Active Directory ドメイン内のユーザーとコンピューターのコンテナーをリダイレクトする

  • [アーティクル]

redirusr と redircmp を使用して、以前のバージョンの API によって作成されたユーザー、コンピューター、およびグループ アカウントをリダイレクトできます。 そのため、管理者が指定した組織単位 (OU) コンテナーに配置されます。

適用対象: Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 324949

概要

Active Directory ドメインの既定のインストールでは、ユーザー、コンピューター、およびグループ アカウントは、より望ましい OU クラス コンテナーではなく CN=objectclass コンテナーに配置されます。 同様に、以前のバージョンの API を使用して作成されたアカウントは、CN=Users コンテナーと CN=computers コンテナーに格納されます。

重要

一部のアプリケーションでは、CN=Users や CN=Computers などの既定のコンテナーに特定のセキュリティ プリンシパルを配置する必要があります。 CN=users コンテナーと CN=computes コンテナーからアプリケーションを移動する前に、アプリケーションにこのような依存関係があることを確認します。

詳細

以前のバージョンの API によって作成されたユーザー、コンピューター、およびグループは、WellKnownObjects 属性で指定された DN パスにオブジェクトを配置します。 WellKnownObjects 属性は、ドメイン NC ヘッドにあります。 次のコード例は、CONTOSO.COM ドメイン NC ヘッドからの WellKnownObjects 属性の関連パスを示しています。

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

たとえば、次の操作では、WellKnownObjects 属性で定義されているパスに依存する以前のバージョンの API を使用します。

  • ドメイン参加 UI
  • NET COMPUTER
  • NET グループ
  • NET USER
  • NETDOM ADD。コマンドが /ou 指定されていないか、サポートされていません

ユーザー、コンピューター、およびセキュリティ グループの既定のコンテナーを OU にすると、次のようないくつかの理由で役立ちます。

  • グループ ポリシーは OU コンテナーに適用できますが、セキュリティ プリンシパルが既定で配置される CN クラス コンテナーには適用できません。

  • ベスト プラクティスは、組織構造、地理的レイアウト、または管理モデルを反映する OU 階層にセキュリティ プリンシパルを配置することです。

CN=Users フォルダーと CN=Computers フォルダーをリダイレクトする場合は、次の問題に注意してください。

  • ターゲット ドメインは、Windows Server 2003 ドメインの機能レベル以上で実行するように構成する必要があります。 Windows Server 2003 ドメインの機能レベルでは、次のことを意味します。

    • Windows Server 2003 ADPREP /FORESTPREP 以降
    • Windows Server 2003 ADPREP /DOMAINPREP 以降
    • ターゲット ドメイン内のすべてのドメイン コントローラーは、Windows Server 2003 以降を実行する必要があります。
    • Windows Server 2003 ドメインの機能レベル以上を有効にする必要があります。

  • CN=USERS および CN=COMPUTERS とは異なり、OU コンテナーは、管理者を含む特権ユーザー アカウントによって誤って削除される可能性があります。

    CN=USERS コンテナーと CN=COMPUTERS コンテナーは、下位互換性のために削除できないシステムで保護されたオブジェクトであり、削除する必要はありません。 ただし、名前は変更できます。 組織単位は、管理者が誤ってツリーを削除する可能性があります。

    Windows Server 2008 以降のバージョンのActive Directory ユーザーとコンピューター スナップインには、新しい OU コンテナーを作成するときに選択できる [誤った削除からオブジェクトを保護する] チェック ボックスが用意されています。 既存の OU コンテナーの [プロパティ] ダイアログ ボックスの [オブジェクト] タブで選択することもできます。

  • CN=USERS のリダイレクトは、新しいユーザー、グループ、信頼ユーザー アカウントの既定の場所に影響します。 信頼ユーザー アカウントは、ほとんどの UI 管理ツールでは非表示になっていますが、LDIFDE や LDP などのツールで表示および移動できます。 アカウントの CN は <、"contoso$" などのダウンレベル ドメイン名> $です。

  • Active Directory の準備エラー Exchange Server発生した場合は、最新の累積的な更新プログラムとセキュリティ更新プログラムを実行していることを確認してください。

CN=Users を管理者が指定した OU にリダイレクトする

  1. CN=Users コンテナーがリダイレクトされているドメインで、ドメイン管理者の資格情報を使用してログオンします。

  2. Active Directory ユーザーとコンピューター スナップイン (Dsa.msc) または Domains and Trusts (Domains.msc) スナップインで、ドメインを Windows Server 2003 ドメイン機能レベル以降に移行します。 ドメインの機能レベルを上げる方法の詳細については、「 ドメインとフォレストの機能レベルを上げる方法」を参照してください。

  3. 必要な OU コンテナーが存在しない場合は、以前のバージョンの API で作成されたユーザーとグループを配置する OU コンテナーを作成します。

  4. コマンド プロンプトで Redirusr.exe を実行するには、次の構文を使用します。 コマンドでは、 container-dn は OU の識別名であり、新しく作成されたユーザー オブジェクトとグループ オブジェクトの既定の場所になります。これは、ダウンレベルの API によって作成されます。

    c:\windows\system32\redirusr container-dn

    Redirusr は、Windows Server 2003 ベースまたは新しいコンピューター上のフォルダーにインストール %SystemRoot%\System32 されます。 たとえば、Net User などの下位レベルの API を使用して作成されたユーザーの既定の場所をドメイン内の OU=MYUsers OU コンテナーに CONTOSO.COM 変更するには、次の構文を使用します。

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    注:

    CN=Users コンテナーを管理者が指定した OU にリダイレクトするために Redirusr.exe を実行すると、CN=Users コンテナーは保護されたオブジェクトではなくなります。 つまり、Users コンテナーを移動、削除、または名前変更できるようになりました。 ADSIEDIT を使用して CN=Users コンテナーの属性を表示すると、systemflags 属性が -1946157056 から 0 に変更されたことがわかります。 この動作は仕様です。

    コンテナーを削除するには、既定のユーザーとグループを他の OU とコンテナー、および信頼ユーザー アカウントに移動する必要があります。 これらの信頼アカウントは、LDIFDE や LDP などのツールを使用して表示および移動できます。 一貫性を保つために、コンテナーを変更せず、既定のアカウントを配置しておくことをお勧めします。

CN=Computers を管理者が指定した OU にリダイレクトする

  1. CN=computers コンテナーがリダイレクトされているドメインで、ドメイン管理者の資格情報を使用してログオンします。

  2. ドメインを、Active Directory ユーザーとコンピューター スナップイン (Dsa.msc) またはドメインと信頼 (Domains.msc) スナップインの Windows Server 2003 ドメインに移行します。 ドメインの機能レベルを上げる方法の詳細については、「 ドメインとフォレストの機能レベルを上げる方法」を参照してください。

  3. 目的の OU コンテナーが存在しない場合は、以前のバージョンの API で作成されたコンピューターを配置する OU コンテナーを作成します。

  4. コマンド プロンプト でRedircmp.exe を実行するには、次の構文を使用します。 コマンドでは、 container-dn は OU の識別名であり、ダウンレベル API によって作成される新しく作成されたコンピューター オブジェクトの既定の場所になります。

    redircmp container-dn

    Redircmp.exe は、Windows Server 2003 以降のバージョンのフォルダーにインストールされます %Systemroot%\System32 。 Net Computer などの以前のバージョンの API を使用して作成されたコンピューターの既定の場所を、CONTOSO.COM ドメイン内の OU=MyComputers コンテナーに変更するには、次の構文を使用します。

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    注:

    CN=Computers コンテナーを管理者が指定した OU にリダイレクトするために Redircmp.exe を実行すると、CN=Computers コンテナーは保護オブジェクトではなくなります。 つまり、Computers コンテナーを移動、削除、または名前変更できるようになりました。 ADSIEDIT を使用して CN=Computers コンテナーの属性を表示すると、systemflags 属性が -1946157056 から 0 に変更されたことがわかります。 この動作は仕様です。

エラー メッセージの説明

場合によっては発生するエラー メッセージを次に示します。

PDC がオフラインの場合に表示されるエラー メッセージ

Redircmp と Redirusr は、プライマリ ドメイン コントローラー (PDC) の wellKnownObjects 属性を変更します。 変更されているドメインの PDC がオフラインまたはアクセスできない場合は、次のエラー メッセージが表示されます。

  • エラー メッセージ 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    現在のドメインのプライマリ ドメイン コントローラーが見つかりませんでした。指定されたドメインが存在しないか、接続できませんでした。 リダイレクトが成功しなかった。

  • エラー メッセージ 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    現在のドメインのプライマリ ドメイン コントローラーが見つかりませんでした。指定されたドメインが存在しないか、接続できませんでした。 リダイレクトが成功しなかった。

ドメインの機能レベルが Windows Server 2003 でない場合に表示されるエラー メッセージ

Windows Server 2003 ドメインの機能レベルに移行されていないドメイン内のユーザーまたはコンピューター OU をリダイレクトしようとするとします。 このような場合は、次のエラー メッセージが表示されます。

  • エラー メッセージ 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認します。リダイレクトの実行を望んでいませんが成功していません。

  • エラー メッセージ 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認する: 実行を望まない

必要なアクセス許可なしでログオンした場合に表示されるエラー メッセージ

ターゲット ドメインで正しくない資格情報を使用してユーザーまたはコンピューター OU をリダイレクトしようとすると、次のエラー メッセージが表示されることがあります。

  • エラー メッセージ 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認します。権限のリダイレクトが不十分でした。

  • エラー メッセージ 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認します。権限のリダイレクトが不十分でした。

存在しない OU にリダイレクトした場合に表示されるエラー メッセージ

ユーザーまたはコンピューター OU を存在しない OU にリダイレクトしようとするとします。 このような場合は、次のエラー メッセージが表示される場合があります。

  • エラー メッセージ 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認します。そのようなオブジェクト リダイレクトが成功していません。

  • エラー メッセージ 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認します。そのようなオブジェクト リダイレクトが成功していません。

CN=Users がリダイレクトされたときに、Exchange Server 2000 セットアップ /domainprep で表示されるエラー メッセージ

Exchange Server 2000 と Exchange Server 2003 setup /domainprep が失敗した場合、次のエラー メッセージが表示されます。

エラー コード 0x80072030) を使用してサブコンポーネントのドメイン レベルのアクセス許可をインストール中にセットアップに失敗しました (詳細な説明については、インストール ログを参照してください)。 インストールを取り消すか、失敗した手順をもう一度試すことができます。 (再試行/取り消し)

次のデータは、ログ パーサーで解析される Exchange Server 2000 セットアップ ログに表示されます。 Exchange Server 2003 も同様である必要があります。

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed