Windows 2000 AD是默认允许匿名LDAP访问的，但是Windows 2003 AD默认不允许。

要使得Windows Server 2003也象2000一样允许匿名LDAP连接，则必须修改DsHeuristics属性。该属性可以有2种值，0说明不允许，0000002为允许。默认情况下未设置值，隐含义为默认值0。我们可以手工更改为0000002 （必须有6个前导0）。该属性的Path如下：

CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest

DsHeuristics属性修改后会在AD复制时复制到森林中所有的域控制器，而无需重启Windows。在Windows 2003森林中的Windows 2000 DC不支持这个属性。

用edsiedit.msc可以修改该值。(注：必须在根域修改，必须具有Enterprise Admin的权限）

打开edsiedit.msc，右键点击这里CN=Directory Service, 点Properties

更多信息参:

http://support.microsoft.com/kb/326690/en-us