Mengarahkan pengguna dan komputer wadah dalam domain Active Directory

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 324949 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Dalam instalasi standar Active Directory domain, account pengguna, komputer account, dan kelompok-kelompok yang dimasukkan di CN = objectclass wadah bukannya dimasukkan dalam container kelas unit organisasi lebih diinginkan. Demikian pula, account pengguna, komputer account, dan kelompok-kelompok yang dibuat dengan menggunakan versi sebelumnya api diletakkan dalam CN = pengguna dan CN = komputer wadah.

Artikel ini menjelaskan cara menggunakan utilitas redirusr dan redircmp untuk mengarahkan pengguna, komputer, dan kelompok account yang dibuat oleh versi sebelumnya api sehingga mereka dimasukkan dalam wadah ditentukan admin unit organisasi.

Penting Beberapa aplikasi membutuhkan keamanan khusus pelaku untuk berada di default wadah seperti CN = pengguna atau CN = komputer. Memverifikasi bahwa aplikasi Anda memiliki dependensi seperti sebelum Anda memindahkan mereka keluar dari CN = pengguna dan CN = computes wadah.

INFORMASI LEBIH LANJUT

Pengguna, komputer, dan kelompok-kelompok yang dibuat oleh versi sebelumnya api tempat objek di lintasan DN yang ditentukan dalam WellKnownObjects atribut yang berada dalam domain NC kepala. Contoh kode berikut menunjukkan jalan yang relevan di WellKnownObjects atribut dari CONTOSO.COM domain NC kepala.
Dn: DC = CONTOSO, DC = COM
wellKnownObjects (11): 
	B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;	 
	B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM; 
	B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM; 
	B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM; 
	B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM; 
	B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM; 
	B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM; 
	B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM; 
	B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM; 
	B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
	B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM; 
Contoh operasi yang menggunakan versi sebelumnya api yang Balasan pada jalan yang ditentukan di WellKnownObjects atribut adalah sebagai berikut.
Perkecil tabel iniPerbesar tabel ini
OperasiVersi sistem operasi
Domain bergabung UI Windows NT version4.0
Windows 2000
Windows XP Professional
Windows XP Ultimate
Windows Server 2003
Windows Server 2003 R2
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
NET KOMPUTERSemua versi
GRUP NETSemua versi
NET PENGGUNASemua versi
NETDOM Menambahkan, di mana /ou perintah ini tidak ditentukan atau didukungSemua versi
Hal ini membantu untuk membuat unit organisasi default wadah untuk pengguna, komputer, dan kelompok-kelompok keamanan untuk beberapa alasan, termasuk yang berikut:
  • Kebijakan Grup dapat diterapkan pada unit organisasi wadah tetapi tidak pada CN kelas kontainer, di mana keamanan pelaku diletakkan secara default.
  • "Praktek terbaik" adalah untuk mengatur pelaku keamanan ke dalam hirarki unit organisasi yang mencerminkan struktur organisasi, tata letak geografis, atau administrasi model.
Jika Anda mengarahkan CN = pengguna dan CN = komputer folder, menyadari masalah berikut:
  • Target domain harus dikonfigurasi untuk menjalankan di tingkat fungsional domain Windows Server 2003 atau lebih tinggi. Untuk tingkatan fungsional domain 2003, ini berarti bahwa:
    • Windows Server 2003 ADPREP /FORESTPREP atau lebih baru
    • Windows Server 2003 ADPREP /DOMAINPREP atau lebih baru
    • Semua pengontrol domain di target domain harus menjalankan Windows Server 2003 atau yang lebih baru.
    • Domain Windows Server 2003 fungsional tingkat atau lebih tinggi harus diaktifkan.
  • Tidak seperti CN = pengguna dan CN = komputer, unit organisasi wadah tunduk penghapusan disengaja oleh account pengguna istimewa, termasuk administrator.

    CN = pengguna dan CN = komputer wadah yang dilindungi sistem benda-benda yang tidak bisa, dan tidak boleh, dihapus untuk kompatibilitas. Namun, mereka dapat diganti namanya. Unit organisasi, di sisi lain, adalah tunduk pada penghapusan disengaja pohon oleh administrator.

    Windows Server 2003 versi snap-in Active Directory pengguna & komputer dapat mengikuti langkah-langkah dalam"Melindungi Unit organisasi dari penghapusan tidak disengaja."

    Windows Server 2008 dan versi yang lebih baru dari direktori pengguna dan komputer Active snap-in menampilkan kotak centang "Melindungi objek melawan penghapusan tidak disengaja" yang Anda dapat mengklik untuk memilih bila Anda membuat wadah unit organisasi baru. Anda juga dapat memilih kotak centang ini pada Objek tab Properti kotak dialog untuk wadah unit organisasi yang ada.

    Pilihan naskah yang didokumentasikan dalam"Script untuk melindungi unit organisasi (OUs) dari penghapusan tidak disengaja."
  • Exchange 2000 dan 2003 setup /domainprep gagal dengan kesalahan. Masalah ini didokumentasikan di artikel Basis Pengetahuan Microsoft berikut:
    • 260914 Utilitas Domainprep tidak bekerja jika server Exchange perusahaan group dan Exchange Server Domain group pindah ke tempat baru
    • 818470 Exchange Server 2003 Penataan kembali kode kesalahan 0x80072030 ketika Anda menjalankan setup.exe /domainprep

Mengarahkan CN = pengguna untuk unit organisasi ditentukan administrator

  1. Masuk dengan kredensial administrator domain di z domain di mana CN = pengguna wadah yang dialihkan.
  2. Transisi domain ke domain Windows Server 2003 fungsional tingkat atau yang lebih baru dalam salah satu direktori pengguna dan komputer Active snap-in (Dsa.msc) atau Domain dan Trust (Domains.msc) snap-in. Untuk informasi lebih lanjut tentang meningkatkan tingkat fungsional domain, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    322692Bagaimana untuk meningkatkan tingkat fungsional domain dan hutan di Windows Server 2003
  3. Membuat unit organisasi wadah di mana Anda ingin pengguna yang dibuat dengan versi sebelumnya api berada, jika organisasi unit kontainer yang Anda inginkan tidak sudah ada.
  4. Jalankan file Redirusr.exe pada prompt perintah dengan menggunakan sintaks berikut, di mana wadah-dn adalah nama dibedakan dari unit organisasi yang akan menjadi default lokasi untuk objek pengguna baru dibuat dibuat oleh tingkat bawah api:
    c:\windows\system32\redirusr<dn path="" to="" alternate="" ou=""></dn>
    Redirusr dipasang di map % SystemRoot%\System32 pada komputer berbasis Windows Server 2003 atau lebih baru. Misalnya, untuk mengubah lokasi default untuk pengguna yang dibuat dengan tingkat bawah api seperti pengguna bersih untuk OU = MYUsers OU wadah di CONTOSO.COM domain, gunakan sintaks berikut:
    c:\Windows\System32>redirusr ou = myusers, DC = contoso, dc = com

Mengarahkan CN = komputer untuk unit organisasi ditentukan administrator

  1. Masuk dengan kredensial Domain Administrator di domain di mana CN = komputer wadah yang dialihkan.
  2. Transisi domain ke domain Windows Server 2003 di Direktori pengguna dan komputer Active snap-in (Dsa.msc) atau dalam domain dan Trust (Domains.msc) snap-in.Untuk informasi lebih lanjut tentang meningkatkan tingkat fungsional domain, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    322692Bagaimana untuk meningkatkan tingkat fungsional domain dan hutan di Windows Server 2003
  3. Membuat unit organisasi wadah di mana Anda ingin komputer yang dibuat dengan versi sebelumnya api untuk dapat ditemukan, jika diinginkan organisasi unit kontainer tidak sudah ada.
  4. Menjalankan Redircmp.exe file pada prompt perintah dengan menggunakan sintaks berikut, di mana wadah-dn adalah nama dibedakan dari unit organisasi yang akan menjadi lokasi default untuk komputer objek yang dibuat oleh tingkat bawah api yang baru dibuat:
    redircmp wadah-dn wadah-dn
    Redircmp.exe dipasang di map % SystemRoot%\System32 pada berbasis Windows Server 2003 atau komputer yang lebih baru. Misalnya, untuk mengubah lokasi default untuk komputer yang dibuat dengan versi sebelumnya api seperti pengguna bersih untuk OU = mycomputers wadah di CONTOSO.COM domain, gunakan sintaks berikut:
    C:\Windows\System32>redircmp ou = mycomputers, DC = contoso, dc = com
    Catatan Ketika Redircmp.exe dijalankan untuk mengarahkan CN = komputer wadah untuk unit organisasi yang ditentukan oleh administrator, CN = komputer kontainer akan tidak lagi menjadi objek yang dilindungi. Ini berarti bahwa komputer wadah dapat sekarang pindah, dihapus, atau berganti nama. Jika Anda menggunakan ADSIEDIT untuk melihat atribut pada CN = komputer wadah, Anda akan melihat bahwa systemflags atribut berubah dari-1946157056 ke 0. Ini adalah oleh desain.

Keterangan tentang pesan kesalahan

Pesan galat yang Anda terima jika PDC offline

Redircmp dan Redirusr perubahan wellKnownObjects atribut pada kontroler domain utama (PDC). Jika PDC domain yang sedang berubah sedang offline atau tidak dapat diakses, Anda menerima pesan galat berikut.
Pesan galat 1
D:\>redirusr OU = userOU, DC = udc, dc = jkcertcontoso, dc = loc com
Kesalahan, tidak dapat menemukan kontroler Domain utama untuk domain saat ini: domain tertentu baik tidak ada atau tidak dapat dihubungi. Pengalihan itu tidak berhasil.
Pesan galat 2
D:\>redircmp OU = computerOU, DC = contoso, dc = com DC = udc, dc = jkcert, dc = loc
Kesalahan, tidak dapat menemukan kontroler Domain utama untuk domain saat ini: domain tertentu baik tidak ada atau tidak dapat dihubungi. Pengalihan itu tidak berhasil.

Pesan galat yang Anda terima jika tingkat fungsional domain tidak Windows Server 2003

Jika Anda mencoba untuk mengarahkan pengguna atau komputer unit organisasi di domain yang telah tidak beralih ke domain Windows Server 2003 tingkatan fungsional, Anda menerima pesan galat berikut.
Pesan galat 1
C:\>redirusr OU = usersou, DC = contoso, dc = comDC = perusahaan, DC = com
Kesalahan, tidak dapat memodifikasi atribut wellKnownObjects. Verifikasi bahwa tingkat fungsional domain domain setidaknya Windows Server 2003: enggan untuk melakukan pengalihan itu tidak berhasil.
Pesan galat 2
C:\>REDIRCMP ou = computersou, DC = contoso, dc = comdc = perusahaan, dc = com
Kesalahan, tidak dapat memodifikasi atribut wellKnownObjects. Verifikasi bahwa tingkat fungsional domain domain setidaknya Windows Server 2003: enggan untuk melakukan

Pesan galat yang Anda terima jika Anda masuk tanpa izin yang diperlukan

Jika Anda mencoba untuk mengarahkan pengguna atau unit organisasi komputer dengan menggunakan kredensial yang salah dalam target domain, Anda mungkin menerima pesan galat berikut.
Pesan galat 1
C: mengatakan REDIRCMP OU = computersou, DC = contoso, dc = comDC = perusahaan, DC = com
Kesalahan, tidak dapat memodifikasi atribut wellKnownObjects. Verifikasi bahwa tingkat fungsional domain domain setidaknya Windows Server 2003: tidak cukup hak Redirection itu tidak berhasil.
Pesan galat 2
: \>redirusr OU = usersou, DC = contoso, dc = comDC = perusahaan, DC = com
Kesalahan, tidak dapat memodifikasi atribut wellKnownObjects. Verifikasi bahwa tingkat fungsional domain domain setidaknya Windows Server 2003: tidak cukup hak Redirection itu tidak berhasil.

Pesan galat yang Anda terima jika Anda mengarahkan untuk unit organisasi yang tidak ada

Jika Anda mencoba untuk mengarahkan pengguna atau unit organisasi komputer untuk unit organisasi yang tidak ada, Anda akan menerima galat berikut pesan.
Pesan galat 1
C:\>REDIRCMP OU = nonexistantou, DC = contoso, dc = com dc = rendom, dc = com
Kesalahan, tidak dapat memodifikasi atribut wellKnownObjects. Verifikasi bahwa tingkat fungsional domain domain setidaknya Windows Server 2003: tidak seperti objek Redirection itu tidak berhasil.
Pesan galat 2
C:\>redirusr OU = nonexistantou, DC = contoso, dc = com DC = perusahaan, DC = com
Kesalahan, tidak dapat memodifikasi atribut wellKnownObjects. Verifikasi bahwa tingkat fungsional domain domain setidaknya Windows Server 2003: tidak seperti objek Redirection itu tidak berhasil.

Pesan galat yang Anda terima dalam Exchange 2000 "setup /domainprep" ketika CN = pengguna diarahkan

Jika Exchange 2000 dan Exchange 2003 setup /domainprep adalah gagal, Anda menerima pesan galat berikut:
Penataan gagal ketika menginstal sub-Component tingkat Domain izin dengan kesalahan kode 0x80072030) (Silakan berkonsultasi dengan log penginstalan untuk penjelasan rinci). Anda dapat membatalkan instalasi atau mencoba langkah gagal lagi. (Coba lagi / membatalkan)
Data berikut muncul di log Exchange 2000 Setup yang diuraikan dengan log parser. Exchange 2003 harus serupa.
[: MM:] Selesai DomainPrep Microsoft Exchange 2000 komponen
[: MM:] Kode kesalahan ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) 0X80072030 (8240): ada tidak ada objek seperti di server.
[: MM:] Kesalahan ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) kode 0X80072030 (8240): ada tidak ada objek seperti di server.
[: MM:] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error kode 0X80072030 (8240): ada tidak ada objek seperti di server.
[: MM:] modus = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Kode kesalahan 0X80072030 (8240): Ada tidak ada objek seperti di server.
[: MM:] Penataan menjumpai kesalahan selama Microsoft Exchange Domain persiapan dari DomainPrep komponen tugas. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Kode kesalahan 0X80072030 (8240): Ada tidak ada objek seperti di server.
[: MM:] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Kode kesalahan 0X80072030 (8240): Ada tidak ada objek seperti di server.
[: MM:] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Kode kesalahan 0X80072030 (8240): ada tidak ada objek seperti di server.
[: MM:] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Kode kesalahan 0X80072030 (8240): ada tidak ada objek seperti di server.
[: MM:] Setup selesai

REFERENSI

Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
818470Exchange Server 2003 Penataan kembali kode kesalahan 0x80072030 ketika Anda menjalankan setup.exe /domainprep
260914 Utilitas Domainprep tidak bekerja jika server Exchange perusahaan group dan Exchange Server Domain group pindah ke tempat baru

Script untuk melindungi unit organisasi dari penghapusan tidak disengaja:
http://Gallery.technet.Microsoft.com/ScriptCenter/en-US/c307540f-bd91-485f-b27e-995ae5cea1e2
Untuk informasi lebih lanjut tentang bagaimana untuk merancang kebijakan grup infrastruktur, kunjungi Web site Microsoft berikut:
http://technet2.Microsoft.com/windowsserver/en/Library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx

Properti

ID Artikel: 324949 - Kajian Terakhir: 26 September 2011 - Revisi: 2.0
Berlaku bagi:
Kata kunci: 
kbinfo kbmt KB324949 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:324949

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com