Можно ли взаимодействовать с Active Directory без учетной записи пользователя домена?

Question

Можно ли взаимодействовать с Active Directory без учетной записи пользователя домена?

387

user111854 2018-09-25 в 05:17

Может ли кто-то без учетной записи пользователя домена взаимодействовать с Active Directory для получения, например, политики паролей, списка пользователей домена, списка контроллеров домена и т. Д.? - или невозможно взаимодействовать с Active Directory без учетных данных пользователя домена?

0

2 ответа на вопрос

3

1

Seth 2018-09-25 в 07:15

Я не уверен, что вы имеете в виду под Windows. Active Directory предоставляет интерфейс LDAP для работы с ним. Большая часть информации, предоставляемой AD, может быть запрошена с использованием этого интерфейса.

У Microsoft есть различные статьи, в которых подробно рассказывается о том, как это работает и что важно. Например:

Бессерверная привязка и RootDSE, в котором есть некоторая информация о том, как подключиться к AD.
Схема RootDSE Информация о том, какая информация доступна в RootDSE.
Как работает Active Directory, где также есть некоторая информация об анонимном доступе.
Анонимные операции LDAP в Active Directory отключены на контроллерах домена Windows Server 2003

По умолчанию AD не принимает / не принимает анонимные подключения, которые можно изменить. Если они включены, списки ACL могут ограничивать возможности запроса. Чтобы проверить это, вы можете использовать редактор ADSI или другой инструмент LDAP. Доступ к RootDSE должен быть возможным.

Однако большая часть информации, которую запрашивает OP, не является частью RootDSE. grawity 5 лет назад 0

@ Правда, вы правы, что большая часть информации, которую он, вероятно, хочет, не будет доступна, если никто не изменил конфигурацию AD, но его первоначальный вопрос - всякий раз, когда вы можете взаимодействовать с AD, не имея учетной записи. Ответ на этот вопрос - да. Насколько полезна получаемая информация, зависит от конкретной конфигурации AD (на которую также указывают). Seth 5 лет назад 0

Accepted Answer · 2018-09-25 07:08:51

Если вы являетесь администратором домена, можно включить анонимный (не прошедший проверку подлинности) вход в службу AD LDAP через параметр dSHeuristics. Поисковый термин для этого - «анонимная привязка». Как только это будет включено, вам, вероятно, придется предоставить доступ к отдельным записям LDAP через ACL.

Разумно ли это делать? ИМХО, совсем нет. По крайней мере, это легко может стать серьезной проблемой конфиденциальности для ваших сотрудников, а также вызвать проблемы с безопасностью. (Отсюда нет ссылок на документацию.)

Если вы пишете скрипт для доменов, управляемых кем-то другим, общий ответ - «нет». Даже такие вещи, как службы или пакетные задания, должны иметь свои учетные данные.

Можно ли взаимодействовать с Active Directory без учетной записи пользователя домена?

2 ответа на вопрос

Похожие вопросы