Kann ich ohne Domänenbenutzerkonto mit Active Directory interagieren?

Question

Kann ich ohne Domänenbenutzerkonto mit Active Directory interagieren?

487

user111854 2018-09-25 в 05:17

Kann jemand ohne Domänenbenutzerkonto mit Active Directory interagieren, um z. B. Kennwortrichtlinien, Liste der Domänenbenutzer, Liste der Domänencontroller usw. abzurufen? - oder ist es unmöglich, ohne Domänenbenutzer-Anmeldeinformationen mit Active Directory zu interagieren?

0

2 Antworten auf die Frage

3

1

Seth 2018-09-25 в 07:15

Ich bin mir nicht sicher, was Sie unter Fenstern verstehen. Active Directory bietet eine LDAP-Schnittstelle, um damit zu arbeiten. Die meisten Informationen, die AD zur Verfügung stellt, können über diese Schnittstelle abgefragt werden.

Microsoft hat verschiedene Artikel, in denen detailliert beschrieben wird, wie es funktioniert und was wichtig ist. Zum Beispiel:

Serverless Binding und RootDSE, das Informationen zum Herstellen einer Verbindung mit AD enthält.
RootDSE-Schema Informationen, die angeben, welche Informationen in RootDSE verfügbar sind.
Funktionsweise von Active Directory-Suchvorgängen, die auch Informationen zum anonymen Zugriff enthalten.
Anonyme LDAP-Vorgänge für Active Directory sind auf Windows Server 2003-Domänencontrollern deaktiviert

Standardmäßig akzeptiert / sollte AD keine anonymen Verbindungen akzeptieren, die geändert werden können. Wenn sie aktiviert sind, können ACLs die Abfrage einschränken. Um dies zu testen, können Sie ADSI-Bearbeitung oder ein anderes LDAP-Tool verwenden. Der Zugriff auf RootDSE sollte möglich sein.

Die meisten Informationen, nach denen OP fragt, sind nicht Teil des RootDSE. grawity vor 5 Jahren 0

@grawity Sie haben Recht, dass viele der Informationen, die er wahrscheinlich wünscht, nicht verfügbar sind, wenn niemand die AD-Konfiguration geändert hat. Die erste Frage lautet jedoch, wann immer Sie mit dem AD interagieren können, ohne ein Konto zu haben. Die Antwort auf diese Frage lautet ja. Wie wertvoll die verfügbaren Informationen sind, hängt von der spezifischen AD-Konfiguration ab (auf die auch hingewiesen wird). Seth vor 5 Jahren 0

Accepted Answer · 2018-09-25 07:08:51

Wenn Sie ein Domänenadministrator sind, können Sie anonyme (nicht authentifizierte) Anmeldungen beim AD LDAP-Dienst über den Parameter dSHeuristics aktivieren. Der Suchbegriff dafür ist "anonymous bind". Wenn dies aktiviert ist, müssen Sie wahrscheinlich den Zugriff auf einzelne LDAP-Einträge über ACLs gewähren.

Ist es weise, dies zu tun? IMHO überhaupt nicht. Zumindest würde dies leicht zu einem wichtigen Datenschutzproblem für Ihre Mitarbeiter werden - und auch Sicherheitsprobleme aufwerfen. (Daher keine Links zur Dokumentation.)

Wenn Sie ein Skript für Domains schreiben, die von einer anderen Person verwaltet werden, lautet die allgemeine Antwort "Nein". Sogar Dinge wie Dienste oder Batch-Jobs sollten über eigene Anmeldeinformationen verfügen.

Kann ich ohne Domänenbenutzerkonto mit Active Directory interagieren?

2 Antworten auf die Frage

Verwandte Probleme