Přesměrování uživatelů a počítačů, kontejnerů v doménách služby Active Directory

Překlady článku Překlady článku
ID článku: 324949 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Ve výchozí instalaci služby Active Directory domény, uživatelské účty, účty počítače a skupiny jsou umístěny v CN = kontejnery objectclass namísto uvedení ve více žádoucí kontejner třída organizační jednotky. Podobně, uživatelské účty, účty počítače a skupiny, které byly vytvořeny pomocí starší verze rozhraní API jsou umístěny CN = Users a CN = kontejnery počítače.

Tento článek popisuje, jak pomocí nástroje redirusr a redircmp přesměrovat uživatele, počítače a účty skupin vytvořené staršími verzemi rozhraní API tak, že v nádobách určené admin organizační jednotky.

Důležité Některé aplikace vyžadují zvláštní zaregistrovaných umístit výchozí kontejnery jako CN = Users nebo CN = počítače. Ověřte, zda aplikace těchto závislostí před přesunutím z CN = users a CN = computes kontejnerů.

Další informace

Objekty umístit uživatelů, počítačů a skupin vytvořené staršími verzemi rozhraní API v cestě rozlišující název zadaný v WellKnownObjects atribut, který je umístěn v doméně NC hlavy. Následující příklad kódu ukazuje příslušné cesty v WellKnownObjects atribut ze společnosti CONTOSO.Doména COM NC hlavy.
DN: DC = CONTOSO, DC = COM
wellKnownObjects (11): 
	B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;	 
	B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM; 
	B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM; 
	B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM; 
	B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM; 
	B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM; 
	B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM; 
	B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM; 
	B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM; 
	B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
	B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM; 
Příklady operací, které používají starší verze rozhraní API odpovědět na cestách, které jsou definovány v WellKnownObjects atribut patří následující možnosti.
Zmenšit tuto tabulkuRozšířit tuto tabulku
OperaceVerze operačního systému
Připojení k doméně uživatelského rozhraní Systém Windows NT version4.0
Systém Windows 2000
Systém Windows XP Professional
Systém Windows XP Ultimate
Systém Windows Server 2003
Systém Windows Server 2003 R2
Systém Windows Vista
Systém Windows Server 2008
Windows 7
Windows Server 2008 R2
NET POČÍTAČEVšechny verze
NET GROUPVšechny verze
NET USERVšechny verze
Přidat NETDOM, kde / OU příkaz buď není zadán nebo podporovánoVšechny verze
Je vhodné, aby výchozí kontejner pro uživatele, počítače a skupiny zabezpečení, organizační jednotku několika důvodů, včetně následujících:
  • Zásady skupiny lze použít pro kontejnery organizační jednotky, ale ne na kontejnery třídy CN, kde jsou umístěny objekty zabezpečení ve výchozím nastavení.
  • "Nejlepší" je uspořádat do hierarchie organizační jednotky, která zrcadlí své organizační struktury, geografické rozložení nebo model správy zaregistrované objekty zabezpečení.
Pokud se přesměrování CN = Users a CN = počítače složek, uvědomit následující skutečnosti:
  • Cílová doména musí být nakonfigurován úroveň funkčnosti domény Windows Server 2003 nebo vyšší. Pro 2003 úroveň funkčnosti domény to znamená, že:
    • Windows Server 2003 ADPREP/forestprep nebo novější
    • Windows Server 2003 ADPREP/domainprep nebo novější
    • Všechny řadiče domény v cílové doméně, musíte spustit systém Windows Server 2003 nebo novější.
    • Musí být povoleno domény Windows Server 2003, funkční úrovni nebo vyšší.
  • Na rozdíl od CN = USERS a CN = počítače, organizační jednotky, které kontejnery podléhají náhodným odstraněním privilegované uživatelskými účty, včetně správců.

    CN = USERS a CN = počítače kontejnery jsou chráněné systémové objekty, které nemůže a nesmí, odebrány z důvodu zpětné kompatibility. Však je možné přejmenovat. Organizační jednotky, na druhé straně, podléhají správci náhodného odstranění.

    Verze systému Windows Server 2003 z modulu snap-in Active Directory & počítačů lze podle pokynů"Organizační jednotku ochránit před nechtěným odstraněním."

    Windows Server 2008 a novější verze modulu snap-in Active Directory Users and Computers funkce "Chránit objekt před náhodným odstraněním" zaškrtávací políčko, které můžete klepnutím vybrat při vytváření nového kontejneru organizační jednotky. Toto políčko můžete také vybrat v Objekt na kartě Vlastnosti Dialogové okno pro existující kontejner organizační jednotky.

    Skriptované možnost je popsána v"Skript pro ochranu před nechtěným odstraněním organizační jednotky (OU)."
  • / Domainprep instalační program serveru Exchange 2000 a 2003 se nezdaří s chybami. Tento problém je popsána v následujícím článku znalostní báze Microsoft Knowledge Base:
    • 260914 Nástroj DomainPrep nefunguje, pokud servery Exchange organizace skupiny a skupiny serverů domény Exchange přesunut do nového kontejneru
    • 818470 Exchange Server 2003, instalační program vrací kód chyby 0x80072030 při spuštění souboru setup.exe/domainprep

Přesměrování, CN = Uživatelé správce určit organizační jednotkou

  1. Přihlásit se pomocí pověření správce domény ve vykreslování domény kde CN = Users, kontejner je přesměrován.
  2. Převod domény v doméně systému Windows Server 2003 funkční úroveň nebo novější buď Active Directory Users and Computers modul snap-in (Dsa.msc) nebo Domény a vztahy důvěryhodnosti (Domains.msc) modulu snap-in. Další informace o zvýšení úrovně funkčnosti domény získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    322692Zvýšení funkční úrovně domény a doménové struktury systému Windows Server 2003
  3. Kontejner organizační jednotky, kde chcete vytvořit Uživatelé, kteří vytvářejí se staršími verzemi rozhraní API umístěna, je-li v kontejneru organizační jednotka neexistuje.
  4. Spusťte soubor Redirusr.exe na do příkazového řádku pomocí následující syntaxe, kde container-dn je rozlišující název organizační jednotky, která se stane výchozí umístění pro nově vytvořené uživatelské objekty vytvořené pomocí rozhraní API nižší úrovně:
    c:\windows\system32\redirusr<dn path="" to="" alternate="" ou=""></dn>
    Redirusr je nainstalován ve složce %SystemRoot%\System32 v počítačích se systémem Windows Server 2003 nebo novější. Například změnit výchozí umístění pro uživatele, kteří jsou vytvořené pomocí rozhraní API nižší úrovně, jako například Net User do organizační jednotky = MYUsers OU kontejner ve společnosti CONTOSO.Doména COM, použijte následující syntaxi:
    c:\Windows\System32>redirusr ou = myusers, DC = contoso, dc = com

Přesměrování, CN = počítače správce určit organizační jednotkou

  1. Přihlásit se pomocí pověření správce domény v doméně, kde CN = přesměrování kontejneru počítače.
  2. Převod domény v doméně systému Windows Server 2003 Active Directory Users and Computers modul snap-in (Dsa.msc) nebo domény a vztahy důvěryhodnosti Modul snap-in (Domains.msc).Další informace o zvýšení úrovně funkčnosti domény získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    322692Zvýšení funkční úrovně domény a doménové struktury systému Windows Server 2003
  3. Vytvořit kontejner organizační jednotky, místo počítačů, které jsou vytvořené pomocí rozhraní API starší verze být umístěna, je-li kontejner požadovanou organizační jednotky již neexistuje.
  4. Spustit Redircmp.exe soubor na příkazovém řádku pomocí následující syntaxe, kde container-dn je rozlišující název organizační jednotky, který se stane výchozí umístění nově vytvořené objekty počítače, vytvořených pomocí rozhraní API nižší úrovně:
    redircmp container-dn container-dn
    Redircmp.exe je nainstalován ve složce %Systemroot%\System32 v systému Windows Server 2003 nebo novějších počítačů. Například změnit výchozí umístění pro počítač, který je vytvořen pomocí starší verze rozhraní API jako Net User na OU = mycomputers kontejneru ve společnosti CONTOSO.Doména COM, použijte následující syntaxi:
    C:\Windows\System32>redircmp ou = mycomputers, DC = contoso, dc = com
    Poznámka: Při spuštění Redircmp.exe přesměrovat CN kontejneru počítače do organizační jednotky určený správcem, CN = počítače = chráněný objekt již nebude kontejneru. To znamená, že kontejner počítače lze nyní přesunut, odstraněn nebo přejmenován. Používáte-li nástroj ADSIEDIT k zobrazení atributů CN = kontejneru počítače, zobrazí se, systemFlags Atribut byl změněn z-1946157056 na 0. Toto chování je záměrné.

Popis chybových zpráv

Chybové zprávy, které obdržíte, pokud je primární řadič domény offline

Redircmp a Redirusr změnit wellKnownObjects atribut na primární řadič domény (PDC). Pokud řadič domény, která je změněna je offline nebo nedostupný, se zobrazí následující chybové zprávy.
Chybová zpráva 1
D:\>redirusr OU = userOU, DC = udc, dc = jkcertcontoso, dc = loc com
Chyba: Nelze najít primárního řadiče domény pro aktuální doménu: Zadaná doména neexistuje nebo není možné spojit. Přesměrování neproběhlo úspěšně.
Chybová zpráva 2
D:\>redircmp OU = computerOU, DC = contoso, dc = com, DC = udc, dc = jkcert, dc = loc
Chyba: Nelze najít primárního řadiče domény pro aktuální doménu: Zadaná doména neexistuje nebo není možné spojit. Přesměrování neproběhlo úspěšně.

Chybové zprávy, které obdržíte, pokud není funkční úroveň domény systému Windows Server 2003

Pokud se pokusíte přesměrovat uživatele nebo organizační jednotky počítače domény který má není příznivou domény Windows Server 2003 funkční úroveň, zobrazí se následující chybové zprávy.
Chybová zpráva 1
C:\>redirusr OU = usersou, DC = contoso, dc = comDC = company, DC = com
Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda úroveň funkčnosti domény je nejméně Windows Server 2003: ochoten se k provádění přesměrování neproběhlo úspěšně.
Chybová zpráva 2
C:\>REDIRCMP ou = computersou, DC = contoso, dc = comdc = company, dc = com
Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda je doména funkční úroveň domény nejméně Windows Server 2003: ochoten k provedení

Chybové zprávy, které obdržíte, pokud přihlásit bez požadovaná oprávnění

Pokud Při pokusu o přesměrování uživatele nebo organizační jednotky v počítači pomocí nesprávného pověření v cílové domény, může se zobrazit následující chybové zprávy.
Chybová zpráva 1
C: > REDIRCMP OU = computersou, DC = contoso, dc = comDC = company, DC = com
Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda je alespoň úroveň funkčnosti domény Windows Server 2003: Nedostatečná práva Přesměrování neproběhlo úspěšně.
Chybová zpráva 2
: \>redirusr OU = usersou, DC = contoso, dc = comDC = company, DC = com
Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda je alespoň úroveň funkčnosti domény Windows Server 2003: Nedostatečná práva Přesměrování neproběhlo úspěšně.

Chybové zprávy, které obdržíte, Pokud přesměrujete na organizační jednotku, která neexistuje.

Pokud Při pokusu o přesměrování uživatele nebo organizační jednotky počítače do organizační jednotka neexistuje, může se zobrazit následující chybová zpráva zprávy.
Chybová zpráva 1
C:\>REDIRCMP OU = nonexistantou, DC = contoso, dc = com, dc = rendom, dc = com
Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda úroveň funkčnosti domény je nejméně Windows Server 2003: ne jako objekt Přesměrování neproběhlo úspěšně.
Chybová zpráva 2
C:\>redirusr OU = nonexistantou, DC = contoso, dc = com, DC = firma, DC = com
Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda úroveň funkčnosti domény je nejméně Windows Server 2003: ne jako objekt Přesměrování neproběhlo úspěšně.

Chybové zprávy, které jste obdrželi v serveru Exchange 2000 "setup/domainprep" při CN = Users přesměrován,

Pokud server Exchange 2000 a Exchange 2003 setup/domainprep je neúspěšné, zobrazí následující chybová zpráva:
Instalace se nezdařila při instalaci Sub-Component oprávnění na úrovni domény s chybou kód 0x80072030) (prosím konzultovat protokoly instalace podrobný popis). Můžete zrušit instalace nebo akci zopakujte krok se nezdařilo. (Opakování / zrušit)
Tyto údaje se zobrazí v protokolu instalačního programu serveru Exchange 2000, které jsou analyzovány pomocí analyzátoru protokolu. Server Exchange 2003 by měl být podobný.
[HH: MM:] Dokončeno Komponenta nástroje DomainPrep Microsoft Exchange 2000
[HH: MM:] Kód chyby ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) 0X80072030 (8240): je na serveru takový objekt neexistuje.
[HH: MM:] Chyba ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) kód 0X80072030 (8240): je na serveru takový objekt neexistuje.
[HH: MM:] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Chyba kód 0X80072030 (8240): je na serveru takový objekt neexistuje.
[HH: MM:] režim = CBaseAtom::ScSetup 'DomainPrep"(61966) (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Kód chyby 0X80072030 (8240): Je na serveru takový objekt neexistuje.
[HH: MM:] Instalační program došlo k chybě během Microsoft Exchange domény DomainPrep Příprava součást úkolu. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Kód chyby 0X80072030 (8240): Je na serveru takový objekt neexistuje.
[HH: MM:] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Kód chyby 0X80072030 (8240): Je na serveru takový objekt neexistuje.
[HH: MM:] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Kód chyby 0X80072030 (8240): je na serveru takový objekt neexistuje.
[HH: MM:] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Kód chyby 0X80072030 (8240): je na serveru takový objekt neexistuje.
[HH: MM:] Instalace byla dokončena

Odkazy

Další informace získáte klepnutím na tlačítko naleznete v následujících článcích znalostní báze společnosti Microsoft:
818470Exchange Server 2003, instalační program vrací kód chyby 0x80072030 při spuštění souboru setup.exe/domainprep
260914 Nástroj DomainPrep nefunguje, pokud servery Exchange organizace skupiny a skupiny serverů domény Exchange přesunut do nového kontejneru

Skript pro ochranu před nechtěným odstraněním organizační jednotky:
http://Gallery.technet.microsoft.com/ScriptCenter/en-us/c307540f-bd91-485f-b27e-995ae5cea1e2
Další informace o navrhování infrastruktury Zásady skupiny navštivte následující Web společnosti Microsoft:
http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx

Vlastnosti

ID článku: 324949 - Poslední aktualizace: 19. května 2011 - Revize: 18.0
Informace v tomto článku jsou určeny pro produkt:
Klíčová slova: 
kbinfo kbmt KB324949 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:324949

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com