Es besteht prinzipiell die Möglichkeit anonym auf das Active Directory zuzugreifen.
In der Regel wird diese Funktion nicht benötigt. Aber jede Regel hat Ausnahmen.
In diesem Artikel finden Sie eine Schritt-für-Schritt Anleitung für den anonymen AD-Zugriff.
Index
Grundlegendes zum anonymen Zugriff
Active Directory unterstützt die Möglichkeit auch anonym auf das Verzeichnis zuzugreifen.
Diese Funktion ist allerdings standardmäßig deaktiviert. Normalerweise wird ein anonymer Zugriff nicht benötigt, da alle authentifizierten Benutzer (“Authenticated Users”) automatisch lesen können. Ein anonymer Zugriff bedeutet, dass auch nicht authentifizierte Nutzer zugreifen können.
Diese Funktion ist nur in speziellen Ausnahmefällen hilfreich, aber als Consultant sind Ausnahmefälle die Regel 🙂
Einrichtung
Die Einrichtung ist recht simpel und besteht aus zwei Schritten.
- Einstellung des Zugriffs im Schema der Domäne
- Berechtigung des Accounts “NT Authority/Anonymous”
Als erstes werden wir also den Zugriff einrichten. Hierzu öffnen wir auf einem Domain Controller mit einem User der Domain Admins Gruppe “ADSI Edit” und verbinden uns zur Configuration Partition der Domäne:
Wir browsen dann bis zu
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<my domain>
In den Eigenschaften von Directory Service öffnen wir den Attribute Editor:
Um den Zugriff für Anonymous zu aktivieren setzen wir das Attribut auf “0000002”.
Wichtig: In den aller meisten Fällen ist das Attribut nicht gesetzt. Sollte das Attribut bereits einen Wert haben, so setzen Sie (von links) die siebte Ziffer auf “2”, ohne den Rest der Ziffern zu verändern.
Damit funktioniert nun der anonyme Bind:
Allerdings können wir noch nicht lesen.
Um dem Account Rechte auf die Domäne oder bestimmte OUs geben gehen wir wie folgt vor:
- Zunächst machen wir einen Rechtsklick auf die Domäne oder eine bestimmte OU und wählen “Eigenschaften” (“Properties”):
- Wir fügen dann eine neue Regel hinzu:
In diesem Beispiel wählen wir einfach “Read” Rechte, aber die Rechte können nach belieben eingeschränkt werden.
- Anschließend können wir unter dieser OU lesen, wenn wir sie direkt angeben:
Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting | AD Migration
Für Fragen zu unseren Leistungen stehen
wir Ihnen unter Kontakt gern zur Verfügung.
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>