Umleiten der Benutzer- und Computercontainer in Active Directory-Domänen
Sie können redirusr und redircmp verwenden, um Benutzer-, Computer- und Gruppenkonten umzuleiten, die von APIs früherer Versionen erstellt wurden. Daher werden sie in vom Administrator angegebenen Organisationseinheitscontainern (OE) platziert.
Ursprüngliche KB-Nummer: 324949
Zusammenfassung
In einer Standardinstallation einer Active Directory-Domäne werden Benutzer-, Computer- und Gruppenkonten in CN=objectclass-Containern anstelle eines wünschenswerteren Organisationseinheitsklassencontainers platziert. Ebenso werden die Konten, die mit APIs früherer Versionen erstellt wurden, in den Containern CN=Users und CN=computers abgelegt.
Wichtig
Einige Anwendungen erfordern, dass sich bestimmte Sicherheitsprinzipale in Standardcontainern wie CN=Users oder CN=Computers befinden. Überprüfen Sie, ob Ihre Anwendungen über solche Abhängigkeiten verfügen, bevor Sie sie aus den Containern CN=users und CN=computes verschieben.
Weitere Informationen
Benutzer, Computer und Gruppen, die von APIs früherer Versionen erstellt wurden, platzieren Objekte in dem DN-Pfad, der im WellKnownObjects-Attribut angegeben ist. Das Attribut WellKnownObjects befindet sich im Nc-Haupt der Domäne. Das folgende Codebeispiel zeigt die relevanten Pfade im WellKnownObjects-Attribut aus dem NC-Haupt der CONTOSO.COM Domäne.
Dn: DC=CONTOSO,DC=COM
wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;
Für die folgenden Vorgänge werden beispielsweise APIs früherer Versionen verwendet, die auf den pfaden basieren, die im WellKnownObjects-Attribut definiert sind:
- Benutzeroberfläche für Domänenbeitritt
- NET COMPUTER
- NET GROUP
- NET USER
- NETDOM ADD, wobei der
/ou
Befehl entweder nicht angegeben oder unterstützt wird
Es ist aus verschiedenen Gründen hilfreich, den Standardcontainer für Benutzer-, Computer- und Sicherheitsgruppen zu einer Organisationseinheit zu machen:
Gruppenrichtlinien können auf Organisationseinheitscontainer angewendet werden, aber nicht auf Container der CN-Klasse, in denen Sicherheitsprinzipale standardmäßig platziert werden.
Die bewährte Methode besteht darin, Sicherheitsprinzipale in einer Organisationseinheitshierarchie anzuordnen, die Ihre Organisationsstruktur, Ihr geografisches Layout oder Ihr Verwaltungsmodell widerspiegelt.
Wenn Sie die Ordner CN=Users und CN=Computers umleiten, beachten Sie die folgenden Probleme:
Die Zieldomäne muss für die Ausführung in der Windows Server 2003-Domänenfunktionsebene oder höher konfiguriert werden. Für die Windows Server 2003-Domänenfunktionsebene bedeutet dies Folgendes:
- Windows Server 2003
ADPREP /FORESTPREP
oder höher - Windows Server 2003
ADPREP /DOMAINPREP
oder höher - Auf allen Domänencontrollern in der Zieldomäne muss Windows Server 2003 oder höher ausgeführt werden.
- Die Domänenfunktionsebene von Windows Server 2003 oder höher muss aktiviert sein.
- Windows Server 2003
Im Gegensatz zu CN=USERS und CN=COMPUTERS unterliegen Organisationseinheitencontainer versehentlichen Löschungen durch privilegierte Benutzerkonten, einschließlich Administratoren.
CN=USERS- und CN=COMPUTERS-Container sind systemgeschützte Objekte, die aus Gründen der Abwärtskompatibilität nicht entfernt werden können und dürfen. Sie können jedoch umbenannt werden. Organisationseinheiten unterliegen versehentlichen Löschvorgängen von Administratoren.
Windows Server 2008 und neuere Versionen des Snap-Ins Active Directory-Benutzer und -Computer bieten ein Kontrollkästchen Objekt vor versehentlichem Löschen schützen , das Sie beim Erstellen eines neuen Organisationseinheitscontainers aktivieren können. Sie können es auch auf der Registerkarte Objekt des Dialogfelds Eigenschaften für einen vorhandenen Organisationseinheitscontainer auswählen.
Die Umleitung von CN=USERS wirkt sich auf den Standardspeicherort für neue Benutzer, Gruppen und vertrauenswürdige Benutzerkonten aus. Vertrauensbenutzerkonten sind in den meisten Verwaltungstools der Benutzeroberfläche ausgeblendet, aber Sie können sie in Tools wie LDIFDE und LDP anzeigen und verschieben. Der CN des Kontos ist <ein domänenwerter Name>$, z. B. "contoso$".
Wenn Bei der Vorbereitung von Exchange Server Active Directory Fehler auftreten, stellen Sie sicher, dass Sie das neueste kumulative Update und Sicherheitsupdate ausführen.
Umleiten von CN=Users an eine vom Administrator angegebene Organisationseinheit
Melden Sie sich mit Domänenadministratoranmeldeinformationen in der Domäne an, in der der Container CN=Users umgeleitet wird.
Wechseln Sie die Domäne entweder im Snap-In Active Directory-Benutzer und -Computer (Dsa.msc) oder im Snap-In Domänen und Vertrauensstellungen (Domains.msc) auf die Domänenfunktionsebene von Windows Server 2003 oder höher. Weitere Informationen zum Erhöhen der Domänenfunktionsebene finden Sie unter Erhöhen von Domänen- und Gesamtstrukturfunktionsebenen.
Erstellen Sie den Organisationseinheitscontainer, in dem Benutzer und Gruppen, die mit APIs früherer Versionen erstellt wurden, gefunden werden sollen, wenn der gewünschte Organisationseinheitscontainer nicht vorhanden ist.
Führen Sie Redirusr.exe an der Eingabeaufforderung mit der folgenden Syntax aus. Im Befehl ist container-dn der Distinguished Name der Organisationseinheit, die zum Standardspeicherort für neu erstellte Benutzer- und Gruppenobjekte wird, die von apIs auf der unteren Ebene erstellt wurden:
c:\windows\system32\redirusr container-dn
Redirusr wird auf Computern mit Windows Server 2003 oder höher im
%SystemRoot%\System32
Ordner installiert. Wenn Sie beispielsweise den Standardspeicherort für Benutzer, die mit untergeordneten APIs wie Net User erstellt wurden, in den OU=MYUsers-OU-Container in derCONTOSO.COM
Domäne ändern möchten, verwenden Sie die folgende Syntax:c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com
Hinweis
Wenn Redirusr.exe ausgeführt wird, um den Container CN=Users an eine von einem Administrator angegebene Organisationseinheit umzuleiten, ist der Container CN=Users kein geschütztes Objekt mehr. Dies bedeutet, dass der Container Users jetzt verschoben, gelöscht oder umbenannt werden kann. Wenn Sie ADSIEDIT zum Anzeigen von Attributen im Container CN=Users verwenden, sehen Sie, dass das Attribut systemflags von -1946157056 in 0 geändert wurde. Es handelt sich hierbei um ein beabsichtigtes Verhalten.
Um den Container zu löschen, müssen Sie die Standardbenutzer und -gruppen in andere Organisationseinheiten und Container sowie die vertrauenswürdigen Benutzerkonten verschieben. Diese Vertrauenskonten können mithilfe von Tools wie LDIFDE und LDP angezeigt und verschoben werden. Es wird empfohlen, den Container und die Standardkonten aus Gründen der Konsistenz unverändert zu halten.
Umleiten von CN=Computers an eine vom Administrator angegebene Organisationseinheit
Melden Sie sich mit den Anmeldeinformationen des Domänenadministrators in der Domäne an, in der der Container CN=computers umgeleitet wird.
Wechseln Sie im Snap-In Active Directory-Benutzer und -Computer (Dsa.msc) oder im Snap-In Domänen und Vertrauensstellungen (Domänen.msc) in die Windows Server 2003-Domäne. Weitere Informationen zum Erhöhen der Domänenfunktionsebene finden Sie unter Erhöhen von Domänen- und Gesamtstrukturfunktionsebenen.
Erstellen Sie den Organisationseinheitscontainer, in dem Sich Computer befinden sollen, die mit APIs früherer Version erstellt wurden, wenn der gewünschte Organisationseinheitscontainer nicht vorhanden ist.
Führen Sie Redircmp.exe mithilfe der folgenden Syntax an einer Eingabeaufforderung aus. Im Befehl ist container-dn der Distinguished Name der Organisationseinheit, die zum Standardspeicherort für neu erstellte Computerobjekte wird, die von apIs auf der unteren Ebene erstellt werden:
redircmp container-dn
Redircmp.exe wird in
%Systemroot%\System32
Windows Server 2003 oder höheren Versionen im Ordner installiert. Verwenden Sie die folgende Syntax, um den Standardspeicherort für einen Computer zu ändern, der mit APIs früherer Version erstellt wurde, z. B. Net Computer, in den Container OU=MyComputers in der domäne CONTOSO.COM:C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com
Hinweis
Wenn Redircmp.exe ausgeführt wird, um den Container CN=Computers an eine von einem Administrator angegebene Organisationseinheit umzuleiten, ist der Container CN=Computers kein geschütztes Objekt mehr. Dies bedeutet, dass der Container Computer jetzt verschoben, gelöscht oder umbenannt werden kann. Wenn Sie ADSIEDIT zum Anzeigen von Attributen im Container CN=Computers verwenden, sehen Sie, dass das Attribut systemflags von -1946157056 in 0 geändert wurde. Es handelt sich hierbei um ein beabsichtigtes Verhalten.
Beschreibung der Fehlermeldungen
Dies sind Fehlermeldungen, die in einigen Fällen auftreten.
Fehlermeldungen, die Sie erhalten, wenn der PDC offline ist
Redircmp und Redirusr ändern das attribut wellKnownObjects auf dem primären Domänencontroller (PDC). Wenn die PDC der Domäne, die geändert wird, offline oder nicht zugänglich ist, erhalten Sie die folgenden Fehlermeldungen.
Fehlermeldung 1:
C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com
Fehler: Der primäre Domänencontroller für die aktuelle Domäne konnte nicht gefunden werden: Die angegebene Domäne ist entweder nicht vorhanden oder konnte nicht kontaktiert werden. Die Umleitung war NICHT erfolgreich.
Fehlermeldung 2:
C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc
Fehler: Der primäre Domänencontroller für die aktuelle Domäne konnte nicht gefunden werden: Die angegebene Domäne ist entweder nicht vorhanden oder konnte nicht kontaktiert werden. Die Umleitung war NICHT erfolgreich.
Fehlermeldungen, die Sie erhalten, wenn die Domänenfunktionsebene nicht Windows Server 2003 ist
Sie versuchen, die Benutzer oder computerinterne Organisationseinheit in einer Domäne umzuleiten, die noch nicht auf die Windows Server 2003-Domänenfunktionsebene umgestellt wurde. In diesem Fall erhalten Sie die folgenden Fehlermeldungen:
Fehlermeldung 1:
C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com
Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Vergewissern Sie sich, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Die Umleitung wurde nicht erfolgreich ausgeführt.
Fehlermeldung 2:
C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com
Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Stellen Sie sicher, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Unwilling To Perform entspricht.
Fehlermeldungen, die Sie erhalten, wenn Sie sich ohne die erforderlichen Berechtigungen anmelden
Wenn Sie versuchen, die Benutzer oder computerinterne Organisationseinheit mit falschen Anmeldeinformationen in der Zieldomäne umzuleiten, erhalten Sie möglicherweise die folgenden Fehlermeldungen:
Fehlermeldung 1
C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com
Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Überprüfen Sie, ob die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Unzureichende Rechteumleitung nicht erfolgreich ist.
Fehlermeldung 2:
C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com
Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Überprüfen Sie, ob die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Unzureichende Rechteumleitung nicht erfolgreich ist.
Fehlermeldungen, die Sie erhalten, wenn Sie zu einer organisationseinheit umleiten, die nicht vorhanden ist
Sie versuchen, die Benutzer oder die Computer-ORGANISATIONSeinheit an eine organisationseinheit umzuleiten, die nicht vorhanden ist. In diesem Fall erhalten Sie möglicherweise die folgenden Fehlermeldungen:
Fehlermeldung 1:
C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com
Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Stellen Sie sicher, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Keine solche Objektumleitung nicht erfolgreich ist.
Fehlermeldung 2:
C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com
Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Stellen Sie sicher, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Keine solche Objektumleitung nicht erfolgreich ist.
Fehlermeldungen, die Sie im Exchange Server 2000-Setup /domainprep erhalten, wenn CN=Users umgeleitet wird
Wenn Exchange Server 2000 und Exchange Server 2003 setup /domainprep
nicht erfolgreich sind, erhalten Sie die folgende Fehlermeldung:
Fehler beim Setup beim Installieren von Unterkomponentenberechtigungen auf Domänenebene mit Fehlercode 0x80072030) (eine ausführliche Beschreibung finden Sie in den Installationsprotokollen). Sie können die Installation abbrechen oder den fehlgeschlagenen Schritt erneut versuchen. (Wiederholen/Abbrechen)
Die folgenden Daten werden im Exchange Server 2000-Setupprotokoll angezeigt, das mit dem Protokollparser analysiert wird. Exchange Server 2003 sollte ähnlich sein.
[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed