O Active Directory (antigo Windows 2000) não permite operações anônimas diferentes de rootDSE
pesquisas, por padrão. Portanto, se você conseguir vincular-se anonimamente ao Active Directory, isso significa uma das duas coisas. Qualquer um
- Você está se conectando ao RootDSE, para o qual ligações anônimas devem ser permitidas por design.
- Você já modificou o Active Directory para permitir ligações anônimas para operações não-rootDSE e agora é necessário reverter essa configuração.
Anônimo vincula a RootDSE deve ser permitido, porque RootDSE é como a maioria dos aplicativos obtém informações sobre o diretório para completar outras ligações, como nomes distintos de várias partições, etc. Nenhuma informação sensível é contido no RootDSE, e a vinculação anônima ao RootDSE é como ele foi projetado para funcionar. As coisas vão quebrar se os aplicativos não puderem se ligar anonimamente ao RootDSE.
Por exemplo, se um aplicativo quisesse saber quais mecanismos de autenticação tinham suporte para vincular-se ao seu AD, ele poderia obter essas informações do atributo supportedSASLMechanisms
em RootDSE
, mas é claro que isso teria de ocorrer antes que qualquer autenticação tenha ocorrido, pois você ainda não sabe quais mecanismos de autenticação está autorizado a usar.
Leia: link
Agora, no segundo caso, supondo que você tenha habilitado associações anônimas ao AD para operações não-RootDSE, desative-o alterando o sétimo caractere do atributo dsHeuristics
no seguinte objeto de diretório:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest
Valid values for the dsHeuristics attribute are 0 and 2. By default, the dsHeuristics attribute does not exist, but its internal default is 0. If you set the seventh character to 2, anonymous clients can perform any operation that is permitted by the access control list (ACL). If the attribute is already set, do not modify any bits in the dsHeuristics string other than the seventh bit. If the value is not set, make sure that you provide the leading zeros up to the seventh bit. You can use Adsiedit.msc to make the change to the dsHeuristics attribute.
Só para esclarecer ainda mais, não há atualmente nenhuma maneira para desabilitar ligações anônimas ao RootDSE. Isso não é uma coisa específica do Active Directory. Isso faz parte da especificação do LDAP v3.
Leia: link
Leia: link