Udostępnij za pośrednictwem

Przekierowywanie kontenerów użytkowników i komputerów w domenach usługi Active Directory

  • Artykuł

Możesz użyć redirusr i redircmp, aby przekierować konta użytkowników, komputerów i grup, które są tworzone przez wcześniejsze interfejsy API wersji. Są więc umieszczane w kontenerach jednostki organizacyjnej określonej przez administratora.

Oryginalny numer KB: 324949

Podsumowanie

W domyślnej instalacji domeny usługi Active Directory, konta użytkownika, komputera i grupy są umieszczane w kontenerach CN=objectclass zamiast bardziej pożądanego kontenera klasy jednostki organizacyjnej. Podobnie konta utworzone przy użyciu wcześniejszych wersji interfejsów API są umieszczane w kontenerach CN=Users i CN=computers.

Ważne

Niektóre aplikacje wymagają, aby określone podmioty zabezpieczeń znajdowały się w domyślnych kontenerach, takich jak CN=Users lub CN=Computers. Przed przeniesieniem aplikacji z kontenerów CN=users i CN=computes sprawdź, czy aplikacje mają takie zależności.

Więcej informacji

Użytkownicy, komputery i grupy utworzone przez interfejsy API wcześniejszych wersji umieszczają obiekty w ścieżce DN określonej w atrybucie WellKnownObjects. Atrybut WellKnownObjects znajduje się w domenie nc head. Poniższy przykład kodu przedstawia odpowiednie ścieżki w atrybucie WellKnownObjects z CONTOSO.COM domeny nc head.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Na przykład następujące operacje używają interfejsów API wcześniejszych wersji, które opierają się na ścieżkach zdefiniowanych w atrybucie WellKnownObjects:

  • Interfejs użytkownika przyłączania do domeny
  • KOMPUTER NET
  • GRUPA NET
  • UŻYTKOWNIK PLATFORMY NET
  • NETDOM ADD, gdzie /ou polecenie nie jest określone lub obsługiwane

Warto ustawić domyślny kontener dla użytkowników, komputerów i grup zabezpieczeń jednostki organizacyjnej z kilku powodów, w tym:

  • Zasady grupy można stosować w kontenerach jednostki organizacyjnej, ale nie w kontenerach klasy CN, gdzie podmioty zabezpieczeń są domyślnie umieszczane.

  • Najlepszym rozwiązaniem jest rozmieszczenie podmiotów zabezpieczeń w hierarchię jednostki organizacyjnej, która odzwierciedla strukturę organizacyjną, układ geograficzny lub model administracyjny.

Jeśli przekierowujesz foldery CN=Users i CN=Computers, pamiętaj o następujących problemach:

  • Domena docelowa musi być skonfigurowana do uruchamiania na poziomie funkcjonalności domeny systemu Windows Server 2003 lub wyższym. W przypadku poziomu funkcjonalności domeny systemu Windows Server 2003 oznacza to, że:

    • Windows Server 2003 ADPREP /FORESTPREP lub nowszy
    • Windows Server 2003 ADPREP /DOMAINPREP lub nowszy
    • Wszystkie kontrolery domeny w domenie docelowej muszą działać w systemie Windows Server 2003 lub nowszym.
    • Należy włączyć poziom funkcjonalności domeny systemu Windows Server 2003 lub nowszy.

  • W przeciwieństwie do CN=USERS i CN=COMPUTERS, kontenery jednostki organizacyjnej podlegają przypadkowemu usunięciu przez uprzywilejowane konta użytkowników, w tym administratorów.

    CN=USERS i CN=COMPUTERS kontenery są obiektami chronionymi przez system, których nie można usunąć i nie można usunąć w celu zapewnienia zgodności z poprzednimi wersjami. Można je jednak zmienić. Jednostki organizacyjne podlegają przypadkowemu usunięciu drzewa przez administratorów.

    Windows Server 2008 i nowsze wersje przystawki Użytkownicy i komputery usługi Active Directory funkcji Chroń obiekt przed przypadkowym usunięciem pole wyboru, które można wybrać podczas tworzenia nowego kontenera jednostki organizacyjnej. Można go również wybrać na karcie Obiekt okna dialogowego Właściwości dla istniejącego kontenera jednostki organizacyjnej.

  • Przekierowywanie CN=USERS wpływa na domyślną lokalizację nowych użytkowników, grup i kont użytkowników zaufania. Konta użytkowników zaufania są ukryte w większości narzędzi administracyjnych interfejsu użytkownika, ale można je wyświetlać i przenosić w narzędziach, takich jak LDIFDE i LDP. Cn konta to <downlevel domain name>$, na przykład "contoso$".

  • Jeśli wystąpią błędy przygotowywania usługi Active Directory programu Exchange Server, upewnij się, że używasz najnowszej aktualizacji zbiorczej i aktualizacji zabezpieczeń.

Przekieruj CN=Users do jednostki organizacyjnej określonej przez administratora

  1. Zaloguj się przy użyciu poświadczeń administratora domeny w domenie, w której jest przekierowywany kontener CN=Users.

  2. Przejście domeny na poziom funkcjonalności domeny systemu Windows Server 2003 lub nowszy w przystawki Użytkownicy i komputery usługi Active Directory (Dsa.msc) lub domen i zaufania (Domains.msc) przystawki. Aby uzyskać więcej informacji na temat zwiększania poziomu funkcjonalności domeny, zobacz Jak podnieść poziomy funkcjonalności domeny i lasu.

  3. Utwórz kontener jednostki organizacyjnej, w którym mają znajdować się użytkownicy i grupy utworzone za pomocą interfejsów API wcześniejszych wersji, jeśli kontener jednostki organizacyjnej, którego chcesz nie mieć.

  4. Uruchom Redirusr.exe w wierszu polecenia, używając następującej składni. W poleceniu container-dn jest nazwą wyróżniającą jednostki organizacyjnej, która stanie się domyślną lokalizacją nowo utworzonych obiektów użytkowników i grup utworzonych przez interfejsy API na poziomie podrzędnym:

    c:\windows\system32\redirusr container-dn

    Program Redirusr jest instalowany w folderze %SystemRoot%\System32 na komputerach z systemem Windows Server 2003 lub nowszym. Aby na przykład zmienić domyślną lokalizację dla użytkowników, którzy są utworzeni przy użyciu interfejsów API na poziomie podrzędnym, takich jak Net User, do kontenera jednostki organizacyjnej OU=MYUsers w CONTOSO.COM domenie, użyj następującej składni:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Uwaga 16.

    Po uruchomieniu Redirusr.exe w celu przekierowania kontenera CN=Users do jednostki organizacyjnej określonej przez administratora kontener CN=Users nie będzie już obiektem chronionym. Oznacza to, że kontener Users można teraz przenieść, usunąć lub zmienić jego nazwę. Jeśli używasz funkcji ADSIEDIT do wyświetlania atrybutów w kontenerze CN=Users, zobaczysz, że atrybut systemflags został zmieniony z -1946157056 na 0. Jest to celowe.

    Aby usunąć kontener, musisz przenieść domyślnych użytkowników i grupy do innych jednostek organizacyjnych i kontenerów, a także kont użytkowników zaufania. Te konta zaufania można wyświetlać i przenosić przy użyciu narzędzi, takich jak LDIFDE i LDP. Zalecamy przechowywanie kontenera bez zmian i domyślnych kont w celu zapewnienia spójności.

Przekieruj CN=Computers do jednostki organizacyjnej określonej przez administratora

  1. Zaloguj się przy użyciu poświadczeń administratora domeny w domenie, w której jest przekierowywany kontener CN=computers.

  2. Przeniesienie domeny do domeny systemu Windows Server 2003 w przystawce Użytkownicy i komputery usługi Active Directory (Dsa.msc) lub w przystawce Domeny i zaufania (Domeny.msc). Aby uzyskać więcej informacji na temat zwiększania poziomu funkcjonalności domeny, zobacz Jak podnieść poziomy funkcjonalności domeny i lasu.

  3. Utwórz kontener jednostki organizacyjnej, na którym mają znajdować się komputery utworzone przy użyciu interfejsów API wcześniejszych wersji, jeśli żądany kontener jednostki organizacyjnej nie istnieje.

  4. Uruchom Redircmp.exe w wierszu polecenia, używając następującej składni. W poleceniu container-dn jest nazwą wyróżniającą jednostki organizacyjnej, która stanie się domyślną lokalizacją nowo utworzonych obiektów komputerów utworzonych przez interfejsy API na poziomie podrzędnym:

    redircmp container-dn

    Redircmp.exe jest instalowany w %Systemroot%\System32 folderze w systemie Windows Server 2003 lub nowszym. Aby zmienić domyślną lokalizację komputera utworzonego przy użyciu interfejsów API wcześniejszych wersji, takich jak komputer net, na kontener OU=MyComputers w domenie CONTOSO.COM, użyj następującej składni:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Uwaga 16.

    Po uruchomieniu Redircmp.exe w celu przekierowania kontenera CN=Computers do jednostki organizacyjnej określonej przez administratora kontener CN=Computers nie będzie już obiektem chronionym. Oznacza to, że kontener Komputery można teraz przenieść, usunąć lub zmienić nazwę. Jeśli używasz narzędzia ADSIEDIT do wyświetlania atrybutów w kontenerze CN=Computers, zobaczysz, że atrybut systemflags został zmieniony z -1946157056 na 0. Jest to celowe.

Opis komunikatów o błędach

Oto komunikaty o błędach występujące w niektórych przypadkach.

Komunikaty o błędach wyświetlane, jeśli kontroler PDC jest w trybie offline

Redircmp i Redirusr zmieniają atrybut wellKnownObjects na podstawowym kontrolerze domeny (PDC). Jeśli kontroler PDC domeny, która jest zmieniana, jest w trybie offline lub niedostępny, zostaną wyświetlone następujące komunikaty o błędach.

  • Komunikat o błędzie 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Błąd, nie można zlokalizować podstawowego kontrolera domeny dla bieżącej domeny: określona domena nie istnieje lub nie można się skontaktować. Przekierowanie nie powiodło się.

  • Komunikat o błędzie 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Błąd, nie można zlokalizować podstawowego kontrolera domeny dla bieżącej domeny: określona domena nie istnieje lub nie można się skontaktować. Przekierowanie nie powiodło się.

Komunikaty o błędach, które są wyświetlane, jeśli poziom funkcjonalności domeny nie jest systemem Windows Server 2003

Spróbuj przekierować użytkowników lub jednostki organizacyjnej komputera w domenie, która nie została przeniesiona na poziom funkcjonalności domeny systemu Windows Server 2003. W takiej sytuacji są wyświetlane następujące komunikaty o błędach:

  • Komunikat o błędzie 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Błąd, nie można zmodyfikować atrybutu wellKnownObjects. Sprawdź, czy poziom funkcjonalności domeny domeny to co najmniej Windows Server 2003: Niechętne do wykonania przekierowania nie powiodło się.

  • Komunikat o błędzie 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Błąd, nie można zmodyfikować atrybutu wellKnownObjects. Sprawdź, czy poziom funkcjonalności domeny domeny to co najmniej Windows Server 2003: Nie chcesz wykonywać

Komunikaty o błędach wyświetlane po zalogowaniu się bez wymaganych uprawnień

Jeśli spróbujesz przekierować użytkowników lub jednostki organizacyjnej komputera przy użyciu nieprawidłowych poświadczeń w domenie docelowej, mogą zostać wyświetlone następujące komunikaty o błędach:

  • Komunikat o błędzie 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Błąd, nie można zmodyfikować atrybutu wellKnownObjects. Sprawdź, czy poziom funkcjonalności domeny domeny jest co najmniej Windows Server 2003: Niewystarczające przekierowanie praw nie powiodło się.

  • Komunikat o błędzie 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Błąd, nie można zmodyfikować atrybutu wellKnownObjects. Sprawdź, czy poziom funkcjonalności domeny domeny jest co najmniej Windows Server 2003: Niewystarczające przekierowanie praw nie powiodło się.

Komunikaty o błędach wyświetlane w przypadku przekierowania do jednostki organizacyjnej, która nie istnieje

Spróbujesz przekierować użytkowników lub jednostkę organizacyjną komputera do jednostki organizacyjnej, która nie istnieje. W takiej sytuacji mogą zostać wyświetlone następujące komunikaty o błędach:

  • Komunikat o błędzie 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Błąd, nie można zmodyfikować atrybutu wellKnownObjects. Sprawdź, czy poziom funkcjonalności domeny domeny to co najmniej Windows Server 2003: Nie powiodło się żadne przekierowanie takiego obiektu.

  • Komunikat o błędzie 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Błąd, nie można zmodyfikować atrybutu wellKnownObjects. Sprawdź, czy poziom funkcjonalności domeny domeny to co najmniej Windows Server 2003: Nie powiodło się żadne przekierowanie takiego obiektu.

Komunikaty o błędach, które są wyświetlane w instalacji programu Exchange Server 2000 /domainprep, gdy cn=Users jest przekierowywany

Jeśli programy Exchange Server 2000 i Exchange Server 2003 setup /domainprep nie powiedzie się, zostanie wyświetlony następujący komunikat o błędzie:

Instalacja nie powiodła się podczas instalowania uprawnień na poziomie domeny podrzędnej z kodem błędu 0x80072030) (zapoznaj się z dziennikami instalacji, aby uzyskać szczegółowy opis). Możesz anulować instalację lub ponowić próbę nieudanego kroku. (Ponów próbę/ Anuluj)

Następujące dane są wyświetlane w dzienniku instalacji programu Exchange Server 2000, który jest analizowany za pomocą analizatora dzienników. Program Exchange Server 2003 powinien być podobny.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed