Dela via


Omdirigera användare och datorcontainrar i Active Directory-domäner

Du kan använda redirusr och redircmp för att omdirigera användar-, dator- och gruppkonton som skapas av TIDIGARE API:er. De placeras därför i OU-containrar (admin-specificerade organisationsenheter).

Ursprungligt KB-nummer: 324949

Sammanfattning

I en standardinstallation av en Active Directory-domän placeras användar-, dator- och gruppkonton i CN=objectclass-containrar i stället för en mer önskvärd OU-klasscontainer. På samma sätt placeras de konton som skapades med hjälp av API:er i tidigare version i containrarna CN=Users och CN=computers.

Viktigt!

Vissa program kräver att specifika säkerhetsobjekt finns i standardcontainrar som CN=Users eller CN=Computers. Kontrollera att dina program har sådana beroenden innan du flyttar dem från containrarna CN=users och CN=computes.

Mer information

Användare, datorer och grupper som skapats av API:er i tidigare version placerar objekt i DN-sökvägen som anges i attributet WellKnownObjects. Attributet WellKnownObjects finns i domänens NC-huvud. I följande kodexempel visas relevanta sökvägar i attributet WellKnownObjects från CONTOSO.COM domänens NC-huvud.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Följande åtgärder använder till exempel API:er i tidigare version, som förlitar sig på sökvägarna som definieras i attributet WellKnownObjects:

  • Användargränssnitt för domänanslutning
  • NET-DATOR
  • NET GROUP
  • NET-ANVÄNDARE
  • NETDOM ADD, där /ou kommandot antingen inte har angetts eller stöds

Det är användbart att göra standardcontainern för användar-, dator- och säkerhetsgrupper till en organisationsenhet av flera skäl, bland annat:

  • Grupprinciper kan tillämpas på OU-containrar men inte på CN-klasscontainrar, där säkerhetsobjekt anges som standard.

  • Det bästa sättet är att ordna säkerhetsobjekt i en organisationsenhetshierarki som speglar din organisationsstruktur, geografiska layout eller administrationsmodell.

Om du omdirigerar mapparna CN=Users och CN=Computers bör du vara medveten om följande problem:

  • Måldomänen måste konfigureras för att köras på windows Server 2003-domänens funktionsnivå eller högre. För windows Server 2003-domänens funktionsnivå innebär det att:

    • Windows Server 2003 ADPREP /FORESTPREP eller senare
    • Windows Server 2003 ADPREP /DOMAINPREP eller senare
    • Alla domänkontrollanter i måldomänen måste köra Windows Server 2003 eller senare.
    • Windows Server 2003-domänens funktionsnivå eller högre måste vara aktiverad.
  • Till skillnad från CN=USERS och CN=COMPUTERS kan OU-containrar oavsiktligt tas bort av privilegierade användarkonton, inklusive administratörer.

    CN=USERS och CN=COMPUTERS-containrar är systemskyddade objekt som inte kan och får inte tas bort för bakåtkompatibilitet. Men de kan byta namn. Organisationsenheter omfattas av oavsiktliga trädborttagningar av administratörer.

    Windows Server 2008 och nyare versioner av Active Directory - användare och datorer snapin-funktionen ett Skydda objekt mot oavsiktlig borttagning kryssruta som du kan välja när du skapar en ny OU-container. Du kan också välja den på fliken Objekt i dialogrutan Egenskaper för en befintlig OU-container.

  • Omdirigering av CN=USERS påverkar standardplatsen för nya användare, grupper och betrodda användarkonton. Betrodda användarkonton är dolda i de flesta administrationsverktyg för användargränssnittet, men du kan visa och flytta dem i verktyg som LDIFDE och LDP. Kontots CN är <ett domännamn> på nednivå$, till exempel "contoso$".

  • Om du får problem med att förbereda Exchange Server Active Directory kontrollerar du att du kör den senaste kumulativa uppdateringen och säkerhetsuppdateringen.

Omdirigera CN=Användare till en administratörsspecifik organisationsenhet

  1. Logga in med domänadministratörsautentiseringsuppgifter i domänen där containern CN=Users omdirigeras.

  2. Övergå domänen till windows Server 2003-domänens funktionsnivå eller senare i snapin-modulen Active Directory - användare och datorer (Dsa.msc) eller snapin-modulen Domäner och förtroenden (Domains.msc). Mer information om hur du ökar domänfunktionsnivån finns i Så här höjer du domän- och skogsfunktionsnivåer.

  3. Skapa OU-containern där du vill att användare och grupper som skapas med TIDIGARE API:er ska finnas, om den OU-container som du vill använda inte finns.

  4. Kör Redirusr.exe i kommandotolken med hjälp av följande syntax. I kommandot är container-dn det unika namnet på organisationsenheten som blir standardplatsen för nyligen skapade användar- och gruppobjekt som skapats av API:er på nednivå:

    c:\windows\system32\redirusr container-dn
    

    Redirusr installeras i %SystemRoot%\System32 mappen på Windows Server 2003-baserade eller nyare datorer. Om du till exempel vill ändra standardplatsen för användare som har skapats med API:er på nednivå, till exempel Net User till OU=MYUsers OU-containern i domänen CONTOSO.COM , använder du följande syntax:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Kommentar

    När Redirusr.exe körs för att omdirigera containern CN=Users till en organisationsenhet som angetts av en administratör är containern CN=Users inte längre ett skyddat objekt. Det innebär att containern Användare nu kan flyttas, tas bort eller byta namn. Om du använder ADSIEDIT för att visa attribut i containern CN=Users ser du att attributet systemflags har ändrats från -1946157056 till 0. Det här är avsiktligt.

    Om du vill ta bort containern måste du flytta ut standardanvändarna och grupperna till andra organisationsenheter och containrar, och även kontona för betrodda användarkonton. Dessa förtroendekonton kan visas och flyttas med hjälp av verktyg som LDIFDE och LDP. Vi rekommenderar att containern hålls oförändrad och att standardkontona är på plats för konsekvens.

Omdirigera CN=Datorer till en administratörsspecifik organisationsenhet

  1. Logga in med autentiseringsuppgifter för domänadministratör i domänen där containern CN=computers omdirigeras.

  2. Övergå domänen till Windows Server 2003-domänen i snapin-modulen Active Directory - användare och datorer (Dsa.msc) eller i snapin-modulen Domäner och förtroenden (Domains.msc). Mer information om hur du ökar domänfunktionsnivån finns i Så här höjer du domän- och skogsfunktionsnivåer.

  3. Skapa OU-containern där du vill att datorer som skapas med TIDIGARE API:er ska finnas, om den önskade OU-containern inte finns.

  4. Kör Redircmp.exe i en kommandotolk med hjälp av följande syntax. I kommandot är container-dn det unika namnet på organisationsenheten som blir standardplatsen för nyligen skapade datorobjekt som skapas av API:er på nednivå:

    redircmp container-dn
    

    Redircmp.exe installeras i %Systemroot%\System32 mappen i Windows Server 2003 eller senare versioner. Om du vill ändra standardplatsen för en dator som skapats med tidigare versioner av API:er, till exempel Net Computer, till containern OU=MyComputers i domänen CONTOSO.COM använder du följande syntax:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com
    

    Kommentar

    När Redircmp.exe körs för att omdirigera containern CN=Computers till en organisationsenhet som angetts av en administratör är containern CN=Computers inte längre ett skyddat objekt. Det innebär att containern Datorer nu kan flyttas, tas bort eller byta namn. Om du använder ADSIEDIT för att visa attribut i containern CN=Computers ser du att attributet systemflags har ändrats från -1946157056 till 0. Det här är avsiktligt.

Beskrivning av felmeddelanden

Här är felmeddelanden som inträffar i vissa fall.

Felmeddelanden som du får om PDC är offline

Redircmp och Redirusr ändrar attributet wellKnownObjects på den primära domänkontrollanten (PDC). Om PDC för domänen som ändras är offline eller otillgänglig får du följande felmeddelanden.

  • Felmeddelande 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Fel, det gick inte att hitta den primära domänkontrollanten för den aktuella domänen: Den angivna domänen finns inte eller kunde inte kontaktas. Omdirigeringen lyckades INTE.

  • Felmeddelande 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Fel, det gick inte att hitta den primära domänkontrollanten för den aktuella domänen: Den angivna domänen finns inte eller kunde inte kontaktas. Omdirigeringen lyckades INTE.

Felmeddelanden som du får om domänens funktionsnivå inte är Windows Server 2003

Du försöker omdirigera användare eller dator-OU i en domän som inte har övergått till windows Server 2003-domänens funktionsnivå. I det här fallet får du följande felmeddelanden:

  • Felmeddelande 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Omdirigering inte lyckades.

  • Felmeddelande 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Ovillig att utföra

Felmeddelanden som du får om du loggar in utan nödvändiga behörigheter

Om du försöker omdirigera användarna eller datorns organisationsenhet med felaktiga autentiseringsuppgifter i måldomänen kan du få följande felmeddelanden:

  • Felmeddelande 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Omdirigering av otillräckliga rättigheter lyckades INTE.

  • Felmeddelande 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Omdirigering av otillräckliga rättigheter lyckades INTE.

Felmeddelanden som du får om du omdirigerar till en organisationsenhet som inte finns

Du försöker omdirigera användare eller dator-OU till en organisationsenhet som inte finns. I det här fallet kan du få följande felmeddelanden:

  • Felmeddelande 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Ingen sådan objektomdirigering lyckades inte.

  • Felmeddelande 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Ingen sådan objektomdirigering lyckades inte.

Felmeddelanden som du får i Exchange Server 2000 setup /domainprep när CN=Users omdirigeras

Om Exchange Server 2000 och Exchange Server 2003 setup /domainprep misslyckas får du följande felmeddelande:

Installationen misslyckades när behörigheter på domännivå installerades med felkod 0x80072030) (se installationsloggarna för en detaljerad beskrivning). Du kan avbryta installationen eller prova det misslyckade steget igen. (Försök igen/avbryt)

Följande data visas i installationsloggen för Exchange Server 2000 som parsas med loggparser. Exchange Server 2003 bör vara liknande.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed