Anonymer Zugriff auf Active Directory

(Letztes Update) | Posted by | KnowHow |

 

Anonymer Zugriff auf Active Directory

Es besteht prinzipiell die Möglichkeit anonym auf das Active Directory zuzugreifen.

In der Regel wird diese Funktion nicht benötigt. Aber jede Regel hat Ausnahmen.

In diesem Artikel finden Sie eine Schritt-für-Schritt Anleitung für den anonymen AD-Zugriff.

 

Grundlegendes zum anonymen Zugriff

Active Directory unterstützt die Möglichkeit auch anonym auf das Verzeichnis zuzugreifen.

Diese Funktion ist allerdings standardmäßig deaktiviert. Normalerweise wird ein anonymer Zugriff nicht benötigt, da alle authentifizierten Benutzer (“Authenticated Users”) automatisch lesen können. Ein anonymer Zugriff bedeutet, dass auch nicht authentifizierte Nutzer zugreifen können.

Diese Funktion ist nur in speziellen Ausnahmefällen hilfreich, aber als Consultant sind Ausnahmefälle die Regel 🙂

 

Einrichtung

Die Einrichtung ist recht simpel und besteht aus zwei Schritten.

  1. Einstellung des Zugriffs im Schema der Domäne
  2. Berechtigung des Accounts “NT Authority/Anonymous”

Als erstes werden wir also den Zugriff einrichten. Hierzu öffnen wir auf einem Domain Controller mit einem User der Domain Admins Gruppe “ADSI Edit” und verbinden uns zur Configuration Partition der Domäne:

anonymer-zugriff-anonymer-zugriff-adsi

anonymer-zugriff-adsi-conn

Wir browsen dann bis zu

CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<my domain>

cn-directory-service

In den Eigenschaften von Directory Service öffnen wir den Attribute Editor:

Eigenschaften Directory Services

Um den Zugriff für Anonymous zu aktivieren setzen wir das Attribut auf “0000002”.

dsHeuristics

Wichtig: In den aller meisten Fällen ist das Attribut nicht gesetzt. Sollte das Attribut bereits einen Wert haben, so setzen Sie (von links) die siebte Ziffer auf “2”, ohne den Rest der Ziffern zu verändern.

Damit funktioniert nun der anonyme Bind:

ldp-empty

Allerdings können wir noch nicht lesen.

Um dem Account Rechte auf die Domäne oder bestimmte OUs geben gehen wir wie folgt vor:

  1. Zunächst machen wir einen Rechtsklick auf die Domäne oder eine bestimmte OU und wählen “Eigenschaften” (“Properties”):
    properties

    advanced
     

  2. Wir fügen dann eine neue Regel hinzu:
    Permission-Entry-anonymous-logon

    In diesem Beispiel wählen wir einfach “Read” Rechte, aber die Rechte können nach belieben eingeschränkt werden.

    anonymer-zugriff-UsersTest-ACL
     

  3. Anschließend können wir unter dieser OU lesen, wenn wir sie direkt angeben:
    userstest

    anonymer-zugriff-userstest-browse

 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting | AD Migration

Für Fragen zu unseren Leistungen stehen
wir Ihnen unter Kontakt gern zur Verfügung.

Artikel erstellt am: 12.11.2015
Tags:

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

FirstAttribute

AD Gruppen dynamisch machen

DynamicGroup

© 2020 · Active-Directory-FAQ by firstattribute.com