Rediriger les conteneurs utilisateurs et ordinateurs dans les domaines Active Directory

Vous pouvez utiliser redirusr et redircmp pour rediriger les comptes d’utilisateur, d’ordinateur et de groupe créés par les API de version antérieure. Ils sont donc placés dans des conteneurs d’unité d’organisation spécifiés par l’administrateur.

S’applique à :   Windows Server 2016, Windows Server 2012 R2
Numéro de la ko d’origine :   324949

Résumé

Dans une installation par défaut d’un domaine Active Directory, les comptes d’utilisateur, d’ordinateur et de groupe sont placés dans des conteneurs CN=objectclass au lieu d’un conteneur de classe OU plus souhaitable. De même, les comptes créés à l’aide d’API de version antérieure sont placés dans les conteneurs CN=Utilisateurs et CN=ordinateurs.

Important

Certaines applications nécessitent que des principaux de sécurité spécifiques soient situés dans des conteneurs par défaut tels que CN=Utilisateurs ou CN=Ordinateurs. Vérifiez que vos applications ont ces dépendances avant de les déplacer des conteneurs CN=users et CN=computes.

Plus d’informations

Les utilisateurs, ordinateurs et groupes créés par des API de version antérieure placent les objets dans le chemin d’accès DN spécifié dans l’attribut WellKnownObjects. L’attribut WellKnownObjects se trouve dans l’en-tête NC du domaine. L’exemple de code suivant montre les chemins d’accès pertinents dans l’attribut WellKnownObjects à partir CONTOSO.COM en-tête NC du domaine.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Par exemple, les opérations suivantes utilisent des API de version antérieure, qui répondent aux chemins d’accès définis dans l’attribut WellKnownObjects :

Opération Versions du système d’exploitation
Interface utilisateur de jointrement de domaine Windows version NT 4.0

Windows 2000

Windows XP Professionnel
Windows XP Ultimate

Windows Server 2003
Windows Server 2003 R2

Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2
NET COMPUTER Toutes les versions
NET GROUP Toutes les versions
NET USER Toutes les versions
NETDOM ADD, où la commande /ou n’est pas spécifiée ou prise en charge Toutes les versions

Il est utile de faire du conteneur par défaut pour les utilisateurs, les ordinateurs et les groupes de sécurité une ou plusieurs raisons, notamment :

  • Les stratégies de groupe peuvent être appliquées sur les conteneurs d’ou, mais pas sur les conteneurs de classe CN, où les principaux de sécurité sont placés par défaut.

  • La meilleure pratique consiste à organiser les principaux de sécurité dans une hiérarchie d’organisation qui reflète votre structure organisationnelle, votre disposition géographique ou votre modèle d’administration.

Si vous redirigez les dossiers CN=Utilisateurs et CN=Ordinateurs, n’ignorez pas les problèmes suivants :

  • Le domaine cible doit être configuré pour s’exécuter au niveau fonctionnel Windows Server 2003 ou supérieur. Pour le Windows domaine Server 2003, cela signifie que :

    • Windows Server 2003 ou ADPREP /FORESTPREP une édition plus nouvelle
    • Windows Server 2003 ou ADPREP /DOMAINPREP une édition plus nouvelle
    • Tous les contrôleurs de domaine dans le domaine cible doivent exécuter Windows Server 2003 ou une édition plus nouvelle.
    • Windows niveau fonctionnel de domaine Server 2003 ou supérieur doit être activé.
  • Contrairement à CN=USERS et CN=COMPUTERS, les conteneurs d’UO sont soumis à des suppressions accidentelles par des comptes d’utilisateur privilégiés, y compris des administrateurs.

    Les conteneurs CN=USERS et CN=COMPUTERS sont des objets protégés par le système qui ne peuvent pas et ne doivent pas être supprimés pour des raisons de compatibilité ascendante. Toutefois, ils peuvent être renommés. Les unités d’organisation sont sujettes à des suppressions accidentelles d’arborescences par les administrateurs.

    Windows Server 2003 du logiciel en ligne Utilisateurs & Ordinateurs Active Directory peut suivre les étapes de la section Protéger une unité d’organisation contre la suppression accidentelle.

    Windows Server 2008 et les versions plus récentes du logiciel en ligne Utilisateurs et ordinateurs Active Directory disposent d’une case à cocher Protéger un objet contre la suppression accidentelle que vous pouvez sélectionner lorsque vous créez un conteneur d’ou. Vous pouvez également le sélectionner sous l’onglet Objet de la boîte de dialogue Propriétés d’un conteneur d’ou existant.

    Une option scriptée est documentée dans Script pour protéger les unités d’organisation contre la suppression accidentelle.

  • Exchange Server 2000 et 2003 setup /domainprep échoue avec des erreurs.

Rediriger CN=Utilisateurs vers une UO spécifiée par l’administrateur

  1. Connectez-vous avec les informations d’identification d’administrateur de domaine dans le domaine z où le conteneur CN=Utilisateurs est redirigé.

  2. Faites passer le domaine au niveau fonctionnel de domaine Windows Server 2003 ou à un niveau plus ancien dans le logiciel en ligne Utilisateurs et ordinateurs Active Directory (Dsa.msc) ou le logiciel en ligne Domaines et confiances (Domains.msc). Pour plus d’informations sur l’augmentation du niveau fonctionnel du domaine, voir Comment augmenter les niveaux fonctionnels de domaine et de forêt.

  3. Créez le conteneur d’ou dans lequel vous souhaitez que les utilisateurs créés avec des API de version antérieure soient situés, si le conteneur d’ou que vous souhaitez n’existe pas.

  4. Exécutez Redirusr.exe à l’invite de commandes à l’aide de la syntaxe suivante. Dans la commande, container-dn est le nom unique de l’ou qui deviendra l’emplacement par défaut pour les objets utilisateur nouvellement créés créés par les API de bas niveau :

    c:\windows\system32\redirusr <DN path to alternate OU>
    

    Redirusr est installé dans %SystemRoot%\System32 le dossier sur Windows ordinateurs basés sur Server 2003 ou plus nouveaux. Par exemple, pour modifier l’emplacement par défaut des utilisateurs créés avec des API de bas niveau telles que Net User en conteneur d’UO=MYUsers dans CONTOSO.COM le domaine, utilisez la syntaxe suivante :

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

Rediriger CN=Ordinateurs vers une UO spécifiée par l’administrateur

  1. Connectez-vous avec les informations d’identification d’administrateur de domaine dans le domaine dans lequel le conteneur CN=ordinateurs est redirigé.

  2. Faites passer le domaine au domaine Windows Server 2003 dans le logiciel en ligne Utilisateurs et ordinateurs Active Directory (Dsa.msc) ou dans le logiciel en ligne Domaines et confiances (Domains.msc). Pour plus d’informations sur l’augmentation du niveau fonctionnel du domaine, voir Comment augmenter les niveaux fonctionnels de domaine et de forêt.

  3. Créez le conteneur d’ou dans lequel vous souhaitez que les ordinateurs créés avec des API de version antérieure soient situés, si le conteneur d’ou souhaité n’existe pas.

  4. Exécutez Redircmp.exe à une invite de commandes à l’aide de la syntaxe suivante. Dans la commande, container-dn est le nom unique de l’ou qui deviendra l’emplacement par défaut pour les objets ordinateur nouvellement créés créés par les API de bas niveau :

    redircmp container-dn container-dn
    

    Redircmp.exe est installé dans le %Systemroot%\System32 dossier dans Windows Server 2003 ou versions ultérieures. Pour modifier l’emplacement par défaut d’un ordinateur créé avec des API de version antérieure, telles que Net User, en conteneur OU=mycomputers dans le domaine CONTOSO.COM, utilisez la syntaxe suivante :

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com
    

    Notes

    Lorsque Redircmp.exe est exécuté pour rediriger le conteneur CN=Ordinateurs vers une UO spécifiée par un administrateur, le conteneur CN=Ordinateurs ne sera plus un objet protégé. Cela signifie que le conteneur Ordinateurs peut désormais être déplacé, supprimé ou renommé. Si vous utilisez ADSIEDIT pour afficher les attributs sur le conteneur CN=Computers, vous verrez que l’attribut systemflags a été modifié de -1946157056 à 0. Ce comportement est voulu par la conception même du produit.

Description des messages d’erreur

Voici des messages d’erreur qui se produisent dans certains cas.

Messages d’erreur que vous recevez si le PDC est hors connexion

Redircmp et Redirusr modifient l’attribut wellKnownObjects sur le contrôleur de domaine principal (PDC). Si le PDC du domaine modifié est hors connexion ou inaccessible, vous recevez les messages d’erreur suivants.

  • Message d’erreur 1 :

    D:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com
    Erreur : le contrôleur de domaine principal du domaine actuel n’a pas pu être localisé : le domaine spécifié n’existe pas ou n’a pas pu être contacté. La redirection n’a PAS réussi.

  • Message d’erreur 2 :

    D:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc
    Erreur : le contrôleur de domaine principal du domaine actuel n’a pas pu être localisé : le domaine spécifié n’existe pas ou n’a pas pu être contacté. La redirection n’a PAS réussi.

Messages d’erreur que vous recevez si le niveau fonctionnel du domaine n’est Windows Server 2003

Vous essayez de rediriger les utilisateurs ou l’ou les utilisateurs de l’ordinateur dans un domaine qui n’a pas été Windows niveau fonctionnel du domaine Windows Server 2003. Dans ce cas, vous recevez les messages d’erreur suivants :

  • Message d’erreur 1 :

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel du domaine est au moins Windows Server 2003 : La redirection n’a pas réussi.

  • Message d’erreur 2 :

    C:>REDIRCMP ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel du domaine est au moins Windows Server 2003 : Ne pas vouloir effectuer

Messages d’erreur que vous recevez si vous vous connectez sans les autorisations requises

Si vous essayez de rediriger les utilisateurs ou l’OO de l’ordinateur à l’aide d’informations d’identification incorrectes dans le domaine cible, vous pouvez recevoir les messages d’erreur suivants :

  • Message d’erreur 1

    C:>REDIRCMP OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel du domaine est au moins Windows Server 2003 : La redirection des droits insuffisante n’a pas réussi.

  • Message d’erreur 2 :

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel du domaine est au moins Windows Server 2003 : La redirection des droits insuffisante n’a pas réussi.

Messages d’erreur que vous recevez si vous redirigez vers une ou plusieurs personnes qui n’existent pas

Vous essayez de rediriger les utilisateurs ou l’OO de l’ordinateur vers une ou plusieurs autres. Dans ce cas, vous pouvez recevoir les messages d’erreur suivants :

  • Message d’erreur 1 :

    C:>REDIRCMP OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel du domaine est au moins Windows Server 2003 : aucune redirection d’objet de ce type n’a réussi.

  • Message d’erreur 2 :

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Erreur, impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel du domaine est au moins Windows Server 2003 : aucune redirection d’objet de ce type n’a réussi.

Messages d’erreur que vous recevez Exchange Server configuration 2000 /domainprep lorsque CN=Utilisateurs est redirigé

Si Exchange Server 2000 et Exchange Server 2003 setup /domainprep échoue, vous recevez le message d’erreur suivant :

Échec du programme d’installation lors de l’installation des autorisations au niveau du domaine du sous-composant avec code d’erreur 0x80072030) (consultez les journaux d’installation pour obtenir une description détaillée). Vous pouvez annuler l’installation ou réessayer l’étape qui a échoué. (Réessayer/Annuler)

Les données suivantes s’Exchange Server journal d’installation 2000 qui est analyse avec l’analyseur de journal. Exchange Server 2003 doit être similaire.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed