Apakah mungkin untuk berinteraksi dengan Active Directory tanpa akun pengguna domain?

0

Dapatkah seseorang tanpa akun pengguna domain berinteraksi dengan Active Directory untuk memperoleh, misalnya kebijakan kata sandi, daftar pengguna domain, daftar pengontrol domain, dll.? - atau apakah tidak mungkin berinteraksi dengan Active Directory tanpa kredensial pengguna domain?

windows windows-10 active-directory Shuzheng
sumber

3

Jika Anda seorang Administrator Domain, dimungkinkan untuk mengaktifkan login anonim (tidak terauthentikasi) ke layanan LDAP AD melalui parameter dSHeuristics. Istilah pencarian untuk itu adalah "ikatan anonim". Setelah diaktifkan, Anda mungkin harus memberikan akses ke entri LDAP individual melalui ACL.

Apakah bijaksana untuk melakukannya? IMHO, tidak sama sekali. Paling tidak, itu akan dengan mudah menjadi masalah privasi utama bagi karyawan Anda - dan menarik masalah keamanan juga. (Karenanya tidak ada tautan ke dokumentasi.)

Jika Anda menulis skrip untuk domain yang dikelola oleh orang lain - jawaban umumnya adalah "tidak". Bahkan hal-hal seperti layanan atau pekerjaan batch harus memiliki kredensial mereka sendiri.

grawity
sumber

1

Saya tidak yakin apa yang Anda maksud dengan windows spesifik. Active Directory menyediakan antarmuka LDAP untuk bekerja dengannya. Sebagian besar informasi yang disediakan AD dapat ditanyakan dengan menggunakan antarmuka itu.

Microsoft memiliki berbagai artikel yang menjelaskan cara kerjanya dan apa yang penting. Misalnya:

Serverless Binding dan RootDSE yang memiliki beberapa informasi tentang cara terhubung ke AD.
Informasi Skema RootDSE yang merinci informasi apa yang tersedia di dalam RootDSE.
Cara Pencarian Direktori Aktif yang juga memiliki beberapa informasi tentang akses anonim.
Operasi LDAP anonim ke Direktori Aktif dinonaktifkan pada pengontrol domain Windows Server 2003

Secara default, AD tidak akan / seharusnya tidak menerima koneksi anonim yang dapat diubah. Jika diaktifkan, ACL dapat membatasi permintaan Anda. Untuk menguji ini, Anda dapat menggunakan edit ADSI atau alat LDAP lainnya. Akses ke RootDSE harus dimungkinkan.

Seth
sumber

Sebagian besar informasi yang diminta OP bukan bagian dari RootDSE.

grawity

@grawity Anda benar bahwa banyak informasi yang ia inginkan tidak akan dapat diakses, jika tidak ada yang mengubah konfigurasi AD, tetapi pertanyaan awalnya adalah kapan pun Anda dapat berinteraksi dengan AD tanpa memiliki akun. Jawaban untuk pertanyaan itu adalah ya. Seberapa berharganya informasi yang diperoleh tergantung pada konfigurasi AD tertentu (yang juga ditunjukkan).

Seth

Apakah mungkin untuk berinteraksi dengan Active Directory tanpa akun pengguna domain?

Jawaban: