Поделиться через

Перенаправление контейнеров пользователей и компьютеров в доменах Active Directory

  • Статья

Вы можете использовать redirusr и redircmp для перенаправления учетных записей пользователей, компьютеров и групп, созданных API более ранней версии. Поэтому они помещаются в контейнеры подразделений, указанных администратором.

Исходный номер базы знаний: 324949

Итоги

При установке домена Active Directory, пользователя, компьютера и группы учетные записи по умолчанию помещаются в контейнеры CN=objectclass вместо контейнера класса OU. Аналогичным образом учетные записи, созданные с помощью API более ранней версии, помещаются в контейнеры CN=Users и CN=computers.

Внимание

Для некоторых приложений требуется, чтобы определенные субъекты безопасности находились в контейнерах по умолчанию, таких как CN=Users или CN=Computers. Убедитесь, что у ваших приложений есть такие зависимости перед их перемещением из контейнеров CN=users и CN=computes.

Дополнительная информация

Пользователи, компьютеры и группы, созданные API более ранней версии, размещают объекты в пути DN, указанном в атрибуте WellKnownObjects. Атрибут WellKnownObjects находится в голове домена NC. В следующем примере кода показаны соответствующие пути в атрибуте WellKnownObjects из головы домена CONTOSO.COM.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Например, следующие операции используют API более ранней версии, которые зависят от путей, определенных в атрибуте WellKnownObjects:

  • Пользовательский интерфейс присоединения к домену
  • NET COMPUTER
  • NET GROUP
  • NET USER
  • NETDOM ADD, где команда не указана /ou или поддерживается

Полезно сделать контейнер по умолчанию для пользователей, компьютеров и групп безопасности подразделением по нескольким причинам, в том числе:

  • Групповые политики можно применять к контейнерам подразделений, но не к контейнерам классов CN, где субъекты безопасности помещаются по умолчанию.

  • Рекомендуется упорядочить субъекты безопасности в иерархию подразделений, которая отражает структуру организации, географический макет или модель администрирования.

Если вы перенаправляете папки CN=Users и CN=Computers, помните о следующих проблемах:

  • Целевой домен должен быть настроен для запуска на уровне функциональности домена Windows Server 2003 или более поздней версии. Для функционального уровня домена Windows Server 2003 это означает:

    • Windows Server 2003 ADPREP /FORESTPREP или более поздней версии
    • Windows Server 2003 ADPREP /DOMAINPREP или более поздней версии
    • Все контроллеры домена в целевом домене должны работать под управлением Windows Server 2003 или более поздней версии.
    • Необходимо включить функциональный уровень домена Windows Server 2003 или более поздней версии.

  • В отличие от CN=USERS и CN=COMPUTERS контейнеры подразделений подвергаются случайному удалению привилегированными учетными записями пользователей, включая администраторов.

    CN=USERS и CN=COMPUTERS контейнеры являются защищенными системой объектами, которые не могут и не должны быть удалены для обратной совместимости. Но их можно переименовать. Подразделения подвергаются случайному удалению деревьев администраторами.

    Windows Server 2008 и более поздних версий оснастки Пользователи и компьютеры Active Directory установите флажок "Защита от случайного удаления", который можно выбрать при создании нового контейнера подразделения. Вы также можете выбрать его на вкладке "Объект " диалогового окна "Свойства " для существующего контейнера подразделения.

  • Перенаправление CN=USERS влияет на расположение по умолчанию для новых пользователей, групп и доверенных учетных записей пользователей. Учетные записи пользователей доверия скрыты в большинстве средств администрирования пользовательского интерфейса, но их можно отображать и перемещать в таких средствах, как LDIFDE и LDP. CN учетной записи ниже <уровня доменного имени>$, например contoso$.

  • Если возникают сбои подготовки Exchange Server Active Directory, убедитесь, что выполняется последнее накопительное обновление и обновление системы безопасности.

Перенаправление CN=Users в указанное администратором подразделение

  1. Войдите с учетными данными администратора домена в домене, где перенаправляется контейнер CN=Users.

  2. Переключите домен на функциональный уровень домена Windows Server 2003 или более поздней версии в оснастке Пользователи и компьютеры Active Directory (Dsa.msc) или в оснастке "Домены и отношения доверия" (Domains.msc). Дополнительные сведения о повышении функционального уровня домена см. в статье "Как повысить уровень функциональности домена и леса".

  3. Создайте контейнер подразделения, в котором требуется, чтобы пользователи и группы, созданные с помощью API более ранней версии, находились, если нужный контейнер подразделения не существует.

  4. Запустите Redirusr.exe в командной строке с помощью следующего синтаксиса. В команде container-dn — это различающееся имя подразделения, которое станет расположением по умолчанию для только что созданных пользователей и групп объектов, созданных API нижнего уровня:

    c:\windows\system32\redirusr container-dn

    Redirusr устанавливается в папку %SystemRoot%\System32 на компьютерах под управлением Windows Server 2003 или более новых версий. Например, чтобы изменить расположение по умолчанию для пользователей, созданных с помощью API нижнего уровня, таких как Net User, на контейнер подразделения OU=MYUsers в CONTOSO.COM домене, используйте следующий синтаксис:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Примечание.

    Когда Redirusr.exe выполняется для перенаправления контейнера CN=Users в подразделение, указанное администратором, контейнер CN=Users больше не будет защищенным объектом. Это означает, что контейнер "Пользователи" теперь можно переместить, удалить или переименовать. Если вы используете ADSIEDIT для просмотра атрибутов в контейнере CN=Users, вы увидите, что атрибут systemflags был изменен с -1946157056 на 0. Это сделано намеренно.

    Чтобы удалить контейнер, необходимо переместить пользователей и группы по умолчанию в другие подразделения и контейнеры, а также учетные записи пользователей доверия. Эти учетные записи доверия можно отображать и перемещать с помощью таких средств, как LDIFDE и LDP. Мы рекомендуем сохранить контейнер без изменений и учетные записи по умолчанию для согласованности.

Перенаправление CN=Компьютеры в указанное администратором подразделение

  1. Войдите с помощью учетных данных администратора домена в домене, где перенаправляется контейнер CN=computers.

  2. Переключите домен на домен Windows Server 2003 в оснастке Пользователи и компьютеры Active Directory (Dsa.msc) или в оснастке "Домены и отношения доверия" (Domain.msc). Дополнительные сведения о повышении функционального уровня домена см. в статье "Как повысить уровень функциональности домена и леса".

  3. Создайте контейнер подразделения, в котором требуется, чтобы компьютеры, созданные с помощью API более ранней версии, находились, если нужный контейнер подразделения не существует.

  4. Запустите Redircmp.exe в командной строке с помощью следующего синтаксиса. В команде container-dn — это различающееся имя подразделения, которое станет расположением по умолчанию для вновь созданных объектов компьютеров, созданных api нижнего уровня:

    redircmp container-dn

    Redircmp.exe устанавливается в папке %Systemroot%\System32 в Windows Server 2003 или более поздних версиях. Чтобы изменить расположение по умолчанию для компьютера, созданного с помощью API более ранней версии, например Net Computer, на контейнер OU=MyComputers в домене CONTOSO.COM, используйте следующий синтаксис:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Примечание.

    Когда Redircmp.exe выполняется для перенаправления контейнера CN=Computers в подразделение, указанное администратором, контейнер CN=Computers больше не будет защищенным объектом. Это означает, что контейнер "Компьютеры" теперь можно переместить, удалить или переименовать. Если вы используете ADSIEDIT для просмотра атрибутов в контейнере CN=Computers, вы увидите, что атрибут systemflags был изменен с -1946157056 на 0. Это сделано намеренно.

Описание сообщений об ошибках

Ниже приведены сообщения об ошибках, которые происходят в некоторых случаях.

Сообщения об ошибках, которые вы получаете, если PDC находится в автономном режиме

Redircmp и Redirusr изменяют атрибут wellKnownObjects на основном контроллере домена (PDC). Если PDC домена, который изменяется, находится в автономном режиме или недоступно, вы получите следующие сообщения об ошибках.

  • Сообщение об ошибке 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Ошибка, не удалось найти основной контроллер домена для текущего домена: указанный домен либо не существует, либо не удалось связаться. Перенаправление не было успешным.

  • Сообщение об ошибке 2.

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Ошибка, не удалось найти основной контроллер домена для текущего домена: указанный домен либо не существует, либо не удалось связаться. Перенаправление не было успешным.

Сообщения об ошибках, которые вы получаете, если уровень работы домена не является Windows Server 2003

Вы пытаетесь перенаправить пользователей или подразделения компьютера в домене, который не переключился на функциональный уровень домена Windows Server 2003. В этом случае вы получите следующие сообщения об ошибках:

  • Сообщение об ошибке 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень функциональности домена по крайней мере является Windows Server 2003: нежелание выполнять перенаправление не удалось.

  • Сообщение об ошибке 2.

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень функциональности домена не менее Windows Server 2003: нежелание выполнять

Сообщения об ошибках, полученные при входе без необходимых разрешений

Если вы пытаетесь перенаправить пользователей или подразделения компьютера с помощью неверных учетных данных в целевом домене, могут появиться следующие сообщения об ошибках:

  • Сообщение об ошибке 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень функциональности домена не ниже Windows Server 2003: недостаточно перенаправления прав не выполнено.

  • Сообщение об ошибке 2.

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень функциональности домена не ниже Windows Server 2003: недостаточно перенаправления прав не выполнено.

Сообщения об ошибках, полученные при перенаправлении в подразделение, которое не существует

Вы пытаетесь перенаправить пользователей или компьютер в подразделение, которое не существует. В этой ситуации могут появиться следующие сообщения об ошибках:

  • Сообщение об ошибке 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень функциональности домена по крайней мере является Windows Server 2003: не удалось выполнить перенаправление таких объектов.

  • Сообщение об ошибке 2.

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень функциональности домена по крайней мере является Windows Server 2003: не удалось выполнить перенаправление таких объектов.

Сообщения об ошибках, которые вы получаете в exchange Server 2000 установки /domainprep при перенаправлении CN=Users

Если Exchange Server 2000 и Exchange Server 2003 setup /domainprep неудачно, вы получите следующее сообщение об ошибке:

Сбой установки при установке разрешений на уровне домена подкомпонента с кодом ошибки 0x80072030) (обратитесь к журналам установки для получения подробного описания). Вы можете отменить установку или повторить неудачный шаг. (Повторная попытка или отмена)

Следующие данные отображаются в журнале установки Exchange Server 2000, который анализируется с помощью средства синтаксического анализа журналов. Exchange Server 2003 должен быть похож.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed