também atrairia problemas de segurança. (Portanto, não há links para documentação.)

Se você estiver escrevendo um script para domínios gerenciados por outra pessoa, a resposta geral é "não". Até mesmo coisas como serviços ou trabalhos em lote devem ter suas próprias credenciais.

    
por 25.09.2018 / 09:08
1

Não tenho certeza do que você quer dizer com janelas específicas. O Active Directory fornece uma interface LDAP para trabalhar com ele. A maioria das informações fornecidas pelo AD podem ser consultadas usando essa interface.

A Microsoft tem vários artigos que detalham como funciona e o que é importante. Por exemplo:

Por padrão, o AD não deveria / não deveria aceitar conexões anônimas que podem ser alteradas. Se eles estiverem habilitados, as ACLs poderão limitar o que você pode consultar. Para testar isso, você poderá usar a edição ADSI ou outra ferramenta LDAP. O acesso ao RootDSE deve ser possível.

    
por 25.09.2018 / 09:15