Redirection des conteneurs Utilisateurs et Ordinateurs dans les domaines Windows Server 2003

Numéro d'article: 324949 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Dans les contrôleurs de domaine Windows 2000 et Windows Server 2003, les conteneurs par défaut pour les utilisateurs, les ordinateurs et les groupes qui sont créés à l'aide des interfaces de programmation d'applications de version antérieure (API) sont des objectclass CN au lieu du conteneur de classe de l'unité d'organisation, plus souhaitable.

Microsoft recommande que les administrateurs déploient agressivement la structure d'unité d'organisation recommandée dans tous les domaines Active Directory (consultez la section « Plus d'informations » pour des informations). Après avoir mis à niveau ou déployé des contrôleurs de domaine Windows Server 2003 en mode Domaine Windows Server 2003, redirigez les conteneurs par défaut que les API de version antérieure utilisent pour créer des utilisateurs, des ordinateurs et des groupes vers un conteneur d'unité d'organisation spécifié par l'administrateur.

Important Si vous utilisez Microsoft Exchange Server, vous ne devez pas déplacer le groupe Serveurs de domaine Exchange ou le groupe Serveurs d'entreprise Exchange vers d'autres unités d'organisation. Pour qu'Exchange fonctionne correctement, ces groupes doivent rester dans le conteneur Utilisateurs par défaut.
Retour au début | Envoyer des commentaires

Plus d'informations

Par défaut, le conteneur pour les groupes de sécurité, les comptes d'utilisateurs et les comptes d'ordinateur dans les installations nouvelles et mises à niveau de Windows 2000 et Windows Server 2003 est CN=Users et CN=Computers. Vous ne pouvez pas appliquer de paramètres de Stratégie de groupe sur les conteneurs de classe CN. Par conséquent, les administrateurs qui souhaitent définir le paramètre de stratégie pour les utilisateurs et les ordinateurs à stocker dans leur conteneur par défaut doivent le faire à la racine du domaine. Pour empêcher des paramètres de stratégie qui sont définis sur un conteneur supérieur (la racine du domaine) de s'appliquer aux utilisateurs et aux ordinateurs dans les conteneurs d'unités d'organisation et CN subordonnés, les administrateurs doivent définir des listes de contrôle d'accès complexes (ACL) sur le paramètre de stratégie à la racine du domaine.

La solution pour les domaines Windows 2000 et Windows Server 2003 est de déployer la structure d'unité d'organisation recommandée où les comptes de service et les comptes d'administrateur, Utilisateurs, Ordinateurs, Groupes figurent chacun dans leur propre unité d'organisation. La structure d'unité d'organisation recommandée est abordée dans la section « Creating an Organizational Unit Design » (Création d'une conception d'unité d'organisation) du livre blanc intitulé « Best Practice Active Directory Design for Managing Windows Networks ». Pour consulter ce livre blanc, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
(http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx)
La liste suivante décrit les avantages offerts par la structure d'unité d'organisation recommandée :
  • Elle autorise des administrateurs à appliquer directement la stratégie de groupe sur les conteneurs qui hébergent des utilisateurs et des ordinateurs.
  • Elle permet aux administrateurs de faire correspondre la stratégie de groupe avec les objets d'un objectclass commun. Par exemple, les paramètres de stratégie Utilisateur ou Ordinateur peuvent être liés directement à des unités d'organisation qui hébergent des comptes d'utilisateur ou d'ordinateur.
  • Elle autorise des utilisateurs délégués à appliquer la stratégie sur des conteneurs qui n'hébergent pas d'utilisateurs et de groupes sensibles à la sécurité tels que les administrateurs de domaine, les administrateurs de schéma ou les administrateurs d'entreprise.
  • Elle peut réduire l'effet de la suppression accidentelle d'une unité d'organisation (ce qui suppose que le conteneur parent est protégé correctement).
  • Elle vous autorise à restaurer des utilisateurs et des groupes indépendamment les uns des autres dans des scénarios de récupération. Les comptes d'utilisateurs doivent exister avant la restauration du groupe. La présence d'utilisateurs et de groupes dans des conteneurs différents vous permet de les restaurer et de les marquer comme faisant autorité indépendamment les uns des autres.
Notez que les conteneurs CN=USERS et CN=COMPUTERS sont des objets protégés par ordinateur. Vous ne pouvez pas (ni ne devez) les supprimer pour des raisons de compatibilité descendante bien qu'ils puissent être renommés.

La structure d'unité d'organisation recommmandée est idéale afin de stocker des utilisateurs, des ordinateurs et des groupes existants dans Active Directory parce que ces objets peuvent être déplacés dans le conteneur d'unité d'organisation approprié dans les domaines Windows 2000 et Windows Server 2003 indépendamment de son domaine ou du niveau fonctionnel de la forêt. Les nouveaux comptes d'utilisateurs, comptes d'ordinateur et groupes de sécurité qui sont créés (dans CN=users CN=computers) à l'aide des API de version antérieure utilisées par les outils de gestion de ligne de commande et à interface graphique ne permettent pas aux administrateurs de spécifier une unité d'organisation cible. Par conséquent, ces objets seront créés initialement dans les conteneurs CN=Users et CN=Computers jusqu'à ce qu'ils soient déplacés par l'administrateur ou un script défini par l'administrateur. La liste suivante fournit des exemples de ces outils :
  • L'interface utilisateur permettant de joindre des domaines dans :
    • Microsoft Windows NT 4.0
    • Microsoft Windows 2000
    • Microsoft Windows XP Professionnel
    • Microsoft Windows Server 2003
    Cette opération joint des domaines Active Directory comme ordinateurs membres.
  • La commande net user.
  • La commande net computer.
  • La commande net group.
  • La commande netdom add où la commande /ou n'est pas spécifiée ou n'est pas prise en charge.
  • Gestionnaire des utilisateurs sur les ordinateurs membres Windows NT 4.0.
En outre, les utilisateurs délégués ne savent pas dans quel conteneur créer des objets même si l'unité d'organisation de destination peut être spécifiée.

Microsoft recommande que les administrateurs mettent à niveau les contrôleurs de domaine Windows NT 4.0 et Windows 2000 vers les contrôleurs de domaine Windows Server 2003 et redirigent le chemin d'accès réservé pour CN=Users et CN=Computers vers une unité d'organisation spécifiée par l'administrateur. Dans ce cas, les paramètres de stratégie de groupe peuvent s'appliquer à des conteneurs qui hébergent des utilisateurs ou des comptes d'ordinateur récemment créés ou permanents.

Si vous redirigez les dossiers CN=Users et CN=Computers, gardez à l'esprit les problèmes suivants :
  • Le domaine cible doit être configuré pour s'exécuter dans le domaine Windows Server 2003 ou au niveau fonctionnel de la forêt. Pour le niveau fonctionnel du domaine, cela signifie que tous les contrôleurs de domaine du domaine doivent exécuter le système d'exploitation Windows Server 2003.
  • Si vous exécutez la commande Exchange 2000 setup /domainprep, vous recevez les messages d'erreur répertoriés dans la section de cet article « Messages d'erreur qui se produisent dans Exchange 2000 SETUP /DOMAINPREP lors de la redirection de CN=Users ». Ce problème se produit si les groupes Serveurs d'entreprise Exchange et Serveurs de domaine Exchange ajoutés par setup /domainprep d'Exchange 2000 ne résident pas dans le conteneur CN=USERS. Pour contourner ce problème, déplacez les groupes Serveurs d'entreprise Exchange et Serveurs de domaine Exchange créés par Exchange 2000 setup /domainprep de l'unité d'organisation redirigée vers le conteneur CN=Users. Pour plus d'informations sur ce problème d'Exchange, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    260914
    (http://support.microsoft.com/kb/260914/ )
    L'utilitaire Domainprep ne fonctionne pas si les groupes Serveurs d'entreprise Exchange et Serveurs de domaine Exchange ont été déplacés vers un nouveau conteneur

Redirection de CN=Users vers une unité d'organisation spécifiée par un administrateur

  1. Connectez-vous à l'aide des informations d'identification d'administrateur de domaine au domaine z vers lequel le conteneur CN=Users est redirigé.
  2. Déplacez le domaine vers le niveau fonctionnel de domaine Windows Server 2003 dans le composant logiciel enfichable Utilisateurs et ordinateurs (Dsa.msc) ou le composant logiciel enfichable Domaines et approbations (Domains.msc) Active Directory. Pour plus d'informations sur l'augmentation du niveau fonctionnel du domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    322692
    (http://support.microsoft.com/kb/322692/ )
    Comment faire pour augmenter les niveaux fonctionnels du domaine et de la forêt dans Windows Server 2003
  3. Créez le conteneur d'unité d'organisation dans lequel vous souhaitez faire résider des utilisateurs créés avec les API de version antérieure (si le conteneur OU souhaité n'existe pas déjà).
  4. Exécutez Redirusr.exe à partir de l'invite de commandes à l'aide de la syntaxe suivante, où container-dn est le nom unique de l'unité d'organisation qui devient l'emplacement par défaut pour les objets utilisateur récemment créés par les API de bas niveau :
    c:\windows\system32\redirusr container-dn
    Redirusr est installé dans le dossier %SystemRoot%\System32 sur les ordinateurs Windows Server 2003 nouveaux et mis à niveau. Par exemple, pour remplacer l'emplacement par défaut pour les utilisateurs créés à l'aide des API de bas niveau telles que Net User par le conteneur OU=Users OU dans le domaine CORP.COM, utilisez la syntaxe suivante :
    c:\windows\system32>redirusr ou=myusers,DC=company,dc=com
Pour plus d'informations sur la conception d'une infrastructure de stratégie de groupe, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) : http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx?mfr=true
(http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx?mfr=true)

Redirection de CN=Computers vers une unité d'organisation spécifiée par un administrateur

  1. Connectez-vous à l'aide des informations d'identification d'administrateur de domaine au domaine vers lequel est redirigé le conteneur CN=computers.
  2. Déplacez le domaine vers le domaine Windows Server 2003 dans le composant logiciel enfichable Utilisateurs et ordinateurs (Dsa.msc) ou le composant logiciel enfichable Domaines et approbations (Domains.msc) Active Directory. Pour plus d'informations sur l'augmentation du niveau fonctionnel du domaine, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    322692
    (http://support.microsoft.com/kb/322692/ )
    Comment faire pour augmenter les niveaux fonctionnels du domaine et de la forêt dans Windows Server 2003
  3. Créez le conteneur d'unité d'organisation dans lequel vous souhaitez faire résider des ordinateurs créés avec les API de version antérieure (si le conteneur OU souhaité n'existe pas déjà).
  4. Exécutez Redircmp.exe à partir d'une invite de commandes à l'aide de la syntaxe suivante, où container-dn est le nom unique de l'unité d'organisation qui devient l'emplacement par défaut pour les objets ordinateurs récemment créés par les API de bas niveau :
    redircmp container-dn container-dn
    Redircmp est installé dans le dossier %Systemroot%\System32 sur les ordinateurs Windows Server 2003 nouveaux et mis à niveau. Par exemple, pour remplacer l'emplacement par défaut pour un ordinateur créé avec les API de version antérieure telles que Net User par le conteneur OU=mycomputers dans le domaine CORP.COM, utilisez la syntaxe suivante :
    C:\windows\system32>redircmp ou=mycomputers,DC=company,dc=com
    Remarque Lorsque Redircmp.exe est exécuté pour rediriger le conteneur CN=Computers vers une unité d'organisation spécifiée par un administrateur, le conteneur CN=Computers n'est plus un objet protégé ordinateur. Cela signifie que le conteneur Ordinateurs peut être désormais déplacé, supprimé et renommé. Si vous utilisez ADSIEDIT pour afficher les attributs sur le conteneur CN=Computers, vous pourrez constater que la valeur -1946157056 de l'attribut systemflags a été remplacée par défaut par 1.

Description des messages d'erreur

Messages d'erreur qui se produisent si le contrôleur de domaine principal est hors connexion

Redircmp et Redirusr modifient l'attribut wellKnownObjects sur le contrôleur de domaine principal (CDP). Si le contrôleur de domaine principal du domaine qui est modifié est hors connexion ou inaccessible, les messages d'erreur ci-dessous s'affichent.
Message d'erreur 1
D:\>redirusr OU=userOU,DC=udc,dc=jkcert,dc=loc Erreur, impossible de trouver le contrôleur de domaine principal pour le domaine actuel : Le domaine spécifié n'existe pas ou n'a pas pu être contacté. La redirection a échoué.
Message d'erreur 2
D:\>redircmp OU=computerOU,DC=udc,dc=jkcert,dc=loc Erreur, impossible de trouver le contrôleur de domaine principal pour le domaine actuel : Le domaine spécifié n'existe pas ou n'a pas pu être contacté. La redirection a échoué.

Messages d'erreur qui se produisent si le niveau fonctionnel du domaine n'est pas Windows Server 2003

Si vous essayez de rediriger l'unité d'organisation des ordinateurs ou des utilisateurs dans un domaine qui n'a pas été déplacé vers le niveau fonctionnel de domaine Windows Server 2003, les messages d'erreur ci-dessous s'affichent.
Message d'erreur 1
C:\>redirusr OU=usersou,DC=company,DC=com
Erreur, incapable de modifier l'attribut wellKnownObjects. Vérifiez que le niveau de fonctionnalité de domaine est au moins Windows Server 2003 : incapable d'exécuter. La redirection a échoué.
Message d'erreur 2
C:\>REDIRCMP ou=computersou,dc=company,dc=com
Erreur, incapable de modifier l'attribut wellKnownObjects. Vérifiez que le niveau de fonctionnalité de domaine est au moins Windows Server 2003 : incapable d'exécuter

Messages d'erreur qui se produisent si vous vous connectez sans les autorisations requises

Si vous essayez de rediriger l'unité d'organisation des ordinateurs ou des utilisateurs à l'aide d'informations d'identification inexactes dans le domaine cible, les messages d'erreur ci-dessous peuvent s'afficher.
Message d'erreur 1
C:>REDIRCMP OU=computersou,DC=company,DC=com
Erreur, incapable de modifier l'attribut wellKnownObjects. Vérifiez que le niveau de fonctionnalité de domaine est au moins Windows Server 2003 : droits insuffisants. La redirection a échoué.
Message d'erreur 2
\>redirusr OU=usersou,DC=company,DC=com
Erreur, incapable de modifier l'attribut wellKnownObjects. Vérifiez que le niveau de fonctionnalité de domaine est au moins Windows Server 2003 : droits insuffisants. La redirection a échoué.

Messages d'erreur qui se produisent si vous redirigez vers une unité d'organisation qui n'existe pas

Si vous essayez de rediriger l'unité d'organisation des ordinateurs ou des utilisateurs vers une unité d'organisation qui n'existe pas, les messages d'erreur ci-dessous peuvent s'afficher.
Message d'erreur 1
C:\>REDIRCMP OU=nonexistantou,dc=rendom,dc=com
Erreur, incapable de modifier l'attribut wellKnownObjects. Vérifiez que le niveau de fonctionnalité de domaine est au moins Windows Server 2003 : aucun objet correspondant. La redirection a échoué.
Message d'erreur 2
C:\>redirusr OU=nonexistantou,DC=company,DC=com
Erreur, incapable de modifier l'attribut wellKnownObjects. Vérifiez que le niveau de fonctionnalité de domaine est au moins Windows Server 2003 : aucun objet correspondant. La redirection a échoué.

Messages d'erreur qui se produisent dans Exchange 2000 « setup /domainprep » lorsque CN=Users est redirigé

Si la commande setup /domainprep Exchange 2000 échoue, le message d'erreur suivant s'affiche :
Échec du programme d'installation lors de l'installation du sous-composant Autorisations définies au niveau du domaine avec un code d'erreur 0x80072030 (Consultez les journaux d'installation pour une description détaillée). Arrêtez l'installation ou réessayez d'effectuer l'étape ayant échoué. (Réessayer / Annuler)
Les données suivantes apparaissent dans le journal d'installation Exchange 2000 qui est analysé avec l'analyseur de journal :
[HH:MM:SS] Démarrage de l'installation d'Exchange 4417 sur Windows 2000 5.0.2195. Service Pack à 21:43:31 le 19/02/2003
[HH:MM:SS] Fin de DomainPrep du composant Microsoft Exchange 2000
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Code d'erreur 0X80072030 (8240) : Cet objet ne se trouve pas sur le serveur.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Code d'erreur 0X80072030 (8240) : Cet objet ne se trouve pas sur le serveur.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Code d'erreur 0X80072030 (8240) : Cet objet ne se trouve pas sur le serveur.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Code d'erreur 0X80072030 (8240) : Cet objet ne se trouve pas sur le serveur.
[HH:MM:SS] Une erreur s'est produite au cours de l'installation, lors de la préparation du domaine Microsoft Exchange de la tâche de composant DomainPrep. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Code d'erreur 0X80072030 (8240) : Cet objet ne se trouve pas sur le serveur.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Code d'erreur 0X80072030 (8240): Cet objet ne se trouve pas sur le serveur.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Code d'erreur 0X80072030 (8240) : Cet objet ne se trouve pas sur le serveur.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Code d'erreur 0X80072030 (8240) : Cet objet ne se trouve pas sur le serveur.
[HH:MM:SS] Installation terminée
L'attribut wellKnownObjects, que les commandes redirusr et redircmp modifient, définit l'emplacement par défaut dans lequel sont créés les utilisateurs, les ordinateurs et les groupes. Vous pouvez consulter l'attribut à la racine de l'en-tête de domaine NC à l'aide de Ldp.exe ou Adsiedit.msc. Dans cet exemple, les unités d'organisation des utilisateurs et des ordinateurs ont été redirigées vers OU=UsersOU et OU=ComputersOU :
-----------
Expanding base 'DC=company,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=company,DC=com
	3> objectClass: top; domain; domainDNS; 
	1> distinguishedName: DC=company,DC=com; 
	...
	11> wellKnownObjects: B:32:A9D1CA15768811D1ADED00C04FD8D5CD:OU=usersou,DC=company,DC=com;
                               B:32:AA312825768811D1ADED00C04FD8D5CD:OU=computersou,DC=company,DC=com;
                               B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=company,DC=com; 
                               B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=company,DC=com; 
                               B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=company,DC=com; 
                               B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=company,DC=com;
                               B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=company,DC=com; <BR/>
                               B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=company,DC=com; 
                               B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=company,DC=com; 
                               B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=company,DC=com; 
                               B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=company,DC=com; 
	
-----------
Retour au début | Envoyer des commentaires

Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
818470
(http://support.microsoft.com/kb/818470/ )
Le programme d'installation d'Exchange Server 2003 renvoie le code d'erreur 0x80072030 lorsque vous exécutez setup.exe /domainprep
260914
(http://support.microsoft.com/kb/260914/ )
L'utilitaire Domainprep ne fonctionne pas si les groupes Serveurs d'entreprise Exchange et Serveurs de domaine Exchange ont été déplacés vers un nouveau conteneur
Retour au début | Envoyer des commentaires

Propriétés

Numéro d'article: 324949 - Dernière mise à jour: mardi 22 mai 2007 - Version: 13.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Mots-clés : 
kbinfo KB324949
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retour au début | Envoyer des commentaires

Envoyer des commentaires

 
Retour au débutRetour au début