测试目录服务器对管理员帐户的验证

您可以检查 Active Directory 或 LDAP 服务器是否对您所创建的管理员帐户的用户名和密码进行身份验证。此项检查将评估您是否正确添加了用户名和密码,以及目录服务器上是否存在该帐户名称。
您在
Symantec Endpoint Protection Manager
中可以与在目录服务器中一样,为管理员帐户使用相同的用户名和密码。当管理员登录管理服务器时,目录服务器会验证管理员的用户名和密码。管理服务器会使用您所添加的目录服务器配置,搜索目录服务器上的帐户。
您也可以检查 Active Directory 或 LDAP 服务器是否会对没有用户名和密码的管理员帐户进行身份验证。没有用户名或密码的帐户是匿名访问。您应该使用匿名访问创建一个管理员帐户,让管理员永远不会因为目录服务器上的密码变更而被锁定。
在 Windows 2003 Active Directory 服务器中,默认情况下禁用匿名验证。因此,将没有用户名的目录服务器添加到管理员帐户并单击“
检查帐户
”时,将显示“
帐户验证失败
”错误消息。若要解决这个问题,请创建两个目录服务器项目,一个用于测试,另一个用于匿名访问。管理员仍然可以使用有效的用户名和密码登录管理服务器。
步骤 1:添加多个目录服务器连接
若要让测试更容易进行匿名访问,请至少添加两个目录服务器项目。使用其中一个项测试验证,另一个项测试匿名访问。这些项全部都使用具有不同配置的相同目录服务器。
默认情况下,除非移到不同的组织单位,否则多数用户位于 CN=Users。LDAP 目录服务器中的用户将在 CN=Users, DC=<
sampledomain
>, DC=local 下创建。若要找出用户在 LDAP 中的位置,请使用 ADSIEdit。
使用下列信息设置此示例的目录服务器:
  • CN=John Smith
  • OU=test
  • DC=<
    sampledomain
    >
  • DC=local
此示例会使用默认的 Active Directory LDAP (389),但也可以使用安全 LDAP (636)。
  1. 若要添加用于检查 Active Directory 和 LDAP 服务器身份验证的目录服务器连接,请在控制台上单击“
    管理员
    ”>“
    服务器
    ”,选择默认服务器,然后单击“
    编辑服务器属性
    ”。
  2. 在“
    目录服务器
    ”选项卡上,单击“
    添加
    ”。
  3. 在“
    常规
    ”选项卡上,添加下列目录服务器配置,然后单击“
    确定
    ”。
    目录 1
    • 名称:
      <
      sampledomain
      > Active Directory
    • 服务器类型:
      Active Directory
    • 服务器 IP 地址或名称
      :server01.<
      sampledomain
      >.local
    • 用户名:
      <
      sampledomain
      >\administrator
    • 密码:
      <
      目录服务器密码
      >
    目录 2
    • 名称:
      <
      sampledomain
      > LDAP with User Name
    • 服务器类型:
      LDAP
    • 服务器 IP 地址或名称
      :server01.<
      sampledomain
      >.local
    • LDAP 端口:
      389
    • LDAP BaseDN:
      DC=<
      sampledomain
      >, DC=local
    • 用户名:
      <
      sampledomain
      >\administrator
    • 密码:
      <
      目录服务器密码
      >
    目录 3
    • 名称:
      <
      sampledomain
      > LDAP without User Name
    • 服务器类型:
      LDAP
    • 服务器 IP 地址或名称
      :server01.<
      sampledomain
      >.local
    • LDAP 端口:
      389
    • LDAP BaseDN:
      <empty>
      当您使用匿名访问时,请将此字段留空。
    • 用户名:
      <empty>
    • 密码:
      <empty>
      单击“
      确定
      ”之后,会出现一个警告。但是目录服务器是有效的。
      当您尝试添加没有用户名和密码的 BaseDN 时,会出现警告。
步骤 2:添加多个管理员帐户
您要添加多个系统管理员帐户。匿名访问的帐户没有用户名或密码。
  1. 若要使用目录服务器条目添加管理员帐户,请在控制台上单击“
    管理
    ”>“
    管理员
    ”,然后在“
    常规
    ”选项卡上添加上一步中的管理员帐户。
  2. 在您添加每个管理员帐户并单击“
    检查帐户
    ”选项之后,您会看到一条消息。在某些情况下,这条消息似乎会使帐户信息无效。但是,管理员仍然可以登录
    Symantec Endpoint Protection Manager
  3. 在“
    常规
    ”选项上,输入以下信息:
    管理员 1
    • 名称:
      <
      sampledomain
      > LDAP without User Name
    • 服务器类型:
      LDAP
    • 服务器 IP 地址或名称
      :server01.<
      sampledomain
      >.local
    • LDAP 端口:
      389
    • LDAP BaseDN:
      <empty>
      当您使用匿名访问时,请将此字段留空。
    • 用户名:
      <empty>
    • 密码:
      <empty>
      单击“
      确定
      ”之后,会出现一个警告。但是目录服务器是有效的。
      当您尝试添加没有用户名和密码的 BaseDN 时,会出现警告。
    管理员 2
    • 用户名:
      john
    • 全名:
      John Smith
    • 电子邮件地址:
      [email protected]<
      sampledomain
      >.local
    • 在“
      访问权限
      ”选项卡上,单击“
      系统管理员
      ”。
    • 在“
      验证
      ”选项卡上,单击“
      目录验证
      ”。
      在“
      目录服务器
      ”下拉列表中,选择“<
      sampledomain
      > LDAP with User Name”。
      在“
      帐户名称
      ”字段中,键入
      john
      单击“
      检查帐户
      ”。
      系统管理员
      john
      无法使用目录验证登录
      Symantec Endpoint Protection Manager
    管理员 3
    • 用户名:
      john
    • 全名:
      John Smith
    • 电子邮件地址:
      [email protected]<
      sampledomain
      >.local
    • 在“
      访问权限
      ”选项卡上,单击“
      系统管理员
      ”。
    • 在“
      验证
      ”选项卡上,单击“
      目录验证
      ”。
      在“
      目录服务器
      ”下拉列表中,选择“<
      sampledomain
      > LDAP with User Name”。
      在“
      帐户名称
      ”字段中,键入
      John Smith
      单击“
      检查帐户
      ”。
      系统管理员
      john
      可以使用目录验证登录
      Symantec Endpoint Protection Manager
    管理员 4
    • 用户名:
      john
    • 全名:
      John Smith
    • 电子邮件地址:
      [email protected]<
      sampledomain
      >.local
    • 在“
      访问权限
      ”选项卡上,单击“
      系统管理员
      ”。
    • 在“
      验证
      ”选项卡上,单击“
      目录验证
      ”。
      在“
      目录服务器
      ”下拉列表中,选择“<
      sampledomain
      > LDAP without User Name”。
      在“
      帐户名称
      ”字段中,键入
      John Smith
      单击“
      检查帐户
      ”。
      帐户身份验证失败,但是系统管理员
      John Smith
      可以登录
      Symantec Endpoint Protection Manager