Redirigir los contenedores de Usuarios y equipos en los dominios Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 324949 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En los controladores de dominio de Windows 2000 y Windows Server 2003, los contenedores predeterminados para usuarios, equipos y grupos que se crean utilizando la interfaz de programación de aplicaciones (API) de la versión anterior utilizan la clase de objeto (objectclass) CN, en lugar del contenedor de clase de unidad organizativa, lo que sería preferible.

Microsoft recomienda que los administradores implementen la estructura de unidad organizativa en todos los dominios de Active Directory (vea la sección "Más información" para obtener más detalles). Después de actualizar o implementar controladores de dominio de Windows Server 2003 en el modo Dominio de Windows Server 2003, redirija a un contenedor de la unidad organizativa que especifique el administrador los contenedores predeterminados que la API de la versión anterior utiliza para crear usuarios, equipos y grupos.

Importante: si está utilizando Microsoft Exchange Server, no se debe mover el grupo Servidores de dominio de Exchange o el grupo Servidores empresariales de Exchange a ninguna otra unidad organizativa. Para que Exchange funcione como debe, estos grupos deben permanecer en el contenedor Usuarios predeterminado.

Más información

De manera predeterminada, el contenedor para grupos de seguridad, cuentas de usuario y cuentas de equipo de las instalaciones nuevas y actualizadas de Windows 2000 y Windows Server 2003 es CN=Users y CN=Computers. No puede aplicar configuraciones de Directiva de grupo en contenedores de clase CN. Por consiguiente, aquellos administradores que deseen definir una directiva para almacenar usuarios y equipos en su contenedor predeterminado deben hacerlo en la raíz del dominio. Para evitar que la configuración de las directivas definidas en un contenedor superior (la raíz del dominio) se aplique a los usuarios y equipos de los contenedores subordinados CN y de unidad organizativa, los administradores deben definir complejas listas de control de acceso (ACL) en la configuración de la directiva de la raíz del dominio.

La solución para los dominios de Windows 2000 y Windows Server 2003 es implementar la estructura recomendada para las unidades organizativas, en la que cada cuenta de Usuarios, Equipos, Grupos, Cuentas de servicio y Administrador se encuentra en su propia unidad organizativa. La estructura recomendada para las unidades organizativas se discute en la sección "Creating an Organizational Unit Design" de las notas del producto Best Practice Active Directory Design for Managing Windows Networks. Para ver ese documento, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
En la lista siguiente se describen los beneficios de utilizar la estructura de unidad organizativa recomendada:
  • Permite a los administradores aplicar la Directiva de grupo directamente en los contenedores que albergan usuarios y equipos.
  • Permite a los administradores asignar una Directiva de grupo a los objetos con una clase de objeto (objectclass) común. Por ejemplo, es posible vincular la configuración de la directiva Usuario o Equipo a las unidades organizativas que albergan cuentas de usuario o de equipo.
  • Permite a los usuarios delegados aplicar las directivas en los contenedores que no alojan usuarios con acceso de seguridad y grupos como Administradores de dominio, Administradores del esquema o Administradores de organización.
  • Puede minimizar el efecto si una unidad organizativa se elimina accidentalmente (suponiendo que el contenedor primario esté correctamente protegido).
  • Permite restaurar de forma independiente usuarios y grupos en distintos escenarios de recuperación. Las cuentas de usuario deben existir antes de restaurar el grupo. Ubicar a usuarios y grupos en contenedores diferentes permite restaurarlos y marcarlos como autoritarios de forma independiente.
Tenga en cuenta que los contenedores CN=USERS y CN=COMPUTERS son objetos protegidos por el equipo. No puede (y no debe) quitarlos para aumentar la compatibilidad con versiones anteriores, aunque puede cambiarles el nombre.

La estructura recomendada para las unidades organizativas funciona bien para almacenar en Active Directory usuarios, equipos y grupos ya existentes, porque dichos objetos pueden moverse al contenedor de unidad organizativa apropiado en los dominios de Windows 2000 y Windows Server 2003, independientemente del nivel funcional de bosque o de dominio. Las nuevas cuentas de usuario, las cuentas de equipo y los grupos de seguridad que se crean (en CN=users CN=computers) con las API de la versión anterior y que usan la GUI y las herramientas de administración de la línea de comandos no permiten que los administradores especifiquen una unidad organizativa de destino. Como resultado, estos objetos se crearán inicialmente en los contenedores CN=Users y CN=Computers, hasta que los mueva el administrador o una secuencia de comandos definida por él. La siguiente lista proporciona ejemplos de estas herramientas:
  • La interfaz de usuario para unirse al dominio en:
    • Microsoft Windows NT 4.0
    • Microsoft Windows 2000
    • Microsoft Windows XP Professional
    • Microsoft Windows Server 2003
    Esta operación une los dominios de Active Directory como equipos miembro.
  • El comando net user.
  • El comando net computer.
  • El comando net group.
  • El comando netdom add allí donde el comando /ou no se especifica o no se admite.
  • Administrador de usuarios en equipos miembro basados en Windows NT 4.0
Además, los usuarios que no son administradores no saben en qué contenedor deben crear los objetos, aunque se pueda especificar la unidad organizativa de destino.

Microsoft recomienda a los administradores actualizar los controladores de dominio Windows NT 4.0 y Windows 2000 a controladores de dominio de Windows Server 2003 y redirigir la ruta de acceso a CN=Users y CN=Computers, ya muy conocida, a una unidad organizativa especificada por el administrador. Al hacerlo, es posible aplicar la configuración de Directiva de grupo a los contenedores que albergan las cuentas de usuarios y equipos recién creados o permanentes.

Si redirige las carpetas CN=Users y CN=Computers, tenga en cuenta los problemas siguientes:
  • El dominio de destino debe configurarse para ejecutarse en el dominio de Windows Server 2003 o en el nivel funcional del bosque. Para el nivel funcional de dominio, esto significa que todos los controladores de dominio del dominio deben ejecutar el sistema operativo Windows Server 2003.
  • Si ejecuta el comando setup /domainprep de Exchange 2000, recibirá los mensajes de error enumerados en la sección de este artículo "Mensajes de error que aparecen en el comando SETUP /DOMAINPREP de Exchange 2000 cuando CN=Users está redirigido". Este problema aparece si los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange agregados por el comando setup /domainprep de Exchange 2000 no residen en el contenedor CN=USERS. Para evitar este problema, mueva los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange creados por el comando setup /domainprep de Exchange 2000 desde la unidad organizativa redirigida al contenedor CN=Users. Para obtener más información acerca de la interoperabilidad de Exchange, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    260914 La utilidad Domainprep no funciona si los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange se han movido a un contenedor nuevo

Redirigir CN=Users a una unidad organizativa especificada por el administrador

  1. Inicie sesión con credenciales de administrador en el dominio z en el que el contenedor CN=Users está siendo redirigido.
  2. Cambie el dominio al nivel funcional de dominio de Windows Server 2003 en el complemento Usuarios y equipos de Active Directory (Dsa.msc) o en el complemento Dominios y confianzas (Domains.msc). Para obtener información adicional acerca cómo aumentar el nivel funcional de dominio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    322692 Cómo elevar los niveles funcionales de dominio y de bosque en Windows Server 2003
  3. Cree el contenedor de unidad organizativa donde desee que residan los usuarios que se crean con API de versiones anteriores (si el contenedor OU deseado aún no existe).
  4. Ejecute Redirusr.exe desde el símbolo del sistema utilizando la sintaxis siguiente, donde contenedor-dn es el nombre distintivo de la unidad organizativa que se convertirá en la ubicación predeterminada para los objetos de usuario recién creados creada con las API de nivel inferior:
    c:\windows\system32\redirusr contenedor-dn
    Redirusr se instala en la carpeta %SystemRoot%\System32 en los equipos basados en Windows Server 2003 nuevos y actualizados. Por ejemplo, para cambiar la ubicación predeterminada para los usuarios creados con las API de nivel inferior (como Net User) al contenedor de OU=Users OU en el dominio CORP.COM, utilice la sintaxis siguiente:
    c:\windows\system32>redirusr ou=myusers,DC=company,dc=com
Para obtener información adicional acerca de cómo diseñar una infraestructura de directivas de grupo, visite el siguiente sitio Web de Microsoft: http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx

Redirigir CN=Computers a una unidad organizativa especificada por el administrador

  1. Inicie sesión con credenciales de Administrador del dominio en el dominio donde se redirige el contenedor CN=computers.
  2. Cambie el dominio al dominio de Windows Server 2003 en el complemento Usuarios y equipos de Active Directory (Dsa.msc) o en el complemento Dominios y confianzas (Domains.msc). Para obtener más información acerca cómo aumentar el nivel funcional de dominio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    322692 Cómo elevar los niveles funcionales de dominio y de bosque en Windows Server 2003
  3. Cree el contenedor de unidad organizativa donde desee que residan los equipos que se crean con API de versiones anteriores (si el contenedor OU deseado aún no existe).
  4. Ejecute Redircmp.exe desde el símbolo del sistema utilizando la sintaxis siguiente, donde contenedor-dn es el nombre distintivo de la unidad organizativa que se convertirá en la ubicación predeterminada para los objetos de equipo recién creados con las API de nivel inferior:
    redircmp contenedor-dn contenedor-dn
    Redircmp.exe se instala en la carpeta %Systemroot%\System32 en los equipos basados en Windows Server 2003 nuevos y actualizados. Por ejemplo, para cambiar la ubicación predeterminada de un equipo creado con las API de la versión anterior (como Net User) al contenedor de OU=misequipos en el dominio CORP.COM, utilice la sintaxis siguiente:
    C:\windows\system32>redircmp ou=misequipos,DC=company,dc=com
    Nota: cuando se ejecuta Redircmp.exe para redirigir el contenedor CN=Computers a una OU especificada por un administrador, el contenedor CN=Computers dejará de ser un objeto de equipo protegido. Esto significa que ahora es posible mover, eliminar y cambiar el nombre del contenedor Computers. Si utiliza ADSIEDIT para ver atributos del contenedor CN=Computers, verá que el atributo systemflags se ha modificado de -1946157056 a 0. Se trata de una característica del diseño de la aplicación.

Descripción de los mensajes de error

Mensajes de error que se producen si el PDC está sin conexión

Redircmp y Redirusr modifican el atributo wellKnownObjects en el controlador de dominio principal (PDC). Si el PDC del dominio modificado no tiene conexión o no está accesible, recibirá los mensajes de error siguientes.
Mensaje de error 1
D:\>redirusr OU=userOU,DC=udc,dc=jkcert,dc=loc Error, could not locate the Primary Domain Controller for the current domain: The specified domain either does not exist or could not be contacted. Redirection was NOT successful.
Mensaje de error 2
D:\>redircmp OU=computerOU,DC=udc,dc=jkcert,dc=loc Error, could not locate the Primary Domain Controller for the current domain: El dominio especificado no existe o no se pudo establecer conexión con él. La redirección no se realizó.

Mensajes de error que se producen si el nivel funcional del dominio no es Windows Server 2003

Si intenta redirigir una unidad organizativa de usuarios o equipos a un dominio que no ha pasado al nivel funcional de dominio de Windows Server 2003, aparecerán los siguientes mensajes de error.
Mensaje de error 1
C:\>redirusr OU=usersou,DC=company,DC=com
Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Unwilling To Perform Redirection was NOT successful.
Mensaje de error 2
C:\>REDIRCMP ou=computersou,dc=company,dc=com
Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Unwilling To Perform

Mensajes de error que se producen si inicia sesión sin los permisos necesarios

Si intenta redirigir las unidades organizativas de usuarios o equipos utilizando credenciales incorrectas en el dominio de destino, puede recibir los mensajes de error siguientes.
Mensaje de error 1
C:>REDIRCMP OU=computersou,DC=company,DC=com
Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Insufficient Rights Redirection was NOT successful.
Mensaje de error 2
:\>redirusr OU=usersou,DC=company,DC=com
Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Insufficient Rights Redirection was NOT successful.

Mensajes de error que se producen si redirige a una unidad organizativa que no existe

Si intenta redirigir las unidades organizativas de usuarios o equipos a una unidad organizativa que no existe, puede recibir los mensajes de error siguientes.
Mensaje de error 1
C:\>REDIRCMP OU=nonexistantou,dc=rendom,dc=com
Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: No Such Object Redirection was NOT successful.
Mensaje de error 2
C:\>redirusr OU=nonexistantou,DC=company,DC=com
Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: No Such Object Redirection was NOT successful.

Mensajes de error que se producen en Exchange 2000 "setup /domainprep" cuando se redirige CN=Users

Si Exchange 2000 setup /domainprep no tiene éxito, recibe el mensaje de error siguiente:
Se produjo un error en el programa de instalación al instalar el subcomponente Permisos de dominio, el código de error es 0x80072030 (consulte el registro de instalación para obtener una descripción detallada). Puede cancelar la instalación o volver a intentar el paso en el que se produjo el error. (Reintentar / Cancelar)
En el registro de instalación de Exchange 2000 analizado con el analizador de registros aparece la siguiente información:
[HH:MM:SS] Starting Exchange 4417 setup on Windows 2000 5.0.2195.Service Pack 3 at 21:43:31 02/19/2003
[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Código de error 0X80072030 (8240): No existe el objeto en el servidor.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Código de error 0X80072030 (8240): No existe el objeto en el servidor.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Código de error 0X80072030 (8240): No existe el objeto en el servidor.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Código de error 0X80072030 (8240): No existe el objeto en el servidor.
[HH:MM:SS] El programa de instalación encontró un error durante Preparación del dominio de Microsoft Exchange de las DomainPrep tareas del componente. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Código de error 0X80072030 (8240): No existe el objeto en el servidor.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Código de error 0X80072030 (8240): No existe el objeto en el servidor.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Código de error 0X80072030 (8240): No existe el objeto en el servidor.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Código de error 0X80072030 (8240): No existe el objeto en el servidor.
[HH:MM:SS] Instalación finalizada
El atributo wellKnownObjects que los comandos redirusr y redircmp modifican define la ubicación predeterminada en la que se crean los usuarios, equipos y grupos. Puede ver el atributo en la raíz del encabezado NC de dominio con Ldp.exe o Adsiedit.msc. En este ejemplo, las unidades organizativas Usuarios y equipos se han redirigido a OU=UsersOU y OU=ComputersOU:
-----------
Expanding base 'DC=company,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=company,DC=com
	3> objectClass: top; domain; domainDNS; 
	1> distinguishedName: DC=company,DC=com; 
	...
	11> wellKnownObjects: B:32:A9D1CA15768811D1ADED00C04FD8D5CD:OU=usersou,DC=company,DC=com;
                               B:32:AA312825768811D1ADED00C04FD8D5CD:OU=computersou,DC=company,DC=com;
                               B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=company,DC=com; 
                               B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=company,DC=com; 
                               B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=company,DC=com; 
                               B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=company,DC=com;
                               B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=company,DC=com; <BR/>
                               B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=company,DC=com; 
                               B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=company,DC=com; 
                               B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=company,DC=com; 
                               B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=company,DC=com; 
	-----------
				

Referencias

Para obtener más información, haga clic en los números siguientes para ver los artículos correspondientes en Microsoft Knowledge Base:
818470 La instalación de Exchange Server 2003 devuelve el código de error 0x80072030 cuando ejecuta setup.exe /domainprep
260914 La utilidad Domainprep no funciona si los grupos Servidores empresariales de Exchange y Servidores de dominio de Exchange se han movido a un contenedor nuevo

Propiedades

Id. de artículo: 324949 - Última revisión: jueves, 26 de abril de 2007 - Versión: 13.1
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palabras clave: 
kbinfo KB324949

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com