Reindirizzamento di contenitori utenti e computer in domini di Windows Server 2003

Identificativo articolo: 324949 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Nei controller di dominio di Windows 2000 e Windows Server 2003, ai contenitori predefiniti per utenti, computer e gruppi creati utilizzando API di versioni precedenti viene assegnata la classe oggetto CN invece della più opportuna classe unità organizzativa container.

Si consiglia agli amministratori di procedere alla distribuzione capillare della struttura ottimale delle unità organizzative in tutti i domini di Active Directory (per i dettagli consultare la sezione "Ulteriori informazioni"). Dopo aver aggiornato o distribuito i controller di dominio di Windows Server 2003 nella modalità Dominio di Windows Server 2003, reindirizzare i contenitori predefiniti utilizzati dalle API di versioni precedenti per creare utenti, computer e gruppi a un contenitore di unità organizzative specificato dall'amministratore.

Importante Se si utilizza Microsoft Exchange Server, è importante non spostare il gruppo dei server di dominio di Exchange o il gruppo dei server Exchange Enterprise in nessun'altra unità organizzativa. Infatti, ai fini del buon funzionamento di Exchange, questi gruppi devono restare nel contenitore Utenti predefinito.
Torna all'inizio | Invia suggerimenti

Informazioni

Per impostazione predefinita, il contenitore per i gruppi di protezione, per gli account utente e per gli account computer nelle installazioni nuove e aggiornate di Windows 2000 e Windows Server 2003 è CN=Users e CN=Computers. Non è possibile applicare le impostazioni dei criteri di gruppo ai contenitori di classe CN. Pertanto, gli amministratori che desiderano definire le impostazioni relative ai criteri per utenti e computer e memorizzarle nel relativo contenitore predefinito, dovranno eseguire l'operazione nella radice del dominio. Per evitare che le impostazioni dei criteri definite in un contenitore di livello superiore (la radice del dominio) vengano applicate a utenti, computer e gruppi dei contenitori CN e di unità organizzative subordinati, gli amministratori devono definire complessi elenchi di controllo di accesso (ACL) per le impostazioni dei criteri nella radice del dominio.

La soluzione per i domini di Windows 2000 e Windows Server 2003 è quella di distribuire la struttura ottimale delle unità organizzative in cui utenti, computer, gruppi, account di servizio e account amministratore dispongono ciascuno di una propria unità organizzativa. Per ulteriori informazioni sulla struttura di unità organizzative che rispetti le procedure consigliate, vedere la sezione relativa alla creazione di un'unità organizzativa del white paper sulle procedure consigliate di progettazione di Active Directory per la gestione di reti Windows. Per visualizzare questo white paper, visitare il seguente sito Web di Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
(http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx)
Nell'elenco che segue sono descritti i vantaggi derivanti dall'utilizzo di una struttura di unità organizzative che rispetti le procedure consigliate:
  • Consente agli amministratori di applicare i criteri di gruppo direttamente ai contenitori di utenti e computer.
  • Consente agli amministratori di abbinare i criteri di gruppo a oggetti di una classe comune. Le impostazioni dei criteri computer o utente, ad esempio, possono essere collegate direttamente alle unità organizzative che contengono account utente o computer.
  • Consente a utenti delegati di applicare criteri a contenitori nei quali non sono presenti utenti e gruppi basati sulla protezione quali amministratori di dominio, amministratori di schema o amministratori dell'organizzazione.
  • Può limitare i danni nel caso dell'eliminazione accidentale di una unità organizzativa, a condizione che il contenitore di livello superiore sia protetto correttamente.
  • Consente di ripristinare utenti e gruppi in modo indipendente gli uni dagli altri in uno scenario di recupero. Gli account utente devono già essere presenti prima dell'operazione di ripristino del gruppo. Se utenti e gruppi risiedono in contenitori diversi, sarà possibile ripristinarli e contrassegnarli come autorevoli in modo indipendente gli uni dagli altri.
I contenitori CN=USERS e CN=COMPUTERS sono oggetti protetti. Non possono e non devono essere rimossi per garantire la compatibilità con versioni precedenti, ma possono essere rinominati.

La struttura ottimale delle unità organizzative agevola la memorizzazione di utenti, computer e gruppi esistenti in Active Directory perché tali oggetti possono essere spostati nel contenitore opportuno delle unità organizzative nei domini di Windows 2000 e Windows Server 2003 indipendentemente dal livello funzionale del dominio o dell'insieme di strutture. Per i nuovi account utente, account computer e gruppi di protezione creati (in CN=users CN=computers) con API di versioni precedenti utilizzate dalla GUI e da strumenti di gestione della riga di comando, gli amministratori non possono specificare una unità organizzativa di destinazione. Di conseguenza questi oggetti inizialmente verranno creati nei contenitori CN=Users e CN=Computers e successivamente verranno spostati dall'amministratore o mediante uno script definito dall'amministratore. Di seguito vengono forniti alcuni esempi di questi strumenti:
  • Interfaccia utente per l'aggiunta a un dominio in:
    • Microsoft Windows NT 4.0
    • Microsoft Windows 2000
    • Microsoft Windows XP Professional
    • Microsoft Windows Server 2003
    Con questa operazione l'aggiunta ai domini di Active Directory viene eseguita come computer membri.
  • Comando net user.
  • Comando net computer.
  • Comando net group.
  • Comando netdom add, dove il comando /ou non è specificato o supportato.
  • User Manager su computer membri basati su Windows NT 4.0.
Gli utenti non delegati, inoltre, non saprebbero in quale contenitore creare gli oggetti anche se si potesse specificare l'unità organizzativa di destinazione.

Si consiglia agli amministratori di aggiornare i controller di dominio di Windows NT 4.0 e Windows 2000 ai controller di dominio di Windows Server 2003 e di reindirizzare il percorso noto dei contenitori CN=Users e CN=Computers a una unità organizzativa specificata dall'amministratore. In questo modo le impostazioni dei criteri di gruppo potranno essere applicate ai contenitori nei quali sono presenti account utente e computer appena creati o permanenti.

Quando si reindirizzano le cartelle CN=Users e CN=Computers, considerare i seguenti problemi:
  • Il dominio di destinazione deve essere configurato in modo da poter essere eseguito al livello funzionale del dominio o dell'insieme di strutture di Windows Server 2003. Per quanto riguarda il livello funzionale del dominio, ciò significa che su tutti i controller del dominio deve essere eseguito il sistema operativo Windows Server 2003.
  • Se si esegue il comando setup /domainprep di Exchange 2000, verranno visualizzati i messaggi di errore riportati nella sezione "Messaggi di errore visualizzati in Exchange 2000 SETUP /DOMAINPREP quando si reindirizza CN=Users" di questo articolo. Questo problema si verifica se il gruppo dei server Exchange Enterprise e il gruppo dei server di dominio Exchange aggiunti dal comando di Exchange 2000 setup /domainprep non risiedono nel contenitore CN=USERS. Per risolvere il problema, spostare il gruppo dei server Exchange Enterprise e il gruppo dei server di dominio Exchange creati dal comando setup /domainprep di Exchange 2000 dall'unità organizzativa reindirizzata al contenitore CN=Users. Per ulteriori informazioni sull'interpretazione di Exchange, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    260914
    (http://support.microsoft.com/kb/260914/ )
    L'utilità Domainprep non funziona se il gruppo dei server Exchange Enterprise e il gruppo dei server di dominio Exchange sono stati spostati in un nuovo contenitore

Reindirizzamento di CN=Users a una unità organizzativa specificata dall'amministratore

  1. Accedere con le credenziali di amministratore del dominio di destinazione a cui è reindirizzato il contenitore CN=Users.
  2. Eseguire la transizione del dominio al livello funzionale del dominio di Windows Server 2003 nello snap-in Utenti e computer di Active Directory (Dsa.msc) o nello snap-in Domini e trust (Domains.msc). Per ulteriori informazioni sull'aumento del livello di funzionalità del dominio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    322692
    (http://support.microsoft.com/kb/322692/ )
    Aumentare il livello funzionalità di dominio in Windows Server 2003
  3. Creare il contenitore dell'unità organizzativa dove si desidera collocare gli utenti creati con API di versioni precedenti (se il contenitore dell'unità organizzativa non esiste già).
  4. Eseguire Redirusr.exe dal prompt dei comandi utilizzando la sintassi riportata di seguito, dove nd-contenitore è il nome distinto dell'unità organizzativa in cui, per impostazione predefinita, verranno collocati i nuovi oggetti utente creati dalle API di livello inferiore:
    c:\windows\system32\redirusr nd-contenitore
    Nei computer nuovi e aggiornati basati su Windows Server 2003 redirusr viene installato nella cartella %SystemRoot%\System32. Ad esempio, per cambiare il percorso predefinito per gli utenti creati con API di livello inferiore come Net User reindirizzandolo al contenitore OU=Users nel dominio CORP.COM, utilizzare la seguente sintassi:
    c:\windows\system32>redirusr ou=myusers,DC=company,dc=com
Per ulteriori informazioni sulla progettazione di un'infrastruttura Criteri di gruppo, visitare il seguente sito Web Microsoft (informazioni in lingua inglese): http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx
(http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx)

Reindirizzamento di CN=Computers a una unità organizzativa specificata dall'amministratore

  1. Accedere con le credenziali di amministratore di dominio al dominio di destinazione in cui viene reindirizzato il contenitore CN=computers.
  2. Eseguire la transizione del dominio al dominio di Windows Server 2003 nello snap-in Utenti e computer di Active Directory (Dsa.msc) o nello snap-in Domini e trust(Domains.msc). Per ulteriori informazioni sull'aumento del livello di funzionalità del dominio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    322692
    (http://support.microsoft.com/kb/322692/ )
    Aumentare il livello funzionalità di dominio in Windows Server 2003
  3. Creare il contenitore dell'unità organizzativa dove si desidera collocare i computer creati con API di versioni precedenti (se il contenitore dell'unità organizzativa non esiste già).
  4. Eseguire Redircmp.exe dal prompt dei comandi utilizzando la sintassi riportata di seguito, dove nd-contenitore è il nome distinto dell'unità organizzativa in cui, per impostazione predefinita, verranno collocati i nuovi oggetti computer creati dalle API di livello inferiore:
    redircmp nd-contenitore container-dn
    Nei computer nuovi e aggiornati basati su Windows Server 2003, redircmp.exe viene installato nella cartella %SystemRoot%\System32. Ad esempio, per cambiare il percorso predefinito di un computer creato con API di versioni precedenti come Net User reindirizzandolo al contenitore OU=mycomputers nel dominio CORP.COM, utilizzare la seguente sintassi:
    C:\windows\system32>redircmp ou=mycomputers,DC=company,dc=com
    Nota Quando Redircmp.exe viene eseguito per reindirizzare il contenitore CN=Computers a un contenitore OU specificato da un amministratore, il contenitore CN=Computers non sarà più un oggetto computer protetto. Ciò significa che il contenitore Computers potrà essere spostato, eliminato e rinominato. Se si utilizza ADSIEDIT per visualizzare gli attributi del contenitore CN=Computers, sarà possibile vedere che l'attributo systemflags è stato modificato da -1946157056 a 0. Questo comportamento è legato a caratteristiche di progettazione.

Descrizione dei messaggi di errore

Messaggi di errore che si verificano se il controller di dominio primario non è in linea

Redircmp e Redirusr modificano l'attributo wellKnownObjects nel controller di dominio primario (PDC). Se il PDC del dominio da modificare non è in linea o non è accessibile, verranno visualizzati messaggi di errore analoghi ai seguenti.
Messaggio di errore 1
D:\>redirusr OU=userOU,DC=udc,dc=jkcert,dc=loc Errore. Impossibile individuare il controller di dominio primario per il dominio corrente: Il dominio specificato non esiste o è impossibile contattarlo. Reindirizzamento NON riuscito.
Messaggio di errore 2
D:\>redircmp OU=computerOU,DC=udc,dc=jkcert,dc=loc Errore. Impossibile individuare il controller di dominio primario per il dominio corrente: Il dominio specificato non esiste o è impossibile contattarlo. Reindirizzamento NON riuscito.

Messaggi di errore che si verificano se il livello funzionale di dominio non è Windows Server 2003

Se si cerca di reindirizzare unità organizzative utenti o computer in un dominio che non ha subito la transizione al livello funzionale di dominio di Windows Server 2003, verranno visualizzati messaggi di errore analoghi ai seguenti.
Messaggio di errore 1
C:\>redirusr OU=usersou,DC=company,DC=com
Errore. Impossibile modificare l'attributo wellKnownObjects. Verificare che il livello funzionalità dominio del dominio sia almeno Windows Server 2003: Non disponibile per l'esecuzione. Reindirizzamento NON riuscito.
Messaggio di errore 2
C:\>REDIRCMP ou=computersou,dc=company,dc=com
Errore. Impossibile modificare l'attributo wellKnownObjects. Verificare che il livello funzionalità dominio del dominio sia almeno Windows Server 2003: Non disponibile per l'esecuzione

Messaggi di errore che si verificano in caso di accesso senza le autorizzazioni richieste

Se si cerca di reindirizzare unità organizzative utenti o computer utilizzando credenziali errate nel dominio di destinazione, è possibile che vengano visualizzati messaggi di errore analoghi ai seguenti.
Messaggio di errore 1
C:>REDIRCMP OU=computersou,DC=company,DC=com
Errore. Impossibile modificare l'attributo wellKnownObjects. Verificare che il livello funzionalità dominio del dominio sia almeno Windows Server 2003: Diritti insufficienti. Reindirizzamento non riuscito.
Messaggio di errore 2
:\>redirusr OU=usersou,DC=company,DC=com
Errore. Impossibile modificare l'attributo wellKnownObjects. Verificare che il livello funzionalità dominio del dominio sia almeno Windows Server 2003: Diritti insufficienti. Reindirizzamento non riuscito.

Messaggi di errore che si verificano se si esegue un reindirizzamento a un'unità organizzativa che non esiste

Se si cerca di reindirizzare unità organizzative utenti o computer a una unità organizzativa che non esiste, è possibile che vengano visualizzati messaggi di errore analoghi ai seguenti.
Messaggio di errore 1
C:\>REDIRCMP OU=nonexistantou,dc=rendom,dc=com
Errore. Impossibile modificare l'attributo wellKnownObjects. Verificare che il livello funzionalità dominio del dominio sia almeno Windows Server 2003: Nessun oggetto di questo tipo. Reindirizzamento NON riuscito.
Messaggio di errore 2
C:\>redirusr OU=nonexistantou,DC=company,DC=com
Errore. Impossibile modificare l'attributo wellKnownObjects. Verificare che il livello funzionalità dominio del dominio sia almeno Windows Server 2003: Nessun oggetto di questo tipo. Reindirizzamento NON riuscito.

Messaggi di errore che si verificano nel comando "setup /domainprep" di Exchange 2000 quando CN=Users viene reindirizzato

Se il comando setup /domainprep di Exchange 2000 non viene completato, viene visualizzato il seguente messaggio di errore:
Errore durante l'installazione del sottocomponente Autorizzazioni a livello di dominio. Codice di errore: 0x80072030. Per una descrizione completa, consultare i registri dell'installazione). È possibile annullare l'installazione o provare a rieseguire il passaggio non riuscito. (Riprova / Annulla)
Di seguito sono riportati i dati visualizzati nel registro dell'installazione di Exchange 2000 analizzato con il parser di registro:
[OO:MM:SS] Avvio dell'installazione di Exchange 4417 in Windows 2000 5.0.2195.Service Pack 3 alle ore 21.43.31 19/02/2003
[OO:MM:SS] Completato DomainPrep del componente Microsoft Exchange 2000
[OO:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Codice di errore: 0X80072030 (8240): Oggetto inesistente sul server.
[OO:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Codice di errore: 0X80072030 (8240): Oggetto inesistente sul server.
[OO:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Codice di errore: 0X80072030 (8240): Oggetto inesistente sul server.
[OO:MM:SS] modalità = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Codice di errore: 0X80072030 (8240): Oggetto inesistente sul server.
[OO:MM:SS] Errore durante Preparazione dominio di Microsoft Exchange dell'operazione del componente DomainPrep. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Codice di errore: 0X80072030 (8240): Oggetto inesistente sul server.
[OO:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Codice di errore: 0X80072030 (8240): Oggetto inesistente sul server.
[OO:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Codice di errore: 0X80072030 (8240): Oggetto inesistente sul server.
[OO:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Codice di errore: 0X80072030 (8240): Oggetto inesistente sul server.
[OO:MM:SS] Installazione completata
L'attributo wellKnownObjects modificato dai comandi redirusr e redircmp definisce il percorso predefinito in cui vengono creati utenti, computer e gruppi. L'attributo può essere visualizzato nella radice del vertice del contesto dei nomi del dominio utilizzando Ldp.exe o Adsiedit.msc. In questo esempio le unità organizzative Utenti e Computer sono state reindirizzate a OU=UsersOU e OU=ComputersOU:
-----------
Expanding base 'DC=company,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=company,DC=com
	3> objectClass: top; domain; domainDNS; 
	1> distinguishedName: DC=company,DC=com; 
	...
	11> wellKnownObjects: B:32:A9D1CA15768811D1ADED00C04FD8D5CD:OU=usersou,DC=company,DC=com;
                               B:32:AA312825768811D1ADED00C04FD8D5CD:OU=computersou,DC=company,DC=com;
                               B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=company,DC=com; 
                               B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=company,DC=com; 
                               B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=company,DC=com; 
                               B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=company,DC=com;
                               B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=company,DC=com; <BR/>
                               B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=company,DC=com; 
                               B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=company,DC=com; 
                               B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=company,DC=com; 
                               B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=company,DC=com; 
	-----------
Torna all'inizio | Invia suggerimenti

Riferimenti

Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
818470
(http://support.microsoft.com/kb/818470/ )
Viene restituto il codice di errore 0x80072030 nel programma di installazione di Exchange Server 2003 quando si esegue il comando setup.exe /domainprep
260914
(http://support.microsoft.com/kb/260914/ )
L'utilità Domainprep non funziona se il gruppo dei server Exchange Enterprise e il gruppo dei server di dominio Exchange sono stati spostati in un nuovo contenitore
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 324949 - Ultima modifica: martedì 22 maggio 2007 - Revisione: 13.1
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Chiavi: 
kbinfo KB324949
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio