Reindirizzare i contenitori di utenti e computer nei domini di Active Directory

  • Articolo

È possibile usare redirusr e redircmp per reindirizzare gli account utente, computer e gruppo creati dalle API di versione precedente. Vengono quindi inseriti in contenitori di unità organizzativa (OU) specificati dall'amministratore.

Si applica a: Windows Server 2016, Windows Server 2012 R2
Numero KB originale: 324949

Riepilogo

In un'installazione predefinita di un dominio di Active Directory, gli account utente, computer e gruppo vengono inseriti in contenitori CN=objectclass anziché in un contenitore di classi ou più desiderabile. Analogamente, gli account creati usando le API di versione precedente vengono inseriti nei contenitori CN=Users e CN=computers.

Importante

Alcune applicazioni richiedono che le entità di sicurezza specifiche si trovino in contenitori predefiniti, ad esempio CN=Users o CN=Computers. Verificare che le applicazioni abbiano tali dipendenze prima di spostarle dai contenitori CN=users e CN=computes.

Ulteriori informazioni

Gli utenti, i computer e i gruppi creati dalle API di versione precedente inseriscono gli oggetti nel percorso DN specificato nell'attributo WellKnownObjects. L'attributo WellKnownObjects si trova nell'head nc di dominio. Nell'esempio di codice seguente vengono illustrati i percorsi pertinenti nell'attributo WellKnownObjects dall'head NC del dominio CONTOSO.COM.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Ad esempio, le operazioni seguenti usano API di versione precedente, che si basano sui percorsi definiti nell'attributo WellKnownObjects:

  • Interfaccia utente aggiunta dominio
  • NET COMPUTER
  • GRUPPO NET
  • UTENTE NET
  • NETDOM ADD, in cui il /ou comando non è specificato o supportato

È utile impostare il contenitore predefinito per utenti, computer e gruppi di sicurezza come unità organizzativa per diversi motivi, tra cui:

  • I criteri di gruppo possono essere applicati ai contenitori delle unità organizzative, ma non ai contenitori di classi CN, in cui le entità di sicurezza vengono inserite per impostazione predefinita.

  • La procedura consigliata consiste nel disporre le entità di sicurezza in una gerarchia di unità organizzative che rispecchia la struttura organizzativa, il layout geografico o il modello di amministrazione.

Se si reindirizzano le cartelle CN=Users e CN=Computers, tenere presente i problemi seguenti:

  • Il dominio di destinazione deve essere configurato per l'esecuzione nel livello di funzionalità del dominio di Windows Server 2003 o superiore. Per il livello di funzionalità del dominio Windows Server 2003, significa che:

    • Windows Server 2003 ADPREP /FORESTPREP o versione successiva
    • Windows Server 2003 ADPREP /DOMAINPREP o versione successiva
    • Tutti i controller di dominio nel dominio di destinazione devono eseguire Windows Server 2003 o versione successiva.
    • È necessario abilitare il livello di funzionalità del dominio Windows Server 2003 o versione successiva.

  • A differenza di CN=USERS e CN=COMPUTERS, i contenitori ou sono soggetti a eliminazioni accidentali da parte di account utente con privilegi, inclusi gli amministratori.

    I contenitori CN=USERS e CN=COMPUTERS sono oggetti protetti dal sistema che non possono e non devono essere rimossi per motivi di compatibilità con le versioni precedenti. Ma possono essere rinominati. Le unità organizzative sono soggette a eliminazioni accidentali dell'albero da parte degli amministratori.

    Windows Server 2008 e le versioni più recenti dello snap-in Utenti e computer di Active Directory una casella di controllo Proteggi oggetto dall'eliminazione accidentale che è possibile selezionare quando si crea un nuovo contenitore ou. È anche possibile selezionarlo nella scheda Oggetto della finestra di dialogo Proprietà per un contenitore ou esistente.

  • Il reindirizzamento di CN=USERS influisce sul percorso predefinito per i nuovi utenti, gruppi e account utente attendibili. Gli account utente attendibili sono nascosti nella maggior parte degli strumenti di amministrazione dell'interfaccia utente, ma è possibile visualizzarli e spostarli in strumenti come LDIFDE e LDP. Il cn dell'account è <nome> di dominio di livello inferiore$, ad esempio "contoso$".

  • Se si verificano errori di preparazione Exchange Server Active Directory, assicurarsi di eseguire l'aggiornamento cumulativo più recente e l'aggiornamento della sicurezza.

Reindirizzare CN=Users a un'unità organizzativa specificata dall'amministratore

  1. Accedere con le credenziali di amministratore di dominio nel dominio in cui viene reindirizzato il contenitore CN=Users.

  2. Eseguire la transizione del dominio al livello di funzionalità del dominio di Windows Server 2003 o più recenti nello snap-in Utenti e computer di Active Directory (Dsa.msc) o nello snap-in Domini e trust (Domains.msc). Per altre informazioni sull'aumento del livello di funzionalità del dominio, vedere Come aumentare i livelli di funzionalità di dominio e foresta.

  3. Creare il contenitore OU in cui si desidera che vengano individuati utenti e gruppi creati con API di versione precedente, se il contenitore OU desiderato non esiste.

  4. Eseguire Redirusr.exe al prompt dei comandi usando la sintassi seguente. Nel comando container-dn è il nome distinto dell'unità organizzativa che diventerà il percorso predefinito per gli oggetti utente e gruppo appena creati creati dalle API di livello inferiore:

    c:\windows\system32\redirusr container-dn

    Redirusr viene installato nella %SystemRoot%\System32 cartella in computer windows server 2003 o versioni successive. Ad esempio, per modificare il percorso predefinito per gli utenti creati con API di livello inferiore, ad esempio Utente di rete, nel contenitore OU OU=MYUsers nel CONTOSO.COM dominio, usare la sintassi seguente:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Nota

    Quando si esegueRedirusr.exe per reindirizzare il contenitore CN=Users a un'unità organizzativa specificata da un amministratore, il contenitore CN=Users non sarà più un oggetto protetto. Ciò significa che il contenitore Utenti può ora essere spostato, eliminato o rinominato. Se si usa ADSIEDIT per visualizzare gli attributi nel contenitore CN=Users, si noterà che l'attributo systemflags è stato modificato da -1946157056 a 0. Si tratta di un comportamento legato alla progettazione.

    Per eliminare il contenitore, è necessario spostare gli utenti e i gruppi predefiniti in altre unità organizzative e contenitori e anche negli account utente attendibili. Questi account attendibili possono essere visualizzati e spostati usando strumenti come LDIFDE e LDP. È consigliabile mantenere invariato il contenitore e gli account predefiniti per garantire la coerenza.

Reindirizzare CN=Computers a un'unità organizzativa specificata dall'amministratore

  1. Accedere con le credenziali di amministratore di dominio nel dominio in cui viene reindirizzato il contenitore CN=computers.

  2. Eseguire la transizione del dominio al dominio di Windows Server 2003 nello snap-in Utenti e computer di Active Directory (Dsa.msc) o nello snap-in Domini e trust (Domains.msc). Per altre informazioni sull'aumento del livello di funzionalità del dominio, vedere Come aumentare i livelli di funzionalità di dominio e foresta.

  3. Creare il contenitore ou in cui si desidera che i computer creati con API di versione precedente siano posizionati, se il contenitore OU desiderato non esiste.

  4. Eseguire Redircmp.exe al prompt dei comandi usando la sintassi seguente. Nel comando container-dn è il nome distinto dell'unità organizzativa che diventerà il percorso predefinito per gli oggetti computer appena creati creati dalle API di livello inferiore:

    redircmp container-dn

    Redircmp.exe viene installato nella %Systemroot%\System32 cartella in Windows Server 2003 o versioni successive. Per modificare il percorso predefinito di un computer creato con API di versione precedente, ad esempio Net Computer, nel contenitore OU=MyComputers nel dominio CONTOSO.COM, usare la sintassi seguente:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Nota

    Quando si esegueRedircmp.exe per reindirizzare il contenitore CN=Computers a un'unità organizzativa specificata da un amministratore, il contenitore CN=Computers non sarà più un oggetto protetto. Ciò significa che il contenitore Computer può ora essere spostato, eliminato o rinominato. Se si usa ADSIEDIT per visualizzare gli attributi nel contenitore CN=Computers, si noterà che l'attributo systemflags è stato modificato da -1946157056 a 0. Si tratta di un comportamento legato alla progettazione.

Descrizione dei messaggi di errore

Di seguito sono riportati i messaggi di errore che si verificano in alcuni casi.

Messaggi di errore ricevuti se il controller di dominio primario è offline

Redircmp e Redirusr modificano l'attributo wellKnownObjects nel controller di dominio primario (PDC). Se il controller di dominio primario del dominio modificato è offline o inaccessibile, vengono visualizzati i messaggi di errore seguenti.

  • Messaggio di errore 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Errore: impossibile individuare il controller di dominio primario per il dominio corrente: il dominio specificato non esiste o non può essere contattato. Il reindirizzamento NON ha avuto esito positivo.

  • Messaggio di errore 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Errore: impossibile individuare il controller di dominio primario per il dominio corrente: il dominio specificato non esiste o non può essere contattato. Il reindirizzamento NON ha avuto esito positivo.

Messaggi di errore visualizzati se il livello di funzionalità del dominio non è Windows Server 2003

Si tenta di reindirizzare gli utenti o l'unità organizzativa del computer in un dominio che non è stato sottoposto a transizione al livello di funzionalità del dominio di Windows Server 2003. In questo caso, vengono visualizzati i messaggi di errore seguenti:

  • Messaggio di errore 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Non è stato possibile eseguire il reindirizzamento.

  • Messaggio di errore 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Non disposto a eseguire

Messaggi di errore ricevuti se si accede senza le autorizzazioni necessarie

Se si tenta di reindirizzare gli utenti o l'unità organizzativa del computer usando credenziali non corrette nel dominio di destinazione, è possibile che vengano visualizzati i messaggi di errore seguenti:

  • Messaggio di errore 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Il reindirizzamento dei diritti insufficiente NON ha avuto esito positivo.

  • Messaggio di errore 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Il reindirizzamento dei diritti insufficiente NON ha avuto esito positivo.

Messaggi di errore ricevuti se si esegue il reindirizzamento a un'unità organizzativa che non esiste

Si tenta di reindirizzare gli utenti o l'unità organizzativa del computer a un'unità organizzativa che non esiste. In questo caso, è possibile che vengano visualizzati i messaggi di errore seguenti:

  • Messaggio di errore 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Nessun reindirizzamento oggetti di questo tipo non ha avuto esito positivo.

  • Messaggio di errore 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Nessun reindirizzamento oggetti di questo tipo non ha avuto esito positivo.

Messaggi di errore visualizzati nel programma di installazione di Exchange Server 2000 /domainprep quando CN=Users viene reindirizzato

Se Exchange Server 2000 e Exchange Server 2003 setup /domainprep non riesce, viene visualizzato il messaggio di errore seguente:

Installazione non riuscita durante l'installazione delle autorizzazioni a livello di dominio del sottocomponente con codice di errore 0x80072030). Per una descrizione dettagliata, vedere i log di installazione. È possibile annullare l'installazione o provare di nuovo il passaggio non riuscito. (Riprova/Annulla)

I dati seguenti vengono visualizzati nel log di installazione di Exchange Server 2000 analizzato con il parser di log. Exchange Server 2003 dovrebbe essere simile.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed