測試管理員帳戶的目錄伺服器驗證

您可以檢查 Active Directory 或 LDAP 伺服器是否驗證您所建立的管理員帳戶的使用者名稱和密碼。此次檢查會評估您新增的使用者名稱和密碼是否正確,以及目錄伺服器上是否存在此帳戶名稱。
您在
Symantec Endpoint Protection Manager
中會與您在目錄伺服器中一樣,為管理員帳戶使用相同的使用者名稱和密碼。當管理員登入管理伺服器時,目錄伺服器會驗證管理員的使用者名稱和密碼。管理伺服器會使用您所新增的目錄伺服器組態,搜尋目錄伺服器上的帳戶。
您也可以檢查 Active Directory 或 LDAP 伺服器是否會驗證沒有使用者名稱和密碼的管理員帳戶。沒有使用者名稱或密碼的帳戶是匿名存取。您應該使用匿名存取建立一個管理員帳戶,讓管理員永遠不會因為目錄伺服器上的密碼變更而遭到鎖定。
在 Windows 2003 Active Directory 伺服器中,預設會停用匿名驗證。因此,如果您將沒有使用者名稱的目錄伺服器新增至管理員帳戶,然後按下「
檢查帳戶
」,就會顯示「
帳戶驗證失敗
」錯誤訊息。若要解決這個問題,請建立兩個目錄伺服器項目,一個用於測試,另一個用於匿名存取。管理員仍然可以使用有效的使用者名稱和密碼登入管理伺服器。
步驟 1:新增多個目錄伺服器連線
若要讓測試更容易進行匿名存取,請至少新增兩個目錄伺服器項目。使用其中一個項目測試驗證,另一個項目測試匿名存取。這些項目全部都使用具有不同組態的相同目錄伺服器。
根據預設,除非移到不同的組織單位,否則多數使用者位於 CN=Users。LDAP 目錄伺服器中的使用者是以 CN=Users、DC=<
sampledomain
>、DC=local 所建立。若要找出使用者在 LDAP 中的位置,請使用 ADSIEdit。
使用下列資訊設定此範例的目錄伺服器:
  • CN=John Smith
  • OU=test
  • DC=<
    sampledomain
    >
  • DC=local
此範例會使用預設的 Active Directory LDAP (389),但也可以使用安全 LDAP (636)。
  1. 若要新增目錄伺服器連線以檢查 Active Directory 和 LDAP 伺服器身分驗證,請在主控台上按一下「
    管理員
    」>「
    伺服器
    」,選取預設伺服器,然後按一下「
    編輯伺服器屬性
    」。
  2. 在「
    目錄伺服器
    」標籤上,按下「
    新增
    」。
  3. 在「
    一般
    」標籤上,新增下列目錄伺服器組態,然後按下「
    確定
    」。
    目錄 1
    • 名稱:
      <
      sampledomain
      > Active Directory
    • 伺服器類型
      Active Directory
    • 伺服器 IP 位址或名稱:
      server01.<
      sampledomain
      >.local
    • 使用者名稱:
      <
      sampledomain
      >\administrator
    • 密碼:
      <
      directory server password
      >
    目錄 2
    • 名稱:
      <
      sampledomain
      > LDAP with User Name
    • 伺服器類型
      LDAP
    • 伺服器 IP 位址或名稱:
      server01.<
      sampledomain
      >.local
    • LDAP 通訊埠
      389
    • LDAP BaseDN:
      DC=<
      sampledomain
      >, DC=local
    • 使用者名稱:
      <
      sampledomain
      >\administrator
    • 密碼:
      <
      directory server password
      >
    目錄 3
    • 名稱:
      <
      sampledomain
      > LDAP without User Name
    • 伺服器類型
      LDAP
    • 伺服器 IP 位址或名稱:
      server01.<
      sampledomain
      >.local
    • LDAP 通訊埠
      389
    • LDAP BaseDN:
      <empty>
      當您使用匿名存取時,請將此欄位留空。
    • 使用者名稱:
      <empty>
    • 密碼:
      <empty>
      按下「
      確定
      」之後,會出現一個警告。但是目錄伺服器是有效的。
      當您嘗試新增沒有使用者名稱和密碼的 BaseDN 時,會出現警告。
步驟 2:新增多個管理員帳戶
您要新增多個系統管理員帳戶。匿名存取的帳戶沒有使用者名稱或密碼。
  1. 若要使用目錄伺服器項目新增管理員帳戶,請按一下主控台上的「
    管理員
    」>「
    管理員
    」,並在「
    一般
    」標籤上新增先前步驟中的管理員帳戶。
  2. 在您新增每個管理員帳戶並按下「
    檢查帳戶
    」選項之後,您會看到一則訊息。在某些情況下,這個訊息似乎會使帳戶資訊無效。但是,管理員仍然可以登入
    Symantec Endpoint Protection Manager
  3. 在「
    一般
    」標籤上,輸入下列資訊:
    管理員 1
    • 名稱:
      <
      sampledomain
      > LDAP without User Name
    • 伺服器類型
      LDAP
    • 伺服器 IP 位址或名稱:
      server01.<
      sampledomain
      >.local
    • LDAP 通訊埠
      389
    • LDAP BaseDN:
      <empty>
      當您使用匿名存取時,請將此欄位留空。
    • 使用者名稱:
      <empty>
    • 密碼:
      <empty>
      按下「
      確定
      」之後,會出現一個警告。但是目錄伺服器是有效的。
      當您嘗試新增沒有使用者名稱和密碼的 BaseDN 時,會出現警告。
    管理員 2
    • 使用者名稱
      john
    • 全名:
      John Smith
    • 電子郵件地址:
      [email protected]<
      sampledomain
      >.local
    • 在「
      存取權
      」標籤上,按下「
      系統管理員
      」。
    • 在「
      驗證
      」標籤上,按下「
      目錄驗證
      」。
      在「
      目錄伺服器
      」下拉式清單中,選取 <
      sampledomain
      > LDAP with User Name。
      在「
      帳戶名稱
      」欄位中,輸入
      john
      按下「
      檢查帳戶
      」。
      系統管理員
      john
      無法使用目錄驗證,登入
      Symantec Endpoint Protection Manager
    管理員 3
    • 使用者名稱
      john
    • 全名:
      John Smith
    • 電子郵件地址:
      [email protected]<
      sampledomain
      >.local
    • 在「
      存取權
      」標籤上,按下「
      系統管理員
      」。
    • 在「
      驗證
      」標籤上,按下「
      目錄驗證
      」。
      在「
      目錄伺服器
      」下拉式清單中,選取 <
      sampledomain
      > LDAP with User Name。
      在「
      帳戶名稱
      」欄位中,輸入
      John Smith
      按下「
      檢查帳戶
      」。
      系統管理員
      john
      可以登入
      Symantec Endpoint Protection Manager
      進行目錄驗證。
    管理員 4
    • 使用者名稱
      john
    • 全名:
      John Smith
    • 電子郵件地址:
      [email protected]<
      sampledomain
      >.local
    • 在「
      存取權
      」標籤上,按下「
      系統管理員
      」。
    • 在「
      驗證
      」標籤上,按下「
      目錄驗證
      」。
      在「
      目錄伺服器
      」下拉式清單中,選取 <
      sampledomain
      > LDAP without User Name。
      在「
      帳戶名稱
      」欄位中,輸入
      John Smith
      按下「
      檢查帳戶
      」。
      帳戶驗證失敗,但是系統管理員
      John Smith
      可以登入
      Symantec Endpoint Protection Manager