Partager via

Rediriger les utilisateurs et les conteneurs d’ordinateurs dans les domaines Active Directory

  • Article

Vous pouvez utiliser redirusr et redircmp pour rediriger les comptes d’utilisateur, d’ordinateur et de groupe créés par des API de version antérieure. Ils sont donc placés dans des conteneurs d’unité d’organisation (UO) spécifiés par l’administrateur.

Numéro de base de connaissances d’origine : 324949

Résumé

Dans une installation par défaut d’un domaine Active Directory, d’un utilisateur, d’un ordinateur et d’un compte de groupe, les conteneurs CN=objectclass sont placés au lieu d’un conteneur de classes d’unité d’organisation plus souhaitable. De même, les comptes créés à l’aide d’API de version antérieure sont placés dans les conteneurs CN=Users et CN=computers.

Important

Certaines applications nécessitent que des principaux de sécurité spécifiques se trouvent dans des conteneurs par défaut tels que CN=Users ou CN=Computers. Vérifiez que vos applications ont ces dépendances avant de les déplacer hors des conteneurs CN=users et CN=computes.

Plus d’informations

Les utilisateurs, les ordinateurs et les groupes créés par les API de version antérieure placent des objets dans le chemin DN spécifié dans l’attribut WellKnownObjects. L’attribut WellKnownObjects se trouve dans la tête du contrôleur de domaine. L’exemple de code suivant montre les chemins d’accès appropriés dans l’attribut WellKnownObjects à partir de la tête du contrôleur de domaine CONTOSO.COM.

Dn : DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Par exemple, les opérations suivantes utilisent des API de version antérieure, qui s’appuient sur les chemins définis dans l’attribut WellKnownObjects :

  • Interface utilisateur de jonction de domaine
  • ORDINATEUR NET
  • NET GROUP
  • UTILISATEUR NET
  • NETDOM ADD, où la /ou commande n’est pas spécifiée ou prise en charge

Il est utile de rendre le conteneur par défaut pour l’utilisateur, l’ordinateur et les groupes de sécurité d’une unité d’organisation pour plusieurs raisons, notamment :

  • Les stratégies de groupe peuvent être appliquées aux conteneurs d’unité d’organisation, mais pas sur les conteneurs de classe CN, où les principaux de sécurité sont placés par défaut.

  • La meilleure pratique consiste à organiser des principaux de sécurité dans une hiérarchie d’unité d’organisation qui reflète votre structure organisationnelle, votre disposition géographique ou votre modèle d’administration.

Si vous redirigez les dossiers CN=Users et CN=Computers, tenez compte des problèmes suivants :

  • Le domaine cible doit être configuré pour s’exécuter dans le niveau fonctionnel du domaine Windows Server 2003 ou supérieur. Pour le niveau fonctionnel du domaine Windows Server 2003, cela signifie que :

    • Windows Server 2003 ADPREP /FORESTPREP ou version ultérieure
    • Windows Server 2003 ADPREP /DOMAINPREP ou version ultérieure
    • Tous les contrôleurs de domaine du domaine cible doivent exécuter Windows Server 2003 ou version ultérieure.
    • Le niveau fonctionnel du domaine Windows Server 2003 ou version ultérieure doit être activé.

  • Contrairement à CN=USERS et CN=COMPUTERS, les conteneurs d’unité d’organisation sont soumis à des suppressions accidentelles par des comptes d’utilisateur privilégiés, y compris les administrateurs.

    CN=USERS et CN=COMPUTERS conteneurs sont des objets protégés par le système qui ne peuvent pas, et ne doivent pas, être supprimés pour la compatibilité descendante. Mais ils peuvent être renommés. Les unités organisationnelles sont soumises à des suppressions accidentelles d’arborescences par les administrateurs.

    Windows Server 2008 et versions plus récentes de la fonctionnalité de composant logiciel enfichable Utilisateurs et ordinateurs Active Directory fonctionnalité de protection contre la suppression accidentelle que vous pouvez sélectionner lorsque vous créez un conteneur d’unité d’organisation. Vous pouvez également le sélectionner sous l’onglet Objet de la boîte de dialogue Propriétés d’un conteneur d’unité d’organisation existant.

  • La redirection de CN=USERS affecte l’emplacement par défaut pour les nouveaux utilisateurs, les groupes et les comptes d’utilisateur d’approbation. Les comptes d’utilisateur d’approbation sont masqués dans la plupart des outils d’administration de l’interface utilisateur, mais vous pouvez les afficher et les déplacer dans des outils tels que LDIFDE et LDP. Le cn du compte est <un nom> de domaine de niveau inférieur$, par exemple « contoso$ ».

  • Si vous rencontrez des échecs de préparation Exchange Server Active Directory, vérifiez que vous exécutez la dernière mise à jour cumulative et la mise à jour de sécurité.

Rediriger CN=Users vers une unité d’organisation spécifiée par l’administrateur

  1. Connectez-vous avec les informations d’identification de l’administrateur de domaine dans le domaine où le conteneur CN=Users est redirigé.

  2. Passez le domaine au niveau fonctionnel du domaine Windows Server 2003 ou plus récent dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory (Dsa.msc) ou dans le composant logiciel enfichable Domaines et approbations (Domains.msc). Pour plus d’informations sur l’augmentation du niveau fonctionnel du domaine, consultez Comment augmenter les niveaux fonctionnels de domaine et de forêt.

  3. Créez le conteneur d’unité d’organisation dans lequel vous souhaitez que les utilisateurs et les groupes créés avec des API de version antérieure se trouvent, si le conteneur d’unité d’organisation souhaité n’existe pas.

  4. Exécutez Redirusr.exe à l’invite de commandes à l’aide de la syntaxe suivante. Dans la commande, container-dn est le nom unique de l’unité d’organisation qui deviendra l’emplacement par défaut pour les objets utilisateur et de groupe nouvellement créés par les API de bas niveau :

    c:\windows\system32\redirusr container-dn

    Redirusr est installé dans le %SystemRoot%\System32 dossier sur des ordinateurs Windows Server 2003 ou ultérieurs. Par exemple, pour modifier l’emplacement par défaut pour les utilisateurs qui sont créés avec des API de bas niveau telles que l’utilisateur net vers le conteneur d’unité d’organisation OU=MYUsers dans le CONTOSO.COM domaine, utilisez la syntaxe suivante :

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Note

    Lorsque Redirusr.exe est exécuté pour rediriger le conteneur CN=Users vers une unité d’organisation spécifiée par un administrateur, le conteneur CN=Users ne sera plus un objet protégé. Cela signifie que le conteneur Utilisateurs peut maintenant être déplacé, supprimé ou renommé. Si vous utilisez ADSIEDIT pour afficher les attributs sur le conteneur CN=Users, vous verrez que l’attribut systemflags a été remplacé de -1946157056 à 0. C'est la procédure normale.

    Pour supprimer le conteneur, vous devez déplacer les utilisateurs et groupes par défaut vers d’autres unités d’organisation et conteneurs, ainsi que les comptes d’utilisateur d’approbation. Ces comptes d’approbation peuvent être affichés et déplacés à l’aide d’outils tels que LDIFDE et LDP. Nous vous recommandons de conserver le conteneur inchangé et les comptes par défaut en place pour la cohérence.

Rediriger CN=Computers vers une unité d’organisation spécifiée par l’administrateur

  1. Connectez-vous avec les informations d’identification de l’administrateur de domaine dans le domaine où le conteneur CN=computers est redirigé.

  2. Passez le domaine au domaine Windows Server 2003 dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory (Dsa.msc) ou dans le composant logiciel enfichable Domaines et approbations (Domains.msc). Pour plus d’informations sur l’augmentation du niveau fonctionnel du domaine, consultez Comment augmenter les niveaux fonctionnels de domaine et de forêt.

  3. Créez le conteneur d’unité d’organisation dans lequel vous souhaitez que les ordinateurs créés avec des API de version antérieure soient situés, si le conteneur d’unité d’organisation souhaité n’existe pas.

  4. Exécutez Redircmp.exe à une invite de commandes à l’aide de la syntaxe suivante. Dans la commande, container-dn est le nom unique de l’unité d’organisation qui deviendra l’emplacement par défaut pour les objets ordinateur nouvellement créés qui sont créés par des API de bas niveau :

    redircmp container-dn

    Redircmp.exe est installé dans le %Systemroot%\System32 dossier dans Windows Server 2003 ou versions ultérieures. Pour modifier l’emplacement par défaut d’un ordinateur créé avec des API antérieures, telles que Net Computer, sur le conteneur OU=MyComputers dans le domaine CONTOSO.COM, utilisez la syntaxe suivante :

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Note

    Lorsque Redircmp.exe est exécuté pour rediriger le conteneur CN=Computers vers une unité d’organisation spécifiée par un administrateur, le conteneur CN=Computers ne sera plus un objet protégé. Cela signifie que le conteneur Ordinateurs peut maintenant être déplacé, supprimé ou renommé. Si vous utilisez ADSIEDIT pour afficher les attributs sur le conteneur CN=Computers, vous verrez que l’attribut systemflags a été remplacé de -1946157056 à 0. C'est la procédure normale.

Description des messages d’erreur

Voici les messages d’erreur qui se produisent dans certains cas.

Messages d’erreur que vous recevez si le contrôleur de domaine principal est hors connexion

Redircmp et Redirusr modifient l’attribut wellKnownObjects sur le contrôleur de domaine principal (PDC). Si le contrôleur de domaine en cours de modification est hors connexion ou inaccessible, vous recevez les messages d’erreur suivants.

  • Message d’erreur 1 :

    C :>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Erreur, impossible de localiser le contrôleur de domaine principal pour le domaine actuel : le domaine spécifié n’existe pas ou n’a pas pu être contacté. La redirection n’a pas réussi.

  • Message d’erreur 2 :

    C :>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Erreur, impossible de localiser le contrôleur de domaine principal pour le domaine actuel : le domaine spécifié n’existe pas ou n’a pas pu être contacté. La redirection n’a pas réussi.

Messages d’erreur que vous recevez si le niveau fonctionnel du domaine n’est pas Windows Server 2003

Vous essayez de rediriger les utilisateurs ou l’unité d’organisation d’ordinateur dans un domaine qui n’a pas effectué la transition vers le niveau fonctionnel du domaine Windows Server 2003. Dans ce cas, vous recevez les messages d’erreur suivants :

  • Message d’erreur 1 :

    C :>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel de domaine du domaine est au moins Windows Server 2003 : Le refus d’effectuer la redirection n’a pas réussi.

  • Message d’erreur 2 :

    C :>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel de domaine du domaine est au moins Windows Server 2003 : Refuser d’effectuer

Messages d’erreur que vous recevez si vous vous connectez sans les autorisations requises

Si vous essayez de rediriger les utilisateurs ou l’unité d’organisation de l’ordinateur à l’aide d’informations d’identification incorrectes dans le domaine cible, vous pouvez recevoir les messages d’erreur suivants :

  • Message d’erreur 1

    C :>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel de domaine du domaine est au moins Windows Server 2003 : La redirection des droits insuffisants n’a pas réussi.

  • Message d’erreur 2 :

    C :>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel de domaine du domaine est au moins Windows Server 2003 : La redirection des droits insuffisants n’a pas réussi.

Messages d’erreur que vous recevez si vous redirigez vers une unité d’organisation qui n’existe pas

Vous essayez de rediriger les utilisateurs ou l’unité d’organisation de l’ordinateur vers une unité d’organisation qui n’existe pas. Dans ce cas, vous pouvez recevoir les messages d’erreur suivants :

  • Message d’erreur 1 :

    C :>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel de domaine du domaine est au moins Windows Server 2003 : Aucune redirection d’objet de ce type n’a réussi.

  • Message d’erreur 2 :

    C :>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel de domaine du domaine est au moins Windows Server 2003 : Aucune redirection d’objet de ce type n’a réussi.

Messages d’erreur que vous recevez dans exchange Server 2000 setup /domainprep lorsque CN=Users est redirigé

Si Exchange Server 2000 et Exchange Server 2003 setup /domainprep échouent, vous recevez le message d’erreur suivant :

Échec du programme d’installation lors de l’installation des autorisations au niveau du domaine de sous-composant avec le code d’erreur 0x80072030) (consultez les journaux d’installation pour obtenir une description détaillée). Vous pouvez annuler l’installation ou réessayer l’étape ayant échoué. (Réessayer / Annuler)

Les données suivantes s’affichent dans le journal d’installation d’Exchange Server 2000 analysé avec l’analyseur de journal. Exchange Server 2003 doit être similaire.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed