Может ли кто-то без учетной записи пользователя домена взаимодействовать с Active Directory для получения, например, политики паролей, списка пользователей домена, списка контроллеров домена и т.д.? - или невозможно взаимодействовать с Active Directory без учетных данных пользователя домена?
2 ответа
Если вы являетесь администратором домена, можно включить анонимный (не прошедший проверку подлинности) вход в службу AD LDAP через параметр dSHeuristics. Поисковый термин для этого - "анонимная привязка". Как только это будет включено, вам, вероятно, придется предоставить доступ к отдельным записям LDAP через ACL.
Разумно ли это делать? ИМХО, совсем нет. По крайней мере, это легко может стать серьезной проблемой конфиденциальности для ваших сотрудников, а также вызвать проблемы с безопасностью. (Отсюда нет ссылок на документацию.)
Если вы пишете скрипт для доменов, управляемых кем-то другим, общий ответ - "нет". Даже такие вещи, как службы или пакетные задания, должны иметь свои учетные данные.
Я не уверен, что вы имеете в виду под Windows. Active Directory предоставляет интерфейс LDAP для работы с ним. Большая часть информации, предоставляемой AD, может быть запрошена с использованием этого интерфейса.
У Microsoft есть различные статьи, в которых подробно рассказывается о том, как это работает и что важно. Например:
- Бессерверная привязка и RootDSE, в котором есть некоторая информация о том, как подключиться к AD.
- Схема RootDSE Информация о том, какая информация доступна в RootDSE.
- Как работает Active Directory, где также есть некоторая информация об анонимном доступе.
- Анонимные операции LDAP в Active Directory отключены на контроллерах домена Windows Server 2003
По умолчанию AD не принимает / не принимает анонимные подключения, которые можно изменить. Если они включены, списки ACL могут ограничивать возможности запроса. Чтобы проверить это, вы можете использовать редактор ADSI или другой инструмент LDAP. Доступ к RootDSE должен быть возможным.