• administration
  • migration
  • powershell
  • kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQ Active Directory FAQ
  • administration
  • migration
  • powershell
  • kontakt
  • EN

Anonymer Zugriff auf Active Directory

Feb 25, 2016 (Letztes Update) | Posted by Hannes Siefert | KnowHow |

 

Anonymer Zugriff auf Active Directory

Es besteht prinzipiell die Möglichkeit anonym auf das Active Directory zuzugreifen.

In der Regel wird diese Funktion nicht benötigt. Aber jede Regel hat Ausnahmen.

In diesem Artikel finden Sie eine Schritt-für-Schritt Anleitung für den anonymen AD-Zugriff.

 

Grundlegendes zum anonymen Zugriff

Active Directory unterstützt die Möglichkeit auch anonym auf das Verzeichnis zuzugreifen.

Diese Funktion ist allerdings standardmäßig deaktiviert. Normalerweise wird ein anonymer Zugriff nicht benötigt, da alle authentifizierten Benutzer (“Authenticated Users”) automatisch lesen können. Ein anonymer Zugriff bedeutet, dass auch nicht authentifizierte Nutzer zugreifen können.

Diese Funktion ist nur in speziellen Ausnahmefällen hilfreich, aber als Consultant sind Ausnahmefälle die Regel 🙂

 

Einrichtung

Die Einrichtung ist recht simpel und besteht aus zwei Schritten.

  1. Einstellung des Zugriffs im Schema der Domäne
  2. Berechtigung des Accounts “NT Authority/Anonymous”

Als erstes werden wir also den Zugriff einrichten. Hierzu öffnen wir auf einem Domain Controller mit einem User der Domain Admins Gruppe “ADSI Edit” und verbinden uns zur Configuration Partition der Domäne:

anonymer-zugriff-anonymer-zugriff-adsi

anonymer-zugriff-adsi-conn

Wir browsen dann bis zu

CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<my domain>

cn-directory-service

In den Eigenschaften von Directory Service öffnen wir den Attribute Editor:

Eigenschaften Directory Services

Um den Zugriff für Anonymous zu aktivieren setzen wir das Attribut auf “0000002”.

dsHeuristics

Wichtig: In den aller meisten Fällen ist das Attribut nicht gesetzt. Sollte das Attribut bereits einen Wert haben, so setzen Sie (von links) die siebte Ziffer auf “2”, ohne den Rest der Ziffern zu verändern.

Damit funktioniert nun der anonyme Bind:

ldp-empty

Allerdings können wir noch nicht lesen.

Um dem Account Rechte auf die Domäne oder bestimmte OUs geben gehen wir wie folgt vor:

  1. Zunächst machen wir einen Rechtsklick auf die Domäne oder eine bestimmte OU und wählen “Eigenschaften” (“Properties”):
    properties

    advanced
     

  2. Wir fügen dann eine neue Regel hinzu:
    Permission-Entry-anonymous-logon

    In diesem Beispiel wählen wir einfach “Read” Rechte, aber die Rechte können nach belieben eingeschränkt werden.

    anonymer-zugriff-UsersTest-ACL
     

  3. Anschließend können wir unter dieser OU lesen, wenn wir sie direkt angeben:
    userstest

    anonymer-zugriff-userstest-browse

 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting | AD Migration

Für Fragen zu unseren Leistungen stehen
wir Ihnen unter Kontakt gern zur Verfügung.

Artikel weiterempfehlen:
  • xingen
  • sharen
  • tweeten
  • teilen
  • Google+
  • mailen
Artikel erstellt am: 12.11.2015
Tags: AnonymZugriff
0

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

Cancel Reply

Neueste Artikel

  • Native Linux-Bash unter Windows
  • AD DS und AD LDS im Direktvergleich
  • Powershell 6 & .NET-Core – Die Zukunft?
  • Seltene AD Attribute mit PowerShell setzen
  • OUs einfach exportieren und importieren
  • Tasks per PowerShell anlegen
  • PowerShell Skripte zeitgesteuert ausführen mit Task Scheduler
  • Primäre E-Mail-Adresse ändern mit PowerShell
  • Einfaches Datenmapping mit Calculated Properties (PS)
  • Pester: Test-Framework für PowerShell

Links

  • FirstAttribute – AD Consulting
  • FirstAttribute – Migrationen
  • Jobs bei FirstAttribute
  • FirstAttribute – Software

Kategorien

  • Administration
  • Citrix
  • Cloud
  • Exchange
  • KnowHow
  • Konfiguration
  • Migration
  • PowerShell
  • Programmierung
  • Quest Migration Manager
  • SharePoint
  • Tools

AD Gruppen dynamisch machen

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt azure Azure AD Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM Exchange Quest Migration Manager Schema Set-ADUser SharePoint SID SID History Windows 10 Windows Server 2012 R2 ZCM

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Ohne nachdenken. Active Directory ganz anders. FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt azure Azure AD Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM Exchange Quest Migration Manager Schema Set-ADUser SharePoint SID SID History Windows 10 Windows Server 2012 R2 ZCM

Neue Kommentare

  • Paul bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Steve König bei AD PowerShell Basics 1: New-ADUser
  • Dennis bei AD PowerShell Basics 1: New-ADUser
Login

© 2019 · Active-Directory-FAQ by firstattribute.com

Prev Next