• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Anonymer Zugriff auf Active Directory

Feb 25, 2016 (Letztes Update) | Posted by Hannes Hayashi KnowHow |

 

Anonymer Zugriff auf Active Directory

Es besteht prinzipiell die Möglichkeit anonym auf das Active Directory zuzugreifen.

In der Regel wird diese Funktion nicht benötigt. Aber jede Regel hat Ausnahmen.

In diesem Artikel finden Sie eine Schritt-für-Schritt Anleitung für den anonymen AD-Zugriff.

 

Grundlegendes zum anonymen Zugriff

Active Directory unterstützt die Möglichkeit auch anonym auf das Verzeichnis zuzugreifen.

Diese Funktion ist allerdings standardmäßig deaktiviert. Normalerweise wird ein anonymer Zugriff nicht benötigt, da alle authentifizierten Benutzer (“Authenticated Users”) automatisch lesen können. Ein anonymer Zugriff bedeutet, dass auch nicht authentifizierte Nutzer zugreifen können.

Diese Funktion ist nur in speziellen Ausnahmefällen hilfreich, aber als Consultant sind Ausnahmefälle die Regel 🙂

 

Einrichtung

Die Einrichtung ist recht simpel und besteht aus zwei Schritten.

  1. Einstellung des Zugriffs im Schema der Domäne
  2. Berechtigung des Accounts “NT Authority/Anonymous”

Als erstes werden wir also den Zugriff einrichten. Hierzu öffnen wir auf einem Domain Controller mit einem User der Domain Admins Gruppe “ADSI Edit” und verbinden uns zur Configuration Partition der Domäne:

anonymer-zugriff-anonymer-zugriff-adsi

anonymer-zugriff-adsi-conn

Wir browsen dann bis zu

CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<my domain>

cn-directory-service

In den Eigenschaften von Directory Service öffnen wir den Attribute Editor:

Eigenschaften Directory Services

Um den Zugriff für Anonymous zu aktivieren setzen wir das Attribut auf “0000002”.

dsHeuristics

Wichtig: In den aller meisten Fällen ist das Attribut nicht gesetzt. Sollte das Attribut bereits einen Wert haben, so setzen Sie (von links) die siebte Ziffer auf “2”, ohne den Rest der Ziffern zu verändern.

Damit funktioniert nun der anonyme Bind:

ldp-empty

Allerdings können wir noch nicht lesen.

Um dem Account Rechte auf die Domäne oder bestimmte OUs geben gehen wir wie folgt vor:

  1. Zunächst machen wir einen Rechtsklick auf die Domäne oder eine bestimmte OU und wählen “Eigenschaften” (“Properties”):
    properties

    advanced
     

  2. Wir fügen dann eine neue Regel hinzu:
    Permission-Entry-anonymous-logon

    In diesem Beispiel wählen wir einfach “Read” Rechte, aber die Rechte können nach belieben eingeschränkt werden.

    anonymer-zugriff-UsersTest-ACL
     

  3. Anschließend können wir unter dieser OU lesen, wenn wir sie direkt angeben:
    userstest

    anonymer-zugriff-userstest-browse

 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting | AD Migration

Für Fragen zu unseren Leistungen stehen
wir Ihnen unter Kontakt gern zur Verfügung.

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 12.11.2015
Tags: AnonymZugriff
0

Leave a Reply

Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Neuen Exchange-Ordner im Postfach automatisch anlegen
  • AD Gruppenverwaltung delegieren
  • Mailversand über O365 automatisieren
  • AD LDS Installation und Backup mit Powershell
  • E-Mail-Adresse mit PowerShell prüfen


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS O365 Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Sebastian Goras bei IsMember – Gruppenmitgliedschaft des Benutzers prüfen
  • Paul bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Steve König bei AD PowerShell Basics 1: New-ADUser
Login
Impressum
Datenschutzerklärung

© 2020 · Active-Directory-FAQ by firstattribute.com

Prev Next