Freigeben über

Umleiten der Benutzer und Computercontainer in Active Directory-Domänen

  • Artikel

Sie können redirusr und redircmp verwenden, um Benutzer-, Computer- und Gruppenkonten umzuleiten, die von APIs mit früheren Versionen erstellt werden. Sie werden also in Organisationseinheitscontainern (Organisationseinheit) von Administratoren platziert.

Ursprüngliche KB-Nummer: 324949

Übersicht

In einer Standardinstallation einer Active Directory-Domäne werden Benutzer-, Computer- und Gruppenkonten in CN=objectclass-Container anstelle eines wünschenswerteren OU-Klassencontainers platziert. Ebenso werden die Konten, die mit früheren Versions-APIs erstellt wurden, in den Containern "CN=Users" und "CN=computers" abgelegt.

Wichtig

Einige Anwendungen erfordern bestimmte Sicherheitsprinzipale, die sich in Standardcontainern wie CN=Users oder CN=Computers befinden. Stellen Sie sicher, dass Ihre Anwendungen über solche Abhängigkeiten verfügen, bevor Sie sie aus den CN=Benutzern und CN=computes containern verschieben.

Weitere Informationen

Benutzer, Computer und Gruppen, die von apIs mit früheren Versionen erstellt wurden, platzieren Objekte im DN-Pfad, der im WellKnownObjects-Attribut angegeben ist. Das Attribut WellKnownObjects befindet sich im Nc-Head der Domäne. Das folgende Codebeispiel zeigt die relevanten Pfade im WellKnownObjects-Attribut aus dem CONTOSO.COM Domänen-NC-Head.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Die folgenden Vorgänge verwenden beispielsweise APIs mit früherer Version, die auf den im WellKnownObjects-Attribut definierten Pfaden basieren:

  • Benutzeroberfläche für den Domänenbeitritt
  • NET-COMPUTER
  • NET GROUP
  • NET-BENUTZER
  • NETDOM ADD, wobei der /ou Befehl entweder nicht angegeben oder unterstützt wird

Es ist hilfreich, den Standardcontainer für Benutzer-, Computer- und Sicherheitsgruppen aus mehreren Gründen als OU festzulegen, darunter:

  • Gruppenrichtlinien können auf OU-Container, aber nicht auf CN-Klassencontainer angewendet werden, wobei Sicherheitsprinzipale standardmäßig platziert werden.

  • Die bewährte Methode besteht darin, Sicherheitsprinzipale in einer OU-Hierarchie anzuordnen, die Die Organisationsstruktur, das geografische Layout oder das Verwaltungsmodell widerspiegelt.

Wenn Sie die Ordner "CN=Users" und "CN=Computers" umleiten, beachten Sie die folgenden Probleme:

  • Die Zieldomäne muss für die Ausführung auf der Windows Server 2003-Domänenfunktionsebene oder höher konfiguriert werden. Für die Windows Server 2003-Domänenfunktionsebene bedeutet dies Folgendes:

    • Windows Server 2003 ADPREP /FORESTPREP oder höher
    • Windows Server 2003 ADPREP /DOMAINPREP oder höher
    • Alle Domänencontroller in der Zieldomäne müssen Windows Server 2003 oder höher ausführen.
    • Windows Server 2003-Domänenfunktionsebene oder höher muss aktiviert sein.

  • Im Gegensatz zu CN=USERS und CN=COMPUTERS unterliegen OU-Containern versehentlichen Löschungen durch privilegierte Benutzerkonten, einschließlich Administratoren.

    CN=USERS- und CN=COMPUTERS-Container sind systemgeschützte Objekte, die nicht aus Gründen der Abwärtskompatibilität entfernt werden dürfen. Sie können jedoch umbenannt werden. Organisationseinheiten unterliegen versehentlichen Baumlöschungen durch Administratoren.

    Windows Server 2008 und neuere Versionen des Active Directory-Benutzer und -Computer Snap-In-Features ein Kontrollkästchen "Objekt vor versehentlichem Löschen schützen", das Sie beim Erstellen eines neuen OU-Containers auswählen können. Sie können sie auch auf der Registerkarte "Objekt " des Dialogfelds "Eigenschaften " für einen vorhandenen OU-Container auswählen.

  • Die Umleitung von CN=USERS wirkt sich auf den Standardspeicherort für neue Benutzer, Gruppen und vertrauenswürdige Benutzerkonten aus. Benutzerkonten vertrauen, sind in den meisten Benutzeroberflächen-Verwaltungstools ausgeblendet, sie können jedoch in Tools wie LDIFDE und LDP angezeigt und verschoben werden. Der CN des Kontos ist <der Domänenname> der Unterebene, z. B. "contoso$".

  • Wenn Bei der Vorbereitung von Exchange Server Active Directory Fehler auftreten, stellen Sie sicher, dass Sie das neueste kumulative Update und Sicherheitsupdate ausführen.

Umleiten von CN=Benutzern an eine vom Administrator angegebene OU

  1. Melden Sie sich mit Domänenadministratoranmeldeinformationen in der Domäne an, in der der Container "CN=Benutzer" umgeleitet wird.

  2. Übertragen Sie die Domäne auf die Windows Server 2003-Domänenfunktionsebene oder höher im Active Directory-Benutzer und -Computer Snap-In (Dsa.msc) oder im Snap-In "Domains and Trusts(Domains.msc)". Weitere Informationen zum Erhöhen der Domänenfunktionsebene finden Sie unter "Erhöhen der Domänen- und Gesamtstrukturfunktionsebenen".

  3. Erstellen Sie den OU-Container, in dem Benutzer und Gruppen, die mit APIs früherer Version erstellt wurden, gespeichert werden sollen, wenn der gewünschte OU-Container nicht vorhanden ist.

  4. Führen Sie Redirusr.exe an der Eingabeaufforderung mithilfe der folgenden Syntax aus. Im Befehl ist container-dn der distinguished Name der OU, der zum Standardspeicherort für neu erstellte Benutzer- und Gruppenobjekte wird, die von APIs auf der unteren Ebene erstellt werden:

    c:\windows\system32\redirusr container-dn

    Redirusr wird im %SystemRoot%\System32 Ordner auf Windows Server 2003-basierten oder neueren Computern installiert. Wenn Sie z. B. den Standardspeicherort für Benutzer ändern möchten, die mit apIs auf der unteren Ebene erstellt werden, z. B. net User to the OU=MYUsers OU container in der CONTOSO.COM Domäne, verwenden Sie die folgende Syntax:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Notiz

    Wenn Redirusr.exe ausgeführt wird, um den CN=Users-Container an eine von einem Administrator angegebene OU umzuleiten, ist der CN=Users-Container kein geschütztes Objekt mehr. Dies bedeutet, dass der Benutzercontainer jetzt verschoben, gelöscht oder umbenannt werden kann. Wenn Sie ADSIEDIT verwenden, um Attribute im Container "CN=Users" anzuzeigen, sehen Sie, dass das Systemflags-Attribut von -1946157056 in 0 geändert wurde. Es handelt sich hierbei um ein beabsichtigtes Verhalten.

    Um den Container zu löschen, müssen Sie die Standardbenutzer und -gruppen in andere Organisationseinheiten und Container und auch die vertrauenswürdigen Benutzerkonten verschieben. Diese Vertrauenskonten können mithilfe von Tools wie LDIFDE und LDP angezeigt und verschoben werden. Es wird empfohlen, den Container unverändert und die Standardkonten zur Konsistenz beizubehalten.

Umleiten von CN=Computern an eine vom Administrator angegebene OU

  1. Melden Sie sich mit Domänenadministratoranmeldeinformationen in der Domäne an, in der der Container "CN=Computer" umgeleitet wird.

  2. Übertragen Sie die Domäne in die Windows Server 2003-Domäne im Active Directory-Benutzer und -Computer Snap-In (Dsa.msc) oder im Snap-In "Domains and Trusts (Domains.msc)". Weitere Informationen zum Erhöhen der Domänenfunktionsebene finden Sie unter "Erhöhen der Domänen- und Gesamtstrukturfunktionsebenen".

  3. Erstellen Sie den OU-Container, in dem Computer erstellt werden sollen, die mit APIs früherer Version erstellt werden sollen, wenn der gewünschte OU-Container nicht vorhanden ist.

  4. Führen Sie Redircmp.exe an einer Eingabeaufforderung mithilfe der folgenden Syntax aus. Im Befehl ist container-dn der distinguished Name der OU, der zum Standardspeicherort für neu erstellte Computerobjekte wird, die von APIs auf der unteren Ebene erstellt werden:

    redircmp container-dn

    Redircmp.exe wird im %Systemroot%\System32 Ordner in Windows Server 2003 oder höheren Versionen installiert. Verwenden Sie die folgende Syntax, um den Standardspeicherort für einen Computer zu ändern, der mit früheren Versions-APIs wie Net Computer erstellt wurde, in den OU=MyComputers-Container in der domäne CONTOSO.COM:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Notiz

    Wenn Redircmp.exe ausgeführt wird, um den CN=Computers-Container an eine von einem Administrator angegebene OU umzuleiten, ist der CN=Computers-Container kein geschütztes Objekt mehr. Dies bedeutet, dass der Computercontainer jetzt verschoben, gelöscht oder umbenannt werden kann. Wenn Sie ADSIEDIT verwenden, um Attribute im Container "CN=Computers" anzuzeigen, sehen Sie, dass das Systemflags-Attribut von -1946157056 in 0 geändert wurde. Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Beschreibung von Fehlermeldungen

Nachfolgend finden Sie Fehlermeldungen, die in einigen Fällen auftreten.

Fehlermeldungen, die Sie erhalten, wenn der PDC offline ist

Redircmp und Redirusr ändern das Attribut wellKnownObjects auf dem primären Domänencontroller (PDC). Wenn der PDC der zu ändernden Domäne offline oder nicht darauf zugegriffen werden kann, erhalten Sie die folgenden Fehlermeldungen.

  • Fehlermeldung 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Fehler: Der primäre Domänencontroller für die aktuelle Domäne konnte nicht gefunden werden: Die angegebene Domäne ist entweder nicht vorhanden oder konnte nicht kontaktiert werden. Die Umleitung war NICHT erfolgreich.

  • Fehlermeldung 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Fehler: Der primäre Domänencontroller für die aktuelle Domäne konnte nicht gefunden werden: Die angegebene Domäne ist entweder nicht vorhanden oder konnte nicht kontaktiert werden. Die Umleitung war NICHT erfolgreich.

Fehlermeldungen, die Sie erhalten, wenn die Domänenfunktionsebene nicht Windows Server 2003 ist

Sie versuchen, die Benutzer oder Computer-ORGANISATIONS in einer Domäne umzuleiten, die nicht auf die Windows Server 2003-Domänenfunktionsebene umgestellt wurde. In diesem Fall erhalten Sie die folgenden Fehlermeldungen:

  • Fehlermeldung 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fehler, das wellKnownObjects-Attribut kann nicht geändert werden. Stellen Sie sicher, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003 ist: Die Nichtwille zum Ausführen der Umleitung war NICHT erfolgreich.

  • Fehlermeldung 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Fehler, das wellKnownObjects-Attribut kann nicht geändert werden. Stellen Sie sicher, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003 ist: Nicht willens zur Ausführung

Fehlermeldungen, die Sie erhalten, wenn Sie sich ohne die erforderlichen Berechtigungen anmelden

Wenn Sie versuchen, die Benutzer oder Computer-OU mithilfe falscher Anmeldeinformationen in der Zieldomäne umzuleiten, erhalten Sie möglicherweise die folgenden Fehlermeldungen:

  • Fehlermeldung 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Fehler, das wellKnownObjects-Attribut kann nicht geändert werden. Überprüfen Sie, ob die Domänenfunktionsebene der Domäne mindestens Windows Server 2003 ist: Unzureichende Rechteumleitung war NICHT erfolgreich.

  • Fehlermeldung 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fehler, das wellKnownObjects-Attribut kann nicht geändert werden. Überprüfen Sie, ob die Domänenfunktionsebene der Domäne mindestens Windows Server 2003 ist: Unzureichende Rechteumleitung war NICHT erfolgreich.

Fehlermeldungen, die Sie erhalten, wenn Sie zu einer OU umleiten, die nicht vorhanden ist

Sie versuchen, die Benutzer oder Computer-OU an eine nicht vorhandene OU umzuleiten. In diesem Fall erhalten Sie möglicherweise die folgenden Fehlermeldungen:

  • Fehlermeldung 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Fehler, das wellKnownObjects-Attribut kann nicht geändert werden. Stellen Sie sicher, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003 ist: Keine Solche Objektumleitung war NICHT erfolgreich.

  • Fehlermeldung 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Fehler, das wellKnownObjects-Attribut kann nicht geändert werden. Stellen Sie sicher, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003 ist: Keine Solche Objektumleitung war NICHT erfolgreich.

Fehlermeldungen, die Sie in Exchange Server 2000 setup /domainprep erhalten, wenn CN=Benutzer umgeleitet werden

Wenn Exchange Server 2000 und Exchange Server 2003 setup /domainprep nicht erfolgreich sind, wird die folgende Fehlermeldung angezeigt:

Fehler beim Installieren von Berechtigungen auf Unterkomponentendomänenebene mit Fehlercode 0x80072030) (Weitere Informationen finden Sie in den Installationsprotokollen). Sie können die Installation abbrechen oder den fehlgeschlagenen Schritt erneut versuchen. (Wiederholen/ Abbrechen)

Die folgenden Daten werden im Exchange Server 2000-Setupprotokoll angezeigt, das mit dem Protokollparser analysiert wird. Exchange Server 2003 sollte ähnlich sein.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed