Compartir a través de

Redirigir los contenedores de usuarios y equipos en dominios de Active Directory

  • Artículo

Puede usar redirusr y redircmp para redirigir las cuentas de usuario, equipo y grupo creadas por las API de versión anterior. Por lo tanto, se colocan en contenedores de unidad organizativa (OU) especificados por el administrador.

Número de KB original: 324949

Resumen

En una instalación predeterminada de un dominio de Active Directory, las cuentas de usuario, equipo y grupo se colocan en contenedores CN=objectclass en lugar de en un contenedor de clases de unidad organizativa más deseable. Del mismo modo, las cuentas creadas mediante las API de versión anterior se colocan en los contenedores CN=Users y CN=computers.

Importante

Algunas aplicaciones requieren que las entidades de seguridad específicas se encuentren en contenedores predeterminados, como CN=Users o CN=Computers. Compruebe que las aplicaciones tienen estas dependencias antes de sacarlas de los contenedores CN=users y CN=computes.

Más información

Los usuarios, equipos y grupos creados por las API de versión anterior colocan objetos en la ruta de acceso de DN especificada en el atributo WellKnownObjects. El atributo WellKnownObjects se encuentra en el encabezado nc del dominio. En el ejemplo de código siguiente se muestran las rutas de acceso pertinentes en el atributo WellKnownObjects del encabezado nc del dominio de CONTOSO.COM.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Por ejemplo, las siguientes operaciones usan api de versión anterior, que se basan en las rutas de acceso definidas en el atributo WellKnownObjects:

  • Interfaz de usuario de unión a un dominio
  • EQUIPO NET
  • NET GROUP
  • USUARIO DE NET
  • NETDOM ADD, donde el /ou comando no se especifica o se admite

Resulta útil hacer que el contenedor predeterminado para el usuario, el equipo y los grupos de seguridad sea una unidad organizativa por varias razones, entre las que se incluyen:

  • Las directivas de grupo se pueden aplicar en contenedores de unidades organizativas, pero no en contenedores de clases CN, donde las entidades de seguridad se colocan de forma predeterminada.

  • El procedimiento recomendado es organizar las entidades de seguridad en una jerarquía de unidades organizativas que refleje la estructura organizativa, el diseño geográfico o el modelo de administración.

Si redirige las carpetas CN=Users y CN=Computers, tenga en cuenta los siguientes problemas:

  • El dominio de destino debe configurarse para ejecutarse en el nivel funcional del dominio de Windows Server 2003 o superior. Para el nivel funcional del dominio de Windows Server 2003, significa que:

    • Windows Server 2003 ADPREP /FORESTPREP o posterior
    • Windows Server 2003 ADPREP /DOMAINPREP o posterior
    • Todos los controladores de dominio del dominio de destino deben ejecutar Windows Server 2003 o posterior.
    • El nivel funcional de dominio de Windows Server 2003 o superior debe estar habilitado.

  • A diferencia de CN=USERS y CN=COMPUTERS, los contenedores de unidades organizativas están sujetos a eliminaciones accidentales por cuentas de usuario con privilegios, incluidos los administradores.

    Los contenedores CN=USERS y CN=COMPUTERS son objetos protegidos por el sistema que no pueden, y no deben quitarse por compatibilidad con versiones anteriores. Pero se puede cambiar el nombre. Las unidades organizativas están sujetas a eliminaciones accidentales de árboles por parte de los administradores.

    Windows Server 2008 y versiones más recientes de la característica de complemento Usuarios y equipos de Active Directory una casilla Proteger objeto contra la eliminación accidental que puede seleccionar al crear un nuevo contenedor de unidades organizativas. También puede seleccionarlo en la pestaña Objeto del cuadro de diálogo Propiedades de un contenedor de unidades organizativas existente.

  • La redirección de CN=USERS afecta a la ubicación predeterminada para los nuevos usuarios, grupos y cuentas de usuario de confianza. Las cuentas de usuario de confianza están ocultas en la mayoría de las herramientas de administración de la interfaz de usuario, pero puede mostrarlas y moverlas en herramientas como LDIFDE y LDP. El CN de la cuenta es <el nombre> de dominio de nivel inferior$, por ejemplo, "contoso$".

  • Si experimenta errores de preparación de Exchange Server Active Directory, asegúrese de que está ejecutando la actualización acumulativa y la actualización de seguridad más recientes.

Redirigir CN=Usuarios a una unidad organizativa especificada por el administrador

  1. Inicie sesión con credenciales de administrador de dominio en el dominio donde se redirige el contenedor CN=Users.

  2. Realice la transición del dominio al nivel funcional de dominio de Windows Server 2003 o posterior en el complemento de Usuarios y equipos de Active Directory (Dsa.msc) o el complemento Dominios y confianzas (Domains.msc). Para obtener más información sobre cómo aumentar el nivel funcional del dominio, vea Cómo aumentar los niveles funcionales de dominio y bosque.

  3. Cree el contenedor de unidades organizativas donde desea que se encuentren los usuarios y grupos que se crean con las API de versión anterior, si el contenedor de unidades organizativas que desea no existe.

  4. Ejecute Redirusr.exe en el símbolo del sistema mediante la sintaxis siguiente. En el comando, container-dn es el nombre distintivo de la unidad organizativa que se convertirá en la ubicación predeterminada para los objetos de usuario y grupo recién creados por las API de nivel descendente:

    c:\windows\system32\redirusr container-dn

    Redirusr se instala en la %SystemRoot%\System32 carpeta de equipos basados en Windows Server 2003 o versiones más recientes. Por ejemplo, para cambiar la ubicación predeterminada para los usuarios que se crean con API de nivel descendente, como Net User al contenedor ou=MYUsers ou en el CONTOSO.COM dominio, use la sintaxis siguiente:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Nota:

    Cuando se ejecuta Redirusr.exe para redirigir el contenedor CN=Users a una unidad organizativa especificada por un administrador, el contenedor CN=Users ya no será un objeto protegido. Esto significa que el contenedor Usuarios ahora se puede mover, eliminar o cambiar el nombre. Si usa ADSIEDIT para ver los atributos en el contenedor CN=Users, verá que el atributo systemflags se cambió de -1946157056 a 0. es así por diseño.

    Para eliminar el contenedor, debe mover los usuarios y grupos predeterminados a otras unidades organizativas y contenedores, así como las cuentas de usuario de confianza. Estas cuentas de confianza se pueden mostrar y mover mediante herramientas como LDIFDE y LDP. Se recomienda mantener el contenedor sin cambios y las cuentas predeterminadas para la coherencia.

Redirigir CN=Equipos a una unidad organizativa especificada por el administrador

  1. Inicie sesión con credenciales de administrador de dominio en el dominio donde se redirige el contenedor CN=computers.

  2. Cambie el dominio al dominio de Windows Server 2003 en el complemento Usuarios y equipos de Active Directory (Dsa.msc) o en el complemento Dominios y confianzas (Domains.msc). Para obtener más información sobre cómo aumentar el nivel funcional del dominio, vea Cómo aumentar los niveles funcionales de dominio y bosque.

  3. Cree el contenedor de unidades organizativas donde desea que los equipos que se creen con las API de versión anterior se encuentren, si el contenedor de unidades organizativas deseado no existe.

  4. Ejecute Redircmp.exe en un símbolo del sistema mediante la sintaxis siguiente. En el comando, container-dn es el nombre distintivo de la unidad organizativa que se convertirá en la ubicación predeterminada de los objetos de equipo recién creados por las API de nivel descendente:

    redircmp container-dn

    Redircmp.exe se instala en la %Systemroot%\System32 carpeta de Windows Server 2003 o versiones posteriores. Para cambiar la ubicación predeterminada de un equipo creado con api de versión anterior, como Net Computer, al contenedor OU=MyComputers del dominio de CONTOSO.COM, use la sintaxis siguiente:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Nota:

    Cuando se ejecuta Redircmp.exe para redirigir el contenedor CN=Computers a una unidad organizativa especificada por un administrador, el contenedor CN=Computers ya no será un objeto protegido. Esto significa que el contenedor Equipos ahora se puede mover, eliminar o cambiar el nombre. Si usa ADSIEDIT para ver los atributos en el contenedor CN=Computers, verá que el atributo systemflags se cambió de -1946157056 a 0. es así por diseño.

Descripción de los mensajes de error

Estos son los mensajes de error que se producen en algunos casos.

Mensajes de error que recibe si el PDC está sin conexión

Redircmp y Redirusr cambian el atributo wellKnownObjects en el controlador de dominio principal (PDC). Si el PDC del dominio que se va a cambiar está sin conexión o no es accesible, recibirá los siguientes mensajes de error.

  • Mensaje de error 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Error, no se pudo encontrar el controlador de dominio principal para el dominio actual: el dominio especificado no existe o no se pudo establecer contacto con él. El redireccionamiento NO se realizó correctamente.

  • Mensaje de error 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Error, no se pudo encontrar el controlador de dominio principal para el dominio actual: el dominio especificado no existe o no se pudo establecer contacto con él. El redireccionamiento NO se realizó correctamente.

Mensajes de error que recibe si el nivel funcional del dominio no es Windows Server 2003

Intenta redirigir los usuarios o la unidad organizativa del equipo en un dominio que no ha pasado al nivel funcional del dominio de Windows Server 2003. En esta situación, recibirá los siguientes mensajes de error:

  • Mensaje de error 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional de dominio del dominio es al menos Windows Server 2003: No se pudo realizar el redireccionamiento no correcto.

  • Mensaje de error 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional de dominio del dominio sea al menos Windows Server 2003: No está dispuesto a realizar

Mensajes de error que recibe si inicia sesión sin los permisos necesarios

Si intenta redirigir los usuarios o la unidad organizativa del equipo mediante credenciales incorrectas en el dominio de destino, puede recibir los siguientes mensajes de error:

  • Mensaje de error 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional de dominio del dominio sea al menos Windows Server 2003: El redireccionamiento de derechos insuficiente no se realizó correctamente.

  • Mensaje de error 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional de dominio del dominio sea al menos Windows Server 2003: El redireccionamiento de derechos insuficiente no se realizó correctamente.

Mensajes de error que recibe si redirige a una unidad organizativa que no existe

Intenta redirigir los usuarios o la unidad organizativa del equipo a una unidad organizativa que no existe. En esta situación, puede recibir los siguientes mensajes de error:

  • Mensaje de error 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional de dominio del dominio sea al menos Windows Server 2003: No se realizó correctamente dicha redirección de objetos.

  • Mensaje de error 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional de dominio del dominio sea al menos Windows Server 2003: No se realizó correctamente dicha redirección de objetos.

Mensajes de error que recibe en el programa de instalación de Exchange Server 2000 /domainprep cuando se redirige CN=Users

Si Exchange Server 2000 y Exchange Server 2003 no son correctos setup /domainprep , recibirá el siguiente mensaje de error:

Error al instalar permisos de nivel de dominio de subcomponente con código de error 0x80072030) (consulte los registros de instalación para obtener una descripción detallada). Puede cancelar la instalación o volver a intentar el paso con errores. (Reintentar/Cancelar)

Los datos siguientes aparecen en el registro de instalación de Exchange Server 2000 que se analiza con analizador de registros. Exchange Server 2003 debe ser similar.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed