Windows Server 2003 ドメインの Users および Computers コンテナのリダイレクト

文書翻訳 文書翻訳
文書番号: 324949 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

Windows 2000 および Windows Server 2003 のドメイン コントローラでは、以前のバージョンのアプリケーション プログラミング インターフェイス (API) を使用して作成されたユーザー、コンピュータ、およびグループのデフォルトのコンテナが、より適切な組織単位クラスのコンテナではなく、オブジェクト クラス CN になります。

マイクロソフトでは、あらゆる Active Directory ドメインにおいて "ベスト プラクティス組織単位構造" を積極的に展開することを管理者に推奨しています (この資料の「詳細」を参照してください)。Windows Server 2003 ドメイン コントローラを Windows Server 2003 ドメイン モードでアップグレードまたは展開した後で、以前のバージョンの API がユーザー、コンピュータ、およびグループを作成するのに使用するデフォルトのコンテナを、管理者が指定する組織単位コンテナにリダイレクトしてください。

重要 : Microsoft Exchange Server を使用している場合は、Exchange Domain Servers グループや Exchange Enterprise Servers グループを別の組織単位に移動しないようにしてください。Exchange が正常に機能するためには、これらのグループをデフォルトの Users コンテナに配置する必要があります。

詳細

デフォルトでは、新規インストールまたはアップグレードによってインストールされた Windows 2000 および Windows Server 2003 におけるセキュリティ グループ、ユーザー アカウント、およびコンピュータ アカウントのコンテナは、CN=Users および CN=Computers です。CN クラスのコンテナには、グループ ポリシー設定を適用できません。したがって、管理者がユーザーおよびコンピュータに対するポリシー設定を定義してデフォルトのコンテナに格納する場合には、ドメインのルート上で定義する必要があります。この場合、上位のコンテナ (ドメインのルート) 上で定義されたポリシー設定が、下位の CN および組織単位のコンテナ内のユーザーやコンピュータに適用されないようにするため、ドメインのルート内のポリシーに複雑なアクセス制御リスト (ACL) を定義する必要があります。

Windows 2000 および Windows Server 2003 ドメインでのソリューションは、Users、Computers、Groups、Service Accounts および Admin アカウントがそれぞれ独自の組織単位内に存在する "ベスト プラクティス組織単位構造" を展開することです。ベスト プラクティス組織単位構造については、ホワイト ペーパー『Best Practice Active Directory Design for Managing Windows Networks』の「Creating an Organizational Unit Design」に記載されています。このホワイト ペーパーを参照するには、以下のマイクロソフト Web サイトにアクセスしてください。
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
"ベスト プラクティス組織単位構造" を使用する利点は以下のとおりです。
  • 管理者は、ユーザーおよびコンピュータを格納するコンテナに直接グループ ポリシーを適用できます。
  • 管理者は、グループ ポリシーと一般的なオブジェクト クラスのオブジェクトを対応させることができます。たとえば、ユーザー アカウントまたはコンピュータ アカウントを格納する組織単位に、ユーザーまたはコンピュータ ポリシー設定を直接リンクできます。
  • 委任されたユーザーが、セキュリティ上の注意が必要なユーザーおよびグループ (Domain Administrators、Schema Administrators、Enterprise Administrators など) を格納しないコンテナに対してポリシーを適用できます。
  • 誤って組織単位が削除された場合の影響を最小限にすることができます (親コンテナが適切に保護されていることを前提とします)。
  • 復旧の際に、ユーザーおよびグループを互いに独立して復元することができます。グループを復元するためには、その前にユーザー アカウントが存在していなければなりません。ユーザーおよびグループを異なるコンテナに置くことによって、これらを互いに独立して復元し、Authoritative としてマークすることができます。
CN=USERS および CN=COMPUTERS コンテナは、コンピュータによって保護されたオブジェクトです。これらのコンテナの名前を変更することはできますが、下位互換を保つために削除することはできません (削除してはいけません)。

Active Directory 内の既存のユーザー、コンピュータ、およびグループは、Windows 2000 および Windows Server 2003 ドメイン上の適切な組織単位コンテナにドメインやフォレストの機能レベルと関係なく移動できるため、ベスト プラクティス組織単位構造はこれらのオブジェクトに対して正常に動作します。GUI およびコマンド ライン管理ツールで使用される以前のバージョンの API によって作成された新しいユーザー アカウント、コンピュータ アカウント、およびセキュリティ グループでは (CN=users と CN=computers)、管理者が変換先の組織単位を指定することはできません。このため、これらのオブジェクトは CN=Users および CN=Computers コンテナ内に作成され、管理者または管理者定義のスクリプトによって移動されない限り、それらのコンテナ内に格納されます。以下は、このようなツールの例です。
  • 以下の製品で、ドメインに参加するときに使用する UI
    • Microsoft Windows NT 4.0
    • Microsoft Windows 2000
    • Microsoft Windows XP Professional
    • Microsoft Windows Server 2003
    これによって Active Directory ドメインにメンバ コンピュータとして参加します。
  • net user コマンド
  • net computer コマンド
  • net group コマンド
  • /ou コマンドが指定されていない、またはサポートされていない場合の netdom add コマンド
  • Windows NT 4.0 ベースのメンバ コンピュータ上のユーザー マネージャ
さらに、変換先の組織単位が指定されていても、委任されたユーザーにはオブジェクトを作成するコンテナがわかりません。

マイクロソフトでは、Windows NT 4.0 および Windows 2000 ドメイン コントローラを Windows Server 2003 ドメイン コントローラにアップグレードし、CN=Users および CN=Computers への既知のパスを、独自に指定した組織単位にリダイレクトすることを管理者に推奨します。これにより、新しく作成されたユーザー アカウントとコンピュータ アカウントや常設のアカウントを格納するコンテナにグループ ポリシー設定を適用できます。

CN=Users および CN=Computers フォルダをリダイレクトする場合には、以下の 2 つの点に注意してください。
  • 対象のドメインが、Windows Server 2003 ドメインまたはフォレスト機能レベルで実行するように構成されている必要があります。ドメイン機能レベルとしては、ドメイン内のすべてのドメイン コントローラが Windows Server 2003 オペレーティング システムを実行している必要があります。
  • Exchange 2000 の setup /domainprep コマンドを実行すると、この資料の「CN=Users のリダイレクト時に Exchange 2000 の SETUP /DOMAINPREP コマンドで表示されるエラー メッセージ」に示すエラー メッセージが表示されます。この問題は、Exchange 2000 の setup /domainprep コマンドによって追加された Exchange Enterprise Servers グループと Exchange Domain Servers グループが、CN=USERS コンテナに存在しない場合に発生します。この問題を回避するには、Exchange 2000 の setup /domainprep コマンドによって作成された Exchange Enterprise Servers グループと Exchange Domain Servers グループを、リダイレクトされた組織単位から CN=Users コンテナに移動します。 Exchange がパスをどのように解釈するかについての関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    260914 Exchange Enterprise Servers グループと Exchange Domain Servers グループを新規のコンテナに移動した場合に Domainprep ユーティリティが動作しない

CN=Users を管理者が指定する組織単位にリダイレクトする

  1. ドメイン (CN=Users コンテナをリダイレクトするドメイン) のドメイン管理者の資格情報を使用してログオンします。
  2. Active Directory ユーザーとコンピュータ (Dsa.msc) スナップインまたは Active Directory ドメインと信頼関係 (Domains.msc) スナップインのいずれかで、ドメインの機能レベルを [Windows Server 2003] に移行します。 ドメインの機能レベルを上げる方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    322692 Windows Server 2003 でドメインの機能レベルおよびフォレストの機能レベルを上げる方法
  3. 以前のバージョンの API によって作成されるユーザーを格納する組織単位 (OU) コンテナを作成します (目的の OU コンテナが存在しない場合)。
  4. コマンド プロンプトで以下の構文を使用して Redirusr.exe を実行します。container-dn は、下位レベルの API によって新しく作成されるユーザー オブジェクトのデフォルトの場所となる組織単位の識別名です。
    c:\windows\system32\redirusr container-dn
    Redirusr は、新規インストールまたはアップグレードによってインストールされた Windows Server 2003 ベースのコンピュータの %SystemRoot%\System32 フォルダにインストールされます。たとえば、Net User などの下位レベルの API によって作成されるユーザーのデフォルトの場所を、CORP.COM ドメイン内の OU=Users OU コンテナに変更する場合、以下の構文を使用します。
    c:\windows\system32>redirusr ou=myusers,DC=company,dc=com
グループ ポリシー インフラストラクチャの設計の関連情報については、マイクロソフト Web サイト http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx を参照してください。

CN=Computers を管理者が指定する組織単位にリダイレクトする

  1. ドメイン (CN=computers コンテナをリダイレクトするドメイン) のドメイン管理者の資格情報を使用してログオンします。
  2. Active Directory ユーザーとコンピュータ (Dsa.msc) スナップインまたは Active Directory ドメインと信頼関係 (Domains.msc) スナップインのいずれかで、ドメインを Windows Server 2003 ドメインに移行します。 ドメインの機能レベルを上げる方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    322692 Windows Server 2003 でドメインの機能レベルおよびフォレストの機能レベルを上げる方法
  3. 以前のバージョンの API によって作成されるコンピュータを格納する組織単位 (OU) コンテナを作成します (目的の OU コンテナが存在しない場合)。
  4. コマンド プロンプトで以下の構文を使用して Redircmp.exe を実行します。container-dn は、下位レベルの API によって新しく作成されるコンピュータ オブジェクトのデフォルトの場所となる組織単位の識別名です。
    redircmp container-dn container-dn
    Redircmp.exe は、新規インストールまたはアップグレードによってインストールされた Windows Server 2003 ベースのコンピュータの %Systemroot%\System32 フォルダに格納されます。たとえば、Net User などの旧バージョンの API によって作成されるコンピュータのデフォルトの場所を、CORP.COM ドメイン内の OU=mycomputers コンテナに変更する場合、以下の構文を使用します。
    C:\windows\system32>redircmp ou=mycomputers,DC=company,dc=com
    : Redircmp.exe を実行して、管理者が指定する OU に CN=Computers コンテナをリダイレクトすると、CN=Computers コンテナはコンピュータによって保護されたオブジェクトではなくなります。つまり、Computers コンテナの移動、削除、名前の変更ができるようになります。ADSIEDIT を使用して CN=Computers コンテナの属性を表示すると、systemflags 属性が -1946157056 から 0 に変更されていることがわかります。この動作は仕様です。

エラー メッセージの説明

PDC がオフラインの場合に表示されるエラー メッセージ

Redircmp と Redirusr は、プライマリ ドメイン コントローラ (PDC) の wellKnownObjects 属性を変更します。変更されるドメインの PDC がオフラインまたはアクセス不可能の場合、次のエラー メッセージが表示されます。
エラー メッセージ 1
D:\>redirusr OU=userOU,DC=udc,dc=jkcert,dc=loc
エラー: 現在のドメインのプライマリ ドメイン コントローラが見つかりませんでした:現在のドメインのプライマリ ドメイン コントローラが見つかりませんでした:指定されたドメインがないか、またはアクセスできません。
リダイレクトは成功しませんでした。
エラー メッセージ 2
D:\>redircmp OU=computerOU,DC=udc,dc=jkcert,dc=loc
エラー: 現在のドメインのプライマリ ドメイン コントローラが見つかりませんでした:現在のドメインのプライマリ ドメイン コントローラが見つかりませんでした:指定されたドメインがないか、またはアクセスできません。
リダイレクトは成功しませんでした。

ドメイン機能レベルが Windows Server 2003 でない場合に表示されるエラー メッセージ

ドメインの機能レベルが Windows Server 2003 に移行されていないドメインでユーザーまたはコンピュータの組織単位をリダイレクトしようとすると、次のエラー メッセージが表示されます。
エラー メッセージ 1
C:\>redirusr OU=usersou,DC=company,DC=com
エラー: wellKnownObjects の属性を変更できません。ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認してください:
実行しようとしません
リダイレクトは成功しませんでした。
エラー メッセージ 2
C:\>REDIRCMP ou=computersou,dc=company,dc=com
エラー: wellKnownObjects の属性を変更できません。ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認してください:
実行しようとしません

必要なアクセス許可のないアカウントでログオンした場合に表示されるエラー メッセージ

対象となるドメインで正しくない資格情報を使用してユーザーまたはコンピュータの組織単位をリダイレクトしようとすると、次のエラー メッセージが表示されることがあります。
エラー メッセージ 1
C:>REDIRCMP OU=computersou,DC=company,DC=com
エラー: wellKnownObjects の属性を変更できません。ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認してください:
権限が不十分です
リダイレクトは成功しませんでした。
エラー メッセージ 2
:\>redirusr OU=usersou,DC=company,DC=com
エラー: wellKnownObjects の属性を変更できません。ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認してください:
権限が不十分です
リダイレクトは成功しませんでした。

存在しない組織単位にリダイレクトした場合に表示されるエラー メッセージ

ユーザーまたはコンピュータの組織単位を存在しない組織単位にリダイレクトしようとすると、次のエラー メッセージが表示されることがあります。
エラー メッセージ 1
C:\>REDIRCMP OU=nonexistantou,dc=rendom,dc=com
エラー: wellKnownObjects の属性を変更できません。ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認してください:
そのようなオブジェクトはありません
リダイレクトは成功しませんでした。
エラー メッセージ 2
C:\>redirusr OU=nonexistantou,DC=company,DC=com
エラー: wellKnownObjects の属性を変更できません。ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認してください:
そのようなオブジェクトはありません
リダイレクトは成功しませんでした。

CN=Users のリダイレクト時に Exchange 2000 の setup /domainprep コマンドで表示されるエラー メッセージ

Exchange 2000 の setup /domainprep コマンドが正常に実行されなかった場合、次のエラー メッセージが表示されます。
サブコンポーネント ドメイン レベルのアクセス許可のインストール中にエラー コード 0x80072030 (詳細情報については、インストール ログを参照してください) が発生したため、セットアップに失敗しました。インストールをキャンセルするか、または失敗した手順を再度実行してください。(再試行 / キャンセル)
ログ パーサーで解析される Exchange 2000 のセットアップ ログに、以下のデータが表示されます。
[HH:MM:SS] Exchange 4417 のセットアップを Windows 2000 5.0.2195.Service Pack 3 で 21:43:31 02/19/2003 に開始しました。
[HH:MM:SS] DomainPrep (Microsoft Exchange 2000 コンポーネント) のセットアップが完了しました
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): サーバーにそのようなオブジェクトはありません。
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): サーバーにそのようなオブジェクトはありません。
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): サーバーにそのようなオブジェクトはありません。
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): サーバーにそのようなオブジェクトはありません。
[HH:MM:SS] DomainPrep (Microsoft Exchange ドメインの準備コンポーネント) のタスクを実行中にエラーが検出されました。CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): サーバーにそのようなオブジェクトはありません。
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): サーバーにそのようなオブジェクトはありません。
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): サーバーにそのようなオブジェクトはありません。
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): サーバーにそのようなオブジェクトはありません。
[HH:MM:SS] セットアップが完了しました。
redirusr および redircmp コマンドによって変更される wellKnownObjects 属性は、ユーザー、コンピュータおよびグループが作成されるデフォルトの場所を定義するものです。この属性は、ドメインのルート (NC head) で、Ldp.exe または Adsiedit.msc を使用して表示することができます。以下の例では、Users および Computers の組織単位が、OU=UsersOU および OU=ComputersOU にリダイレクトされています。
-----------
Expanding base 'DC=company,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=company,DC=com
	3> objectClass: top; domain; domainDNS; 
	1> distinguishedName: DC=company,DC=com; 
	...
	11> wellKnownObjects: B:32:A9D1CA15768811D1ADED00C04FD8D5CD:OU=usersou,DC=company,DC=com;
                               B:32:AA312825768811D1ADED00C04FD8D5CD:OU=computersou,DC=company,DC=com;
                               B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=company,DC=com; 
                               B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=company,DC=com; 
                               B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=company,DC=com; 
                               B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=company,DC=com;
                               B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=company,DC=com; <BR/>
                               B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=company,DC=com; 
                               B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=company,DC=com; 
                               B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=company,DC=com; 
                               B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=company,DC=com; 
	
-----------
				

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
818470 Setup.exe /Domainprep を実行すると、Exchange Server 2003 セットアップからエラー コード 0x80072030 が返される
260914 Exchange Enterprise Servers グループと Exchange Domain Servers グループを新規のコンテナに移動した場合に Domainprep ユーティリティが動作しない

プロパティ

文書番号: 324949 - 最終更新日: 2007年6月14日 - リビジョン: 13.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
キーワード:?
kbinfo KB324949
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com