Active Directory 도메인의 사용자 및 컴퓨터 컨테이너 리디렉션

  • 아티클

redirusr 및 redircmp를 사용하여 이전 버전 API에서 만든 사용자, 컴퓨터 및 그룹 계정을 리디렉션할 수 있습니다. 따라서 관리자가 지정한 OU(조직 구성 단위) 컨테이너에 배치됩니다.

적용 대상: Windows Server 2016, Windows Server 2012 R2
원본 KB 번호: 324949

요약

Active Directory 도메인의 기본 설치에서 사용자, 컴퓨터 및 그룹 계정은 더 바람직한 OU 클래스 컨테이너 대신 CN=objectclass 컨테이너에 배치됩니다. 마찬가지로 이전 버전의 API를 사용하여 만든 계정은 CN=Users 및 CN=computers 컨테이너에 배치됩니다.

중요

일부 애플리케이션은 CN=Users 또는 CN=Computers와 같은 기본 컨테이너에 특정 보안 주체를 배치해야 합니다. CN=users 및 CN=computes 컨테이너에서 애플리케이션을 이동하기 전에 애플리케이션에 이러한 종속성이 있는지 확인합니다.

추가 정보

이전 버전 API에서 만든 사용자, 컴퓨터 및 그룹은 WellKnownObjects 특성에 지정된 DN 경로에 개체를 배치합니다. WellKnownObjects 특성은 도메인 NC 헤드에 있습니다. 다음 코드 예제에서는 CONTOSO.COM 도메인 NC 헤드의 WellKnownObjects 특성에 있는 관련 경로를 보여 줍니다.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

예를 들어 다음 작업은 WellKnownObjects 특성에 정의된 경로를 사용하는 이전 버전의 API를 사용합니다.

  • 도메인 가입 UI
  • NET 컴퓨터
  • NET GROUP
  • NET USER
  • 명령이 /ou 지정되지 않았거나 지원되는 NETDOM ADD

다음과 같은 여러 가지 이유로 사용자, 컴퓨터 및 보안 그룹의 기본 컨테이너를 OU로 만드는 것이 좋습니다.

  • 그룹 정책은 OU 컨테이너에 적용할 수 있지만 기본적으로 보안 주체가 배치되는 CN 클래스 컨테이너에는 적용할 수 없습니다.

  • 가장 좋은 방법은 보안 주체를 조직 구조, 지리적 레이아웃 또는 관리 모델을 미러링하는 OU 계층 구조로 정렬하는 것입니다.

CN=Users 및 CN=Computers 폴더를 리디렉션하는 경우 다음 문제를 알고 있어야 합니다.

  • 대상 도메인은 Windows Server 2003 도메인 기능 수준 이상에서 실행되도록 구성해야 합니다. Windows Server 2003 도메인 기능 수준의 경우 다음을 의미합니다.

    • Windows Server 2003 ADPREP /FORESTPREP 이상
    • Windows Server 2003 ADPREP /DOMAINPREP 이상
    • 대상 도메인의 모든 도메인 컨트롤러는 Windows Server 2003 이상을 실행해야 합니다.
    • Windows Server 2003 도메인 기능 수준 이상을 사용하도록 설정해야 합니다.

  • CN=USERS 및 CN=COMPUTERS와 달리 OU 컨테이너는 관리자를 포함한 권한 있는 사용자 계정에 의해 실수로 삭제될 수 있습니다.

    CN=USERS 및 CN=COMPUTERS 컨테이너는 이전 버전과의 호환성을 위해 제거할 수 없고 제거해서는 안 되는 시스템 보호 개체입니다. 그러나 이름을 바꿀 수 있습니다. 조직 단위는 관리자가 실수로 트리를 삭제할 수 있습니다.

    Windows Server 2008 이상 버전의 Active Directory 사용자 및 컴퓨터 스냅인은 새 OU 컨테이너를 만들 때 선택할 수 있는 실수로 인한 삭제로부터 개체 보호 검사 상자를 제공합니다. 기존 OU 컨테이너에 대한 속성 대화 상자의 개체 탭에서 선택할 수도 있습니다.

  • CN=USERS 리디렉션은 새 사용자, 그룹 및 신뢰 사용자 계정의 기본 위치에 영향을 줍니다. 신뢰 사용자 계정은 대부분의 UI 관리 도구에 숨겨져 있지만 LDIFDE 및 LDP와 같은 도구에서 표시하고 이동할 수 있습니다. 계정의 CN은 하위 도메인 이름>$(예: "contoso$")입니다<.

  • Exchange Server Active Directory 준비 실패가 발생하는 경우 최신 누적 업데이트 및 보안 업데이트를 실행하고 있는지 확인합니다.

CN=사용자를 관리자가 지정한 OU로 리디렉션

  1. CN=Users 컨테이너가 리디렉션되는 도메인에서 도메인 관리자 자격 증명으로 로그온합니다.

  2. Active Directory 사용자 및 컴퓨터 스냅인(Dsa.msc) 또는 도메인 및 트러스트(Domains.msc) 스냅인에서 도메인을 Windows Server 2003 도메인 기능 수준 이상으로 전환합니다. 도메인 기능 수준을 높이는 방법에 대한 자세한 내용은 도메인 및 포리스트 기능 수준을 높이는 방법을 참조하세요.

  3. 원하는 OU 컨테이너가 없는 경우 이전 버전 API로 만든 사용자 및 그룹을 배치할 OU 컨테이너를 만듭니다.

  4. 다음 구문을 사용하여 명령 프롬프트에서 Redirusr.exe 실행합니다. 명령에서 container-dn 은 하위 수준 API에서 만든 새로 만든 사용자 및 그룹 개체의 기본 위치가 되는 OU의 고유 이름입니다.

    c:\windows\system32\redirusr container-dn

    Redirusr는 Windows Server 2003 기반 또는 최신 컴퓨터의 %SystemRoot%\System32 폴더에 설치됩니다. 예를 들어 Net User와 같은 하위 수준 API를 사용하여 만든 사용자의 기본 위치를 도메인의 OU=MYUsers OU 컨테이너 CONTOSO.COM 로 변경하려면 다음 구문을 사용합니다.

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    참고

    Redirusr.exe 실행하여 CN=Users 컨테이너를 관리자가 지정한 OU로 리디렉션하는 경우 CN=Users 컨테이너는 더 이상 보호된 개체가 아닙니다. 즉, 이제 사용자 컨테이너를 이동, 삭제 또는 이름을 바꿀 수 있습니다. ADSIEDIT를 사용하여 CN=Users 컨테이너의 특성을 보는 경우 systemflags 특성이 -1946157056 에서 0으로 변경된 것을 볼 수 있습니다. 이것은 정상적인 현상입니다.

    컨테이너를 삭제하려면 기본 사용자 및 그룹을 다른 OU 및 컨테이너와 트러스트 사용자 계정으로 이동해야 합니다. 이러한 트러스트 계정은 LDIFDE 및 LDP와 같은 도구를 사용하여 표시하고 이동할 수 있습니다. 일관성을 위해 컨테이너와 기본 계정을 그대로 유지하는 것이 좋습니다.

CN=Computers를 관리자가 지정한 OU로 리디렉션

  1. CN=computers 컨테이너가 리디렉션되는 도메인에서 도메인 관리자 자격 증명으로 로그온합니다.

  2. 도메인을 Active Directory 사용자 및 컴퓨터 스냅인(Dsa.msc) 또는 도메인 및 트러스트(Domains.msc) 스냅인에서 Windows Server 2003 도메인으로 전환합니다. 도메인 기능 수준을 높이는 방법에 대한 자세한 내용은 도메인 및 포리스트 기능 수준을 높이는 방법을 참조하세요.

  3. 원하는 OU 컨테이너가 없는 경우 이전 버전 API로 만든 컴퓨터를 배치할 OU 컨테이너를 만듭니다.

  4. 다음 구문을 사용하여 명령 프롬프트에서 Redircmp.exe 실행합니다. 명령에서 container-dn 은 하위 수준 API로 만든 새로 만든 컴퓨터 개체의 기본 위치가 될 OU의 고유 이름입니다.

    redircmp container-dn

    Redircmp.exe Windows Server 2003 이상 버전의 폴더에 설치 %Systemroot%\System32 됩니다. Net Computer와 같은 이전 버전의 API로 만든 컴퓨터의 기본 위치를 CONTOSO.COM 도메인의 OU=MyComputers 컨테이너로 변경하려면 다음 구문을 사용합니다.

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    참고

    Redircmp.exe 실행하여 CN=Computers 컨테이너를 관리자가 지정한 OU로 리디렉션하는 경우 CN=Computers 컨테이너는 더 이상 보호된 개체가 아닙니다. 즉, 이제 컴퓨터 컨테이너를 이동, 삭제 또는 이름을 바꿀 수 있습니다. ADSIEDIT를 사용하여 CN=Computers 컨테이너에서 특성을 보는 경우 systemflags 특성이 -1946157056 에서 0으로 변경된 것을 볼 수 있습니다. 이것은 정상적인 현상입니다.

오류 메시지에 대한 설명

경우에 따라 발생하는 오류 메시지는 다음과 같습니다.

PDC가 오프라인 상태인 경우 수신하는 오류 메시지

Redircmp 및 Redirusr는 PDC(기본 도메인 컨트롤러)에서 wellKnownObjects 특성을 변경합니다. 변경되는 도메인의 PDC가 오프라인이거나 액세스할 수 없는 경우 다음과 같은 오류 메시지가 표시됩니다.

  • 오류 메시지 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    오류가 발생했습니다. 현재 도메인에 대한 기본 도메인 컨트롤러를 찾을 수 없습니다. 지정된 도메인이 없거나 연결할 수 없습니다. 리디렉션에 성공하지 못했습니다.

  • 오류 메시지 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    오류가 발생했습니다. 현재 도메인에 대한 기본 도메인 컨트롤러를 찾을 수 없습니다. 지정된 도메인이 없거나 연결할 수 없습니다. 리디렉션에 성공하지 못했습니다.

도메인 기능 수준이 Windows Server 2003이 아닌 경우 수신하는 오류 메시지

Windows Server 2003 도메인 기능 수준으로 전환되지 않은 도메인의 사용자 또는 컴퓨터 OU를 리디렉션하려고 합니다. 이 경우 다음과 같은 오류 메시지가 표시됩니다.

  • 오류 메시지 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 적어도 Windows Server 2003: 리디렉션을 수행하지 못했는지 확인합니다.

  • 오류 메시지 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 적어도 Windows Server 2003: 수행하지 않음인지 확인합니다.

필요한 권한 없이 로그온하는 경우 수신하는 오류 메시지

대상 도메인에서 잘못된 자격 증명을 사용하여 사용자 또는 컴퓨터 OU를 리디렉션하려고 하면 다음과 같은 오류 메시지가 표시될 수 있습니다.

  • 오류 메시지 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 적어도 Windows Server 2003: 권한 리디렉션 부족이 성공하지 못했는지 확인합니다.

  • 오류 메시지 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 적어도 Windows Server 2003: 권한 리디렉션 부족이 성공하지 못했는지 확인합니다.

존재하지 않는 OU로 리디렉션하는 경우 수신하는 오류 메시지

사용자 또는 컴퓨터 OU를 존재하지 않는 OU로 리디렉션하려고 합니다. 이 경우 다음과 같은 오류 메시지가 표시될 수 있습니다.

  • 오류 메시지 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 Windows Server 2003 이상인지 확인합니다. 이러한 개체 리디렉션에 성공하지 못했습니다.

  • 오류 메시지 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 Windows Server 2003 이상인지 확인합니다. 이러한 개체 리디렉션에 성공하지 못했습니다.

CN=Users가 리디렉션될 때 Exchange Server 2000 설치 /domainprep에서 수신하는 오류 메시지

Exchange Server 2000 및 Exchange Server 2003 setup /domainprep 이 실패하면 다음 오류 메시지가 표시됩니다.

오류 코드 0x80072030 하위 구성 요소 도메인 수준 권한을 설치하는 동안 설치에 실패했습니다(자세한 설명은 설치 로그를 참조하세요). 설치를 취소하거나 실패한 단계를 다시 시도할 수 있습니다. (다시 시도/취소)

다음 데이터는 로그 파서로 구문 분석된 Exchange Server 2000 설치 로그에 표시됩니다. Exchange Server 2003도 비슷해야 합니다.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed