A resposta pode ser encontrada em este artigo da Microsoft Technet. Pesquise na página "Consultas Anônimas".
Trecho a seguir:
Por padrão, operações LDAP anônimas para o Active Directory, que não sejam rootDSE, são proibidas no Windows Server 2003. (O Active Directory no Windows 2000 Server aceita solicitações anônimas; um resultado bem-sucedido depende de objetos com permissões de usuário corretas em Active Directory.)
Para habilitar a vinculação anônima ao Active Directory no Windows Server 2003, você deve alterar o sétimo caractere do atributo dsHeuristics no seguinte objeto de diretório:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest
Os valores válidos para o atributo dsHeuristics são 0 e 2. Por padrão, o atributo dsHeuristics não existe, mas seu padrão interno é 0. Se você definir o sétimo caractere como 2, os clientes anônimos poderão executar qualquer operação permitida por a lista de controle de acesso (ACL). Se o atributo já estiver definido, não modifique nenhum bit na cadeia dsHeuristics além do sétimo bit. Se o valor não estiver definido, forneça os zeros à esquerda até o sétimo bit. Você pode usar Adsiedit.msc para fazer a alteração no atributo dsHeuristics.
Depois de definir o atributo dsHeuristics, se quiser que usuários anônimos consigam consultar o Active Directory, você poderá habilitar o acesso anônimo a objetos de diretório específicos. Os usuários obtêm acesso anônimo aos objetos do Active Directory por meio do Logon Anônimo, que é um identificador de segurança especial (SID) usado para representar os chamadores de rede anônimos que executam uma ligação LDAP com credenciais NULL.