Перенаправление контейнеров пользователей и компьютеров в доменах Active Directory

Вы можете использовать redirusr и redircmp для перенаправления учетных записей пользователей, компьютеров и групп, созданных API более ранней версии. Поэтому они помещаются в контейнеры организационного подразделения, заданные администратором.

Применяется к:   Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ:   324949

Сводка

При установке по умолчанию домена Active Directory учетные записи пользователей, компьютеров и групп помещались в контейнеры cn=objectclass вместо более желательного контейнера класса OU. Аналогичным образом учетные записи, созданные с помощью API более ранней версии, помещались в контейнеры CN=Users и CN=computers.

Важно!

Некоторые приложения требуют, чтобы определенные принципы безопасности располагались в контейнерах по умолчанию, таких как CN=Users или CN=Computers. Убедитесь, что у приложений есть такие зависимости, прежде чем переместить их из контейнеров CN=users и CN=computes.

Дополнительная информация

Пользователи, компьютеры и группы, созданные API более ранней версии, создают объекты в пути DN, указанном в атрибуте WellKnownObjects. Атрибут WellKnownObjects расположен в главе NC домена. В следующем примере кода показаны соответствующие пути в атрибуте WellKnownObjects из CONTOSO.COM области NC.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Например, в следующих операциях используются API более ранней версии, которые отвечают на пути, определенные в атрибуте WellKnownObjects:

Операция Версии операционной системы
Пользовательский интерфейс "Регистрация домена" Windows NT версии4.0

Windows 2000

Windows XP Professional
Windows XP Ultimate

Windows Server 2003
Windows Server 2003 R2

Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2
NET COMPUTER Все версии
NET GROUP Все версии
NET USER Все версии
ДОБАВЛЕНИЕ NETDOM, где команда /ou не указана или поддерживается Все версии

Полезно сделать контейнер по умолчанию для групп пользователей, компьютеров и безопасности OU по нескольким причинам, в том числе:

  • Групповые политики можно применять в контейнерах OU, но не в контейнерах класса CN, где по умолчанию ставятся основные принципы безопасности.

  • Передовая практика — упорядочность принципов безопасности в иерархию OU, которая отражает организационную структуру, географическое расположение или модель администрирования.

При перенаправлении папок CN=Users и CN=Computers следует помнить о следующих проблемах:

  • Целевой домен должен быть настроен для запуска на уровне Windows Server 2003 или выше. Для функционального уровня Windows Server 2003 это означает:

    • Windows Сервер 2003 ADPREP /FORESTPREP или более новый
    • Windows Сервер 2003 ADPREP /DOMAINPREP или более новый
    • Все контроллеры домена в целевом домене должны работать Windows Server 2003 или более новые.
    • Windows Необходимо включить функциональный уровень домена Server 2003 или более высокий.
  • В отличие от CN=USERS и CN=COMPUTERS, контейнеры OU подвергаются случайным удалениям привилегированных учетных записей пользователей, в том числе администраторов.

    Контейнеры CN=USERS и CN=COMPUTERS — это объекты, защищенные системой, которые не могут и не должны удаляться для обратной совместимости. Но их можно переименовать. Организационные подразделения могут быть удалены администраторами случайно.

    Windows Версии сервера 2003 для пользователей Active Directory & компьютеров могут выполнять действия в Области Защиты организационного подразделения от случайного удаления.

    Windows Сервер 2008 и более новые версии оснастки пользователей и компьютеров Active Directory имеют объект Protect от случайного удаления, который можно выбрать при создании нового контейнера OU. Вы также можете выбрать его на вкладке Объект в диалоговом окне Свойства для существующего контейнера OU.

    Сценарий задокументирован в script to Protect Organizational Units (OUs) от случайного удаления.

  • Exchange Server 2000 и 2003 годах с setup /domainprep ошибками.

Перенаправление CN=Users на указанный администратором OU

  1. Войдите в систему с учетными данными администратора домена в домене Z, куда перенаправляется контейнер CN=Users.

  2. Переход домена на функциональный уровень Windows Server 2003 или более новый в оснастке пользователей и компьютеров Active Directory (Dsa.msc) или snap-in доменов и трастов (Domains.msc). Дополнительные сведения об увеличении функционального уровня домена см. в дополнительных сведениях о повышении уровней функциональных функций домена и леса.

  3. Создайте контейнер OU, в котором должны быть размещены пользователи, созданные с API более ранней версии, если нужного контейнера OU не существует.

  4. Запустите Redirusr.exe по командной подсказке с помощью следующего синтаксиса. В команде container-dn — это отличительное имя OU, которое станет расположением по умолчанию для вновь созданных пользовательских объектов, созданных интерфейсами API на уровне ниже:

    c:\windows\system32\redirusr <DN path to alternate OU>
    

    Redirusr устанавливается в папке на Windows или более новых компьютерах %SystemRoot%\System32 Server 2003. Например, чтобы изменить расположение по умолчанию для пользователей, созданных с помощью API-интерфейсов, таких как Net User, на контейнер OU=MYUsers в домене, используйте следующий CONTOSO.COM синтаксис:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

Перенаправление CN=Computers на указанный администратором OU

  1. Войдите в систему с учетными данными администратора домена в домене, куда перенаправляется контейнер CN=computers.

  2. Переход домена на домен Windows Server 2003 в оснастке пользователей и компьютеров Active Directory (Dsa.msc) или в snap-in доменов и трастов (Domains.msc). Дополнительные сведения об увеличении функционального уровня домена см. в дополнительных сведениях о повышении уровней функциональных функций домена и леса.

  3. Создайте контейнер OU, в котором требуется, чтобы компьютеры, созданные с API более ранней версии, находились, если нужного контейнера OU не существует.

  4. Выполнить Redircmp.exe по командной подсказке с помощью следующего синтаксиса. В команде контейнер-dn — это отличительное имя OU, которое станет расположением по умолчанию для вновь созданных компьютерных объектов, созданных с помощью API на уровне ниже:

    redircmp container-dn container-dn
    

    Redircmp.exe устанавливается в папке в %Systemroot%\System32 Windows Server 2003 или более поздних версиях. Чтобы изменить расположение по умолчанию для компьютера, созданного с API более ранней версии, например Net User, на контейнер OU=mycomputers в домене CONTOSO.COM, используйте следующий синтаксис:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com
    

    Примечание

    Когда Redircmp.exe для перенаправления контейнера CN=Computers в OU, указанному администратором, контейнер CN=Computers больше не будет защищенным объектом. Это означает, что контейнер Computers теперь можно перемещать, удалять или переименовывать. Если вы используете ADSIEDIT для просмотра атрибутов в контейнере CN=Computers, вы увидите, что атрибут systemflags был изменен с -1946157056 на 0. Данное поведение является особенностью продукта.

Описание сообщений об ошибках

Вот сообщения об ошибках, которые возникают в некоторых случаях.

Сообщения об ошибках, получаемые в автономном режиме PDC

Redircmp и Redirusr изменяют атрибут wellKnownObjects на основном контроллере домена (PDC). Если измененный PDC домена находится в автономном режиме или недоступен, вы получите следующие сообщения об ошибке.

  • Сообщение об ошибке 1:

    D: > redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com
    Ошибка, не удалось найти контроллер основного домена для текущего домена: указанный домен либо не существует, либо не может быть связаться. Перенаправление не было успешным.

  • Сообщение об ошибке 2:

    D: > redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc
    Ошибка, не удалось найти контроллер основного домена для текущего домена: указанный домен либо не существует, либо не может быть связаться. Перенаправление не было успешным.

Сообщения об ошибках, которые вы получаете, если функциональный уровень домена не Windows Server 2003

Вы пытаетесь перенаправить OU пользователей или компьютеров в домен, который не был перенаправлен на функциональный уровень Windows Server 2003. В этой ситуации вы получаете следующие сообщения об ошибках:

  • Сообщение об ошибке 1:

    C: > redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена является по крайней мере Windows Server 2003: не желают выполнять перенаправление не удалось.

  • Сообщение об ошибке 2:

    C. > REDIRCMP ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена не менее Windows Server 2003.

Сообщения об ошибках, получаемые при входе без необходимых разрешений

Если вы пытаетесь перенаправить пользователей или компьютерный OU с помощью неправильных учетных данных в целевом домене, вы можете получить следующие сообщения об ошибке:

  • Сообщение об ошибке 1

    C:>REDIRCMP OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена является по крайней мере Windows Server 2003: недостаточное перенаправление прав не было успешным.

  • Сообщение об ошибке 2:

    C: > redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена является по крайней мере Windows Server 2003: недостаточное перенаправление прав не было успешным.

Сообщения об ошибках, получаемые при перенаправлении на неуправляемый OU

Вы пытаетесь перенаправить пользователей или OU компьютера на неуправляемый OU. В этой ситуации вы можете получать следующие сообщения об ошибках:

  • Сообщение об ошибке 1:

    C. > REDIRCMP OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: не было успешного перенаправления таких объектов.

  • Сообщение об ошибке 2:

    C: > redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: не было успешного перенаправления таких объектов.

Сообщения об ошибках, которые вы получаете в Exchange Server 2000 установки /domainprep при перенаправлении CN=Users

Если Exchange Server 2000 и Exchange Server 2003 не удалось, вы получите следующее сообщение setup /domainprep об ошибке:

Установка не удалась при установке разрешений на уровне домена на подкомпонентном уровне с помощью кода ошибки 0x80072030) (подробные сведения см. в журналах установки). Вы можете отменить установку или повторить неудачный шаг. (Retry / Cancel)

Следующие данные появляются в журнале установки Exchange Server 2000, который размыл с помощью анализара журнала. Exchange Server 2003 г. должен быть похожим.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed