Delen via

De gebruikers- en computercontainers omleiden in Active Directory-domeinen

  • Artikel

U kunt redirusr en redircmp gebruiken om gebruikers-, computer- en groepsaccounts om te leiden die zijn gemaakt met eerdere API's. Ze worden dus in door de beheerder opgegeven organisatie-eenheidscontainers (OE) geplaatst.

Oorspronkelijk KB-nummer: 324949

Samenvatting

In een standaardinstallatie van een Active Directory-domein worden gebruikers-, computer- en groepsaccounts in CN=objectklassecontainers geplaatst in plaats van een meer wenselijke OE-klassecontainer. Op dezelfde manier worden de accounts die zijn gemaakt met behulp van eerdere API's, in de containers CN=Users en CN=computers geplaatst.

Belangrijk

Voor sommige toepassingen moeten specifieke beveiligingsprinciplen zich in standaardcontainers bevinden, zoals CN=Gebruikers of CN=Computers. Controleer of uw toepassingen dergelijke afhankelijkheden hebben voordat u ze uit de CN=gebruikers en CN=computes-containers verplaatst.

Meer informatie

Gebruikers, computers en groepen die zijn gemaakt door eerdere API's, plaatsen objecten in het DN-pad dat is opgegeven in het kenmerk WellKnownObjects. Het kenmerk WellKnownObjects bevindt zich in het nc-domeinhoofd. In het volgende codevoorbeeld ziet u de relevante paden in het kenmerk WellKnownObjects van de nc-head van het CONTOSO.COM-domein.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Voor de volgende bewerkingen worden bijvoorbeeld eerdere API's gebruikt, die afhankelijk zijn van de paden die zijn gedefinieerd in het kenmerk WellKnownObjects:

  • Gebruikersinterface voor domeindeelname
  • NET COMPUTER
  • NET GROUP
  • NET USER
  • NETDOM ADD, waarbij de /ou opdracht niet is opgegeven of ondersteund

Het is handig om de standaardcontainer te maken voor gebruikers-, computer- en beveiligingsgroepen om verschillende redenen, waaronder:

  • Groepsbeleidsregels kunnen worden toegepast op OE-containers, maar niet op CN-klassecontainers, waarbij standaard beveiligingsprinciplen worden geplaatst.

  • De aanbevolen procedure is om beveiligingsprinciplen te rangschikken in een OE-hiërarchie die uw organisatiestructuur, geografische indeling of beheermodel weerspiegelt.

Als u de mappen CN=Users and CN=Computers omleidt, moet u rekening houden met de volgende problemen:

  • Het doeldomein moet worden geconfigureerd om te worden uitgevoerd op het functionele niveau van het Windows Server 2003-domein of hoger. Voor het functionele domeinniveau van Windows Server 2003 betekent dit:

    • Windows Server 2003 ADPREP /FORESTPREP of hoger
    • Windows Server 2003 ADPREP /DOMAINPREP of hoger
    • Alle domeincontrollers in het doeldomein moeten Windows Server 2003 of hoger uitvoeren.
    • Het functionele domeinniveau van Windows Server 2003 of hoger moet zijn ingeschakeld.

  • In tegenstelling tot CN=USERS en CN=COMPUTERS, kunnen OE-containers per ongeluk worden verwijderd door bevoegde gebruikersaccounts, waaronder beheerders.

    CN=USERS and CN=COMPUTERS containers zijn door het systeem beveiligde objecten die niet kunnen en mogen niet worden verwijderd voor achterwaartse compatibiliteit. Maar ze kunnen worden hernoemd. Organisatie-eenheden zijn onderhevig aan onbedoelde structuurverwijderingen door beheerders.

    Windows Server 2008 en nieuwere versies van de module Active Directory een beveiligingsobject tegen onbedoeld verwijderen selectievakje dat u kunt selecteren wanneer u een nieuwe OE-container maakt. U kunt deze ook selecteren op het tabblad Object van het dialoogvenster Eigenschappen voor een bestaande OE-container.

  • Het omleiden van CN=USERS is van invloed op de standaardlocatie voor nieuwe gebruikers, groepen en vertrouwensgebruikersaccounts. Gebruikersaccounts vertrouwen zijn verborgen in de meeste gebruikersinterfacebeheerprogramma's, maar u kunt ze weergeven en verplaatsen in hulpprogramma's zoals LDIFDE en LDP. De CN van het account is <een downlevel domeinnaam>$, bijvoorbeeld 'contoso$'.

  • Als u fouten ondervindt bij het voorbereiden van Exchange Server Active Directory, controleert u of u de meest recente cumulatieve update en beveiligingsupdate uitvoert.

CN=Gebruikers omleiden naar een door de beheerder opgegeven organisatie-eenheid

  1. Meld u aan met domeinbeheerdersreferenties in het domein waar de container CN=Users wordt omgeleid.

  2. Het domein overschakelen naar het functionele domeinniveau van Windows Server 2003 of hoger in de module Active Directory (Dsa.msc) of de module Domains and Trusts (Domains.msc). Zie Domein- en forestfunctionaliteitsniveau verhogen voor meer informatie over het verhogen van het functionele niveau van het domein.

  3. Maak de OE-container waarin u wilt dat gebruikers en groepen die zijn gemaakt met eerdere API's, worden gevonden als de gewenste OE-container niet bestaat.

  4. Voer Redirusr.exe uit bij de opdrachtprompt met behulp van de volgende syntaxis. In de opdracht is container-dn de DN-naam van de organisatie-eenheid die de standaardlocatie wordt voor nieuw gemaakte gebruikers- en groepsobjecten die zijn gemaakt door API's op down-level:

    c:\windows\system32\redirusr container-dn

    Redirusr wordt geïnstalleerd in de %SystemRoot%\System32 map op Windows Server 2003-computers of nieuwere computers. Als u bijvoorbeeld de standaardlocatie wilt wijzigen voor gebruikers die zijn gemaakt met API's op een lager niveau, zoals Net User naar de OE=MYUsers OU-container in het CONTOSO.COM domein, gebruikt u de volgende syntaxis:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Notitie

    Wanneer Redirusr.exe wordt uitgevoerd om de CONTAINER CN=Users om te leiden naar een organisatie-eenheid die is opgegeven door een beheerder, is de container CN=Users geen beveiligd object meer. Dit betekent dat de container Gebruikers nu kan worden verplaatst, verwijderd of de naam ervan kan worden gewijzigd. Als u ADSIEDIT gebruikt om kenmerken weer te geven in de container CN=Users, ziet u dat het kenmerk systemflags is gewijzigd van -1946157056 in 0. Dit is standaard.

    Als u de container wilt verwijderen, moet u de standaardgebruikers en groepen verplaatsen naar andere organisatie-eenheden en containers, en ook de vertrouwensgebruikersaccounts. Deze vertrouwensaccounts kunnen worden weergegeven en verplaatst met behulp van hulpprogramma's zoals LDIFDE en LDP. We raden u aan de container ongewijzigd te houden en de standaardaccounts in te stellen voor consistentie.

CN=Computers omleiden naar een door de beheerder opgegeven organisatie-eenheid

  1. Meld u aan met domeinbeheerdersreferenties in het domein waar de container CN=computers wordt omgeleid.

  2. Overgang van het domein naar het Windows Server 2003-domein in de module Active Directory (Dsa.msc) of in de module Domains and Trusts (Domains.msc). Zie Domein- en forestfunctionaliteitsniveau verhogen voor meer informatie over het verhogen van het functionele niveau van het domein.

  3. Maak de OE-container waarin u wilt dat computers die zijn gemaakt met eerdere API's, worden opgeslagen als de gewenste OE-container niet bestaat.

  4. Voer Redircmp.exe uit bij een opdrachtprompt met behulp van de volgende syntaxis. In de opdracht is container-dn de DN-naam van de organisatie-eenheid die de standaardlocatie wordt voor nieuw gemaakte computerobjecten die worden gemaakt door API's op down-level:

    redircmp container-dn

    Redircmp.exe is geïnstalleerd in de %Systemroot%\System32 map in Windows Server 2003 of hoger. Als u de standaardlocatie wilt wijzigen voor een computer die is gemaakt met eerdere-versie-API's, zoals Net Computer, naar de OE=MyComputers-container in het CONTOSO.COM-domein, gebruikt u de volgende syntaxis:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Notitie

    Wanneer Redircmp.exe wordt uitgevoerd om de container CN=Computers om te leiden naar een organisatie-eenheid die is opgegeven door een beheerder, is de container CN=Computers geen beveiligd object meer. Dit betekent dat de container Computers nu kan worden verplaatst, verwijderd of de naam ervan kan worden gewijzigd. Als u ADSIEDIT gebruikt om kenmerken weer te geven in de container CN=Computers, ziet u dat het kenmerk systemflags is gewijzigd van -1946157056 in 0. Dit is standaard.

Beschrijving van foutberichten

Hier volgen foutberichten die zich in sommige gevallen voordoen.

Foutberichten die u ontvangt als de PDC offline is

Redircmp en Redirusr wijzigen het kenmerk WellKnownObjects op de primaire domeincontroller (PDC). Als de PDC van het domein dat wordt gewijzigd offline of niet toegankelijk is, ontvangt u de volgende foutberichten.

  • Foutbericht 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Fout: kan de primaire domeincontroller voor het huidige domein niet vinden: het opgegeven domein bestaat niet of kan geen contact worden gemaakt met de domeincontroller. De omleiding is niet gelukt.

  • Foutbericht 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Fout: kan de primaire domeincontroller voor het huidige domein niet vinden: het opgegeven domein bestaat niet of kan geen contact worden gemaakt met de domeincontroller. De omleiding is niet gelukt.

Foutberichten die u ontvangt als het functionele domeinniveau niet Windows Server 2003 is

U probeert de gebruikers of computer-OE om te leiden in een domein dat niet is overgezet naar het functionele niveau van het Windows Server 2003-domein. In deze situatie ontvangt u de volgende foutberichten:

  • Foutbericht 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fout, kan het kenmerk WellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Onwillig om omleiding uit te voeren is NIET geslaagd.

  • Foutbericht 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Fout, kan het kenmerk WellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Niet bereid om uit te voeren

Foutberichten die u ontvangt als u zich aanmeldt zonder de vereiste machtigingen

Als u de gebruikers- of computer-OE probeert om te leiden met behulp van onjuiste referenties in het doeldomein, ontvangt u mogelijk de volgende foutberichten:

  • Foutbericht 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Fout, kan het kenmerk WellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Onvoldoende rechtenomleiding is mislukt.

  • Foutbericht 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fout, kan het kenmerk WellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Onvoldoende rechtenomleiding is mislukt.

Foutberichten die u ontvangt als u omleidt naar een organisatie-eenheid die niet bestaat

U probeert de gebruikers of computer-OE om te leiden naar een organisatie-eenheid die niet bestaat. In deze situatie ontvangt u mogelijk de volgende foutberichten:

  • Foutbericht 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Fout, kan het kenmerk WellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Er is geen dergelijke objectomleiding geslaagd.

  • Foutbericht 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Fout, kan het kenmerk WellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Er is geen dergelijke objectomleiding geslaagd.

Foutberichten die u ontvangt in exchange Server 2000 setup /domainprep wanneer CN=Users wordt omgeleid

Als Exchange Server 2000 en Exchange Server 2003 setup /domainprep mislukt, ontvangt u het volgende foutbericht:

De installatie is mislukt tijdens het installeren van machtigingen op subonderdeeldomeinniveau met foutcode 0x80072030) (raadpleeg de installatielogboeken voor een gedetailleerde beschrijving). U kunt de installatie annuleren of de mislukte stap opnieuw proberen. (Opnieuw proberen/annuleren)

De volgende gegevens worden weergegeven in het installatielogboek van Exchange Server 2000 dat wordt geparseerd met logboekparser. Exchange Server 2003 moet vergelijkbaar zijn.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed