Redirecionar os contêineres de usuários e computadores em domínios do Active Directory
Você pode usar redirusr e redircmp para redirecionar contas de usuário, computador e grupo criadas por APIs de versões anteriores. Portanto, eles são colocados em contêineres de unidade organizacional (UO) especificados pelo administrador.
Número original do KB: 324949
Resumo
Em uma instalação padrão de um domínio do Active Directory, as contas de usuário, computador e grupo são colocadas em contêineres CN=objectclass em vez de um contêiner de classe UO mais desejável. Da mesma forma, as contas que foram criadas usando APIs de versão anterior são colocadas nos contêineres CN=Users e CN=computers.
Importante
Alguns aplicativos exigem que entidades de segurança específicas estejam localizadas em contêineres padrão, como CN=Users ou CN=Computers. Verifique se seus aplicativos têm essas dependências antes de movê-los para fora dos contêineres CN=users e CN=computes.
Mais informações
Usuários, computadores e grupos criados por APIs de versões anteriores colocam objetos no caminho DN especificado no atributo WellKnownObjects. O atributo WellKnownObjects está localizado no cabeçalho NC do domínio. O exemplo de código a seguir mostra os caminhos relevantes no atributo WellKnownObjects do cabeçalho NC do domínio CONTOSO.COM.
Dn: DC=CONTOSO,DC=COM
wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;
Por exemplo, as operações a seguir usam APIs de versão anterior, que dependem dos caminhos definidos no atributo WellKnownObjects:
- Interface do usuário de ingresso no domínio
- COMPUTADOR NET
- GRUPO NET
- USUÁRIO NET
- NETDOM ADD, onde o
/oucomando não é especificado ou suportado
É útil tornar o contêiner padrão para grupos de usuário, computador e segurança uma UO por vários motivos, incluindo:
As políticas de grupo podem ser aplicadas em contêineres de UO, mas não em contêineres de classe CN, em que as entidades de segurança são colocadas por padrão.
A prática recomendada é organizar as entidades de segurança em uma hierarquia de UO que reflita sua estrutura organizacional, layout geográfico ou modelo de administração.
Se você estiver redirecionando as pastas CN=Users e CN=Computers, esteja ciente dos seguintes problemas:
O domínio de destino deve ser configurado para ser executado no nível funcional de domínio do Windows Server 2003 ou superior. Para o nível funcional de domínio do Windows Server 2003, isso significa que:
- Windows Server 2003
ADPREP /FORESTPREPou mais recente - Windows Server 2003
ADPREP /DOMAINPREPou mais recente - Todos os controladores de domínio no domínio de destino devem executar o Windows Server 2003 ou mais recente.
- O nível funcional de domínio do Windows Server 2003 ou superior deve estar habilitado.
- Windows Server 2003
Ao contrário de CN=USERS e CN=COMPUTERS, os contêineres de UO estão sujeitos a exclusões acidentais por contas de usuário privilegiadas, incluindo administradores.
Os contêineres CN=USERS e CN=COMPUTERS são objetos protegidos pelo sistema que não podem e não devem ser removidos para compatibilidade com versões anteriores. Mas eles podem ser renomeados. As unidades organizacionais estão sujeitas a exclusões acidentais de árvores pelos administradores.
O Windows Server 2008 e versões mais recentes do snap-in Usuários e Computadores do Active Directory apresentam uma caixa de seleção Proteger objeto contra exclusão acidental que você pode marcar ao criar um novo contêiner de UO. Você também pode selecioná-lo na guia Objeto da caixa de diálogo Propriedades de um contêiner de UO existente.
O redirecionamento CN=USERS afeta o local padrão para novos usuários, grupos e contas de usuário confiáveis. As contas de usuário de confiança estão ocultas na maioria das ferramentas de administração da interface do usuário, mas você pode mostrá-las e movê-las em ferramentas como LDIFDE e LDP. O CN da conta é <o nome> de domínio de nível inferior$, por exemplo, "contoso$".
Se você tiver falhas de preparação do Exchange Server Active Directory, verifique se está executando a atualização cumulativa e a atualização de segurança mais recentes.
Redirecionar CN=Usuários para uma UO especificada pelo administrador
Faça logon com credenciais de administrador de domínio no domínio para o qual o contêiner CN=Users está sendo redirecionado.
Faça a transição do domínio para o nível funcional de domínio do Windows Server 2003 ou mais recente no snap-in Usuários e Computadores do Active Directory (Dsa.msc) ou no snap-in Domínios e Relações de Confiança (Domains.msc). Para obter mais informações sobre como aumentar o nível funcional do domínio, consulte Como aumentar os níveis funcionais do domínio e da floresta.
Crie o contêiner de UO em que você deseja que os usuários e grupos criados com APIs de versão anterior sejam localizados, se o contêiner de UO desejado não existir.
Execute Redirusr.exe no prompt de comando usando a sintaxe a seguir. No comando, container-dn é o nome distinto da UO que se tornará o local padrão para objetos de usuário e grupo recém-criados criados por APIs de nível inferior:
c:\windows\system32\redirusr container-dnO Redirusr é instalado na
%SystemRoot%\System32pasta em computadores baseados no Windows Server 2003 ou mais recentes. Por exemplo, para alterar o local padrão para usuários criados com APIs de nível inferior, como Net User, para o contêiner OU=MYUsers OU noCONTOSO.COMdomínio, use a seguinte sintaxe:c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=comObservação
Quando Redirusr.exe é executado para redirecionar o contêiner CN=Users para uma UO especificada por um administrador, o contêiner CN=Users não será mais um objeto protegido. Isso significa que o contêiner Usuários agora pode ser movido, excluído ou renomeado. Se você usar ADSIEDIT para exibir atributos no contêiner CN=Users, verá que o atributo systemflags foi alterado de -1946157056 para 0. Isso ocorre por design.
Para excluir o contêiner, você precisa mover os usuários e grupos padrão para outras UOs e contêineres, e também as contas de usuário confiáveis. Essas contas fiduciárias podem ser mostradas e movidas usando ferramentas como LDIFDE e LDP. Recomendamos manter o contêiner inalterado e as contas padrão em vigor para manter a consistência.
Redirecionar CN=Computadores para uma UO especificada pelo administrador
Faça logon com credenciais de Administrador de Domínio no domínio para o qual o contêiner CN=computers está sendo redirecionado.
Faça a transição do domínio para o domínio do Windows Server 2003 no snap-in Usuários e Computadores do Active Directory (Dsa.msc) ou no snap-in Domínios e Relações de Confiança (Domains.msc). Para obter mais informações sobre como aumentar o nível funcional do domínio, consulte Como aumentar os níveis funcionais do domínio e da floresta.
Crie o contêiner da UO em que você deseja que os computadores criados com APIs de versão anterior sejam localizados, se o contêiner da UO desejado não existir.
Execute Redircmp.exe em um prompt de comando usando a sintaxe a seguir. No comando, container-dn é o nome distinto da UO que se tornará o local padrão para objetos de computador recém-criados criados por APIs de nível inferior:
redircmp container-dnRedircmp.exe é instalado na
%Systemroot%\System32pasta no Windows Server 2003 ou versões posteriores. Para alterar o local padrão de um computador criado com APIs de versão anterior, como Computador de Rede, para o contêiner OU=MyComputers no domínio CONTOSO.COM, use a seguinte sintaxe:C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=comObservação
Quando Redircmp.exe é executado para redirecionar o contêiner CN=Computers para uma UO especificada por um administrador, o contêiner CN=Computers não será mais um objeto protegido. Isso significa que o contêiner Computadores agora pode ser movido, excluído ou renomeado. Se você usar ADSIEDIT para exibir atributos no contêiner CN=Computers, verá que o atributo systemflags foi alterado de -1946157056 para 0. Isso ocorre por design.
Descrição das mensagens de erro
Aqui estão as mensagens de erro que ocorrem em alguns casos.
Mensagens de erro que você recebe se o PDC estiver offline
Redircmp e Redirusr alteram o atributo wellKnownObjects no controlador de domínio primário (PDC). Se o PDC do domínio que está sendo alterado estiver offline ou inacessível, você receberá as seguintes mensagens de erro.
Mensagem de erro 1:
C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com
Erro, não foi possível localizar o Controlador de Domínio Primário para o domínio atual: o domínio especificado não existe ou não pôde ser contatado. O redirecionamento NÃO foi bem-sucedido.
Mensagem de erro 2:
C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc
Erro, não foi possível localizar o Controlador de Domínio Primário para o domínio atual: o domínio especificado não existe ou não pôde ser contatado. O redirecionamento NÃO foi bem-sucedido.
Mensagens de erro que você receberá se o nível funcional do domínio não for Windows Server 2003
Você tenta redirecionar os usuários ou a UO do computador em um domínio que não fez a transição para o nível funcional de domínio do Windows Server 2003. Nessa situação, você recebe as seguintes mensagens de erro:
Mensagem de erro 1:
C:>redirusr OU=usersou,DC=contoso,dc=comDC=empresa,DC=com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio é pelo menos Windows Server 2003: Não está disposto a executar o redirecionamento NÃO foi bem-sucedido.
Mensagem de erro 2:
C:>redircmp ou=computersou,DC=contoso,dc=comdc=empresa,dc=com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio é pelo menos Windows Server 2003: não está disposto a executar
Mensagens de erro que você receberá se fizer logon sem as permissões necessárias
Se você tentar redirecionar os usuários ou a UO do computador usando credenciais incorretas no domínio de destino, poderá receber as seguintes mensagens de erro:
Mensagem de erro 1
C:>redircmp OU=computersou,DC=contoso,dc=comDC=empresa,DC=com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio é pelo menos Windows Server 2003: o redirecionamento de direitos insuficiente NÃO foi bem-sucedido.
Mensagem de erro 2:
C:>redirusr OU=usersou,DC=contoso,dc=comDC=empresa,DC=com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio é pelo menos Windows Server 2003: o redirecionamento de direitos insuficiente NÃO foi bem-sucedido.
Mensagens de erro que você receberá se redirecionar para uma UO que não existe
Você tenta redirecionar os usuários ou a UO do computador para uma UO que não existe. Nessa situação, você pode receber as seguintes mensagens de erro:
Mensagem de erro 1:
C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio é pelo menos Windows Server 2003: Nenhum redirecionamento de objeto NÃO foi bem-sucedido.
Mensagem de erro 2:
C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=empresa,DC=com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio é pelo menos Windows Server 2003: Nenhum redirecionamento de objeto NÃO foi bem-sucedido.
Mensagens de erro que você recebe na instalação /domainprep do Exchange Server 2000 quando CN=Users é redirecionado
Se o Exchange Server 2000 e o Exchange Server 2003 setup /domainprep não forem bem-sucedidos, você receberá a seguinte mensagem de erro:
Falha na instalação do subcomponente Permissões de nível de domínio com código de erro 0x80072030) (consulte os logs de instalação para obter uma descrição detalhada). Você pode cancelar a instalação ou tentar a etapa com falha novamente. (Tentar novamente / Cancelar)
Os dados a seguir aparecem no log de instalação do Exchange Server 2000 que é analisado com o analisador de log. O Exchange Server 2003 deve ser semelhante.
[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed