Redireccionar os utilizadores e computadores contentores nos domínios do Active Directory

Traduções de Artigos Traduções de Artigos
Artigo: 324949 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Numa instalação predefinida de um Active Directory do domínio, contas de utilizador, contas de computador e grupos são colocados em CN = objectclass contentores em vez da colocar um contentor de classe organizacional mais desejável. Do mesmo modo, contas de utilizador, contas de computador e grupos que foram criados utilizando APIs da versão anterior são colocados em CN = utilizadores e CN = contentores de computadores.

Este artigo descreve como utilizar os utilitários redirusr e redircmp para redireccionar o utilizador, computador e contas de grupo que foram criadas pelas API de versões anteriores, para que estes são colocados em contentores da unidade organizacional especificada pelo administrador.

importante Algumas aplicações requerem principais de segurança específica estar localizado nos contentores de predefinição como CN = utilizadores ou CN = computadores. Verifique se as aplicações têm essas dependências antes de mover esgotada CN = utilizadores e CN = calcula contentores.

Mais Informação

Os utilizadores, computadores e grupos que são criados por APIs da versão anterior colocam objectos no caminho do DN especificado no atributo WellKnownObjects localizado no domínio cabeça NC. O exemplo de código seguinte mostra os caminhos relevantes no atributo WellKnownObjects do domínio de contoso.com cabeça NC.
DN: DC = CONTOSO, DC = COM
wellKnownObjects (11): 
	B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;	 
	B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM; 
	B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM; 
	B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM; 
	B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM; 
	B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM; 
	B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM; 
	B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM; 
	B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM; 
	B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
	B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM; 
Seguem-se exemplos de operações que utilizam os caminhos estão definidos no atributo WellKnownObjects APIs da versão anterior que responder.
Reduzir esta tabelaExpandir esta tabela
operação versões do sistema operativo
Associação de domínio da IU Windows NT version4.0
Windows 2000
Windows XP Professional
Windows XP Ultimate
Windows Server 2003
Windows Server 2003 R2
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
COMPUTADOR DE REDETodas as versões
GRUPO DE REDETodas as versões
UTILIZADOR DE REDETodas as versões
ADD NETDOM, onde o comando/ou não é especificado ou suportadoTodas as versões
É útil tornar o contentor predefinido para grupos de segurança de utilizador, computador e uma unidade organizacional por diversas razões, incluindo os seguintes:
  • Podem ser aplicadas políticas de grupo em contentores da unidade organizacional mas não no contentores de classe CN, onde os principais de segurança são colocados por predefinição.
  • "Procedimento recomendado" deve dispor principais de segurança para uma hierarquia organizacional que espelha a estrutura organizacional, esquema geográfica ou modelo de administração.
Se está a redireccionar o CN = utilizadores e CN = pastas de computadores, tenha em atenção os seguintes problemas:
  • O domínio de destino tem de ser configurado para ser executado no nível funcional de domínio Windows Server 2003 ou posterior. Para o 2003 nível de funcionalidade do domínio, isto significa que:
    • Windows Server 2003 ADPREP /FORESTPREP ou posterior
    • Windows Server 2003 ADPREP /DOMAINPREP ou posterior
    • Todos os controladores de domínio no domínio de destino devem executar o Windows Server 2003 ou posterior.
    • Domínio do Windows Server 2003 funcional nível ou superior deve ser activado.
  • Ao contrário de CN = USERS e CN = computadores, unidade organizacional contentores estão sujeitos a eliminações acidentais por contas de utilizador com privilégios, incluindo os administradores.

    CN = USERS e CN = computadores contentores são objectos sistema protegido não é possível e não, ser removidos para compatibilidade com versões anteriores. No entanto, se podem mudar o nome. Unidades organizacionais, por outro lado, estão sujeitos a eliminações acidentais árvore pelos administradores.

    Siga os passos em versões do snap-in do Active Directory utilizadores e computadores do Windows Server 2003"Protect an Organizational Unit from Accidental Deletion. "

    Windows Server 2008 e as versões mais recentes do snap-in computadores e utilizadores do Active Directory apresentam uma caixa de verificação "Objecto proteger contra a eliminação acidental" que pode clicar para seleccionar quando criar um novo contentor unidade organizacional. Também pode seleccionar esta caixa de verificação no separador objecto da caixa de diálogo Propriedades para um contentor de unidade organizacional existente.

    Uma opção de script é documentada na "Script to Protect Organizational Units (OUs) from Accidental Deletion."
  • Exchange 2000 e 2003 setup /domainprep falha com erros. Este problema estiver documentado nos seguintes artigos da base de dados de conhecimento da Microsoft:
    • 260914Utilitário DomainPrep não funciona se grupo Exchange Enterprise Server e Exchange Domain Servers grupo movidos para um novo contentor
    • 818470O programa de configuração do Exchange Server 2003 devolve o código de erro 0x80072030 quando executar o setup.exe /domainprep

Redireccionar CN = utilizadores a uma unidade organizacional especificada pelo administrador

  1. Iniciar sessão com credenciais de administrador de domínio no domínio z onde o CN = utilizadores contentor estiver a ser redireccionado.
  2. Transição o domínio para o nível funcional de domínio do Windows Server 2003 ou posterior em qualquer um de computadores e utilizadores do Active Directory snap-in (DSA.msc) ou a domínios e fidedignidades (Domains.msc) snap-in. Para obter mais informações sobre como aumentar o nível funcional de domínio, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    322692Como aumentar os níveis de funcionalidade domínio e floresta no Windows Server 2003
  3. Crie o contentor de unidade organizacional onde pretende que os utilizadores que são criados com versão anterior API para ser localizado, se o contentor de unidade de organização que pretende que já não existir.
  4. Execute o ficheiro Redirusr.exe na linha de comandos utilizando a seguinte sintaxe, onde container-dn é o nome distinto da unidade organizacional que se transformará na localização predefinida para objectos de utilizador criado recentemente criados por APIs de nível inferior:
    c:\windows\system32\redirusr < DN o caminho OU alternativo >
    Redirusr é instalado na pasta % SystemRoot%\System32 em computadores baseados no Windows Server 2003 ou mais recentes. Por exemplo, para alterar a localização predefinida para utilizadores criados com as APIs de nível baixo como utilizador de rede à OU de = MYUsers OU contentor no domínio de contoso.com, utilize a seguinte sintaxe:
    c:\windows\system32 > redirusr or = myusers, DC = contoso, dc = com

Redireccionar CN = computadores a uma unidade organizacional especificada pelo administrador

  1. Iniciar sessão com credenciais de administrador do domínio no domínio onde o CN = computadores contentor estiver a ser redireccionado.
  2. O domínio para domínio do Windows Server 2003 na computadores e utilizadores do Active Directory snap-in (DSA.msc) ou em domínios e fidedignidades de transição (Domains.msc) snap-in.Para obter mais informações sobre como aumentar o nível funcional de domínio, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    322692Como aumentar os níveis de funcionalidade domínio e floresta no Windows Server 2003
  3. Crie o contentor de unidade organizacional onde pretende que computadores que são criados com APIs da versão anterior seja localizado, se o contentor de unidade organizacional pretendida não existir.
  4. Execute Redircmp.exe ficheiro numa linha de comandos utilizando a sintaxe seguinte, onde container-dn é o nome distinto da unidade organizacional que se tornará a localização predefinida para o computador recém-criado os objectos que são criados por APIs de nível inferior:
    container-dn de redircmp contentor-ND
    Redircmp.exe é instalado na pasta % SystemRoot%\System32 em computadores baseados no Windows Server 2003 ou mais recentes. Por exemplo, para alterar a localização predefinida para um computador que é criado com API da versão anterior como utilizador de rede à OU de = mycomputers contentor no domínio de contoso.com, utilize a seguinte sintaxe:
    C:\Windows\System32 > redircmp or = mycomputers, DC = contoso, dc = com
    Nota Quando é executado Redircmp.exe para redireccionar o CN = contentor de computadores a uma unidade organizacional especificada pelo administrador, CN = computadores contentor deixarão de ser um objecto protegido. Isto significa que o contentor de computadores pode agora ser movido, eliminado ou mudar o nome. Se utilizar o ADSIEDIT para visualizar atributos em CN = computadores contentor, verá que o atributo systemflags foi alterado de-1946157056 para 0. Isto ocorre por predefinição.

Descrição das mensagens de erro

Mensagens de erro que recebe se o PDC, Primary Domain Controller for offline

Redircmp e Redirusr alterar o atributo wellKnownObjects no controlador de domínio primário (PDC, Primary Domain Controller). Se o PDC do domínio que está a ser alterado está offline ou inacessível, receberá as seguintes mensagens de erro.
Mensagem de erro 1
D:\>redirusr OU = userOU, DC = udc, dc = jkcertcontoso, dc = loc com
Erro, não foi possível localizar o controlador de domínio principal para o domínio actual: O domínio especificado não existe ou não pôde ser contactado. Redireccionamento não foi bem sucedida.
Mensagem de erro 2
D:\>redircmp OU = computerOU, DC = contoso, dc = com DC = udc, dc = jkcert, dc = loc
Erro, não foi possível localizar o controlador de domínio principal para o domínio actual: O domínio especificado não existe ou não pôde ser contactado. Redireccionamento não foi bem sucedida.

Mensagens de erro que recebe se o nível funcional de domínio não for Windows Server 2003

Se tentar redireccionar os utilizadores ou unidade organizacional do computador num domínio que não tenha transitar para o nível funcional de domínio do Windows Server 2003, receberá as seguintes mensagens de erro.
Mensagem de erro 1
C:\>redirusr OU = usersou, DC = contoso, dc = comDC = empresa, DC = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio, pelo menos, Windows Server 2003: pretende licenciar para efectuar redireccionamento de não foi bem sucedida.
Mensagem de erro 2
C:\>REDIRCMP or = computersou, DC = contoso, dc = comdc = empresa, dc = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio, pelo menos, Windows Server 2003: pretende licenciar para executar

Mensagens de erro que recebe se iniciar sessão sem as permissões necessárias

Se tentar redireccionar os utilizadores ou unidade organizacional do computador utilizando credenciais incorrectas no domínio de destino, poderá receber as seguintes mensagens de erro.
Mensagem de erro 1
C:> REDIRCMP OU = computersou, DC = contoso, dc = comDC = empresa, DC = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio, pelo menos, Windows Server 2003: Redireccionamento de direitos insuficientes não foi bem sucedida.
Mensagem de erro 2
: \>redirusr OU = usersou, DC = contoso, dc = comDC = empresa, DC = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio, pelo menos, Windows Server 2003: Redireccionamento de direitos insuficientes não foi bem sucedida.

Mensagens de erro que recebe se redireccionar para uma unidade organizacional que não existe

Se tentar redireccionar os utilizadores ou unidade organizacional do computador para uma unidade organizacional que não existe, poderá receber as seguintes mensagens de erro.
Mensagem de erro 1
OU C:\>REDIRCMP = nonexistantou, DC = contoso, dc = com dc = rendom, dc = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio, pelo menos, Windows Server 2003: não este objecto de redireccionamento não foi bem sucedida.
Mensagem de erro 2
C:\>redirusr OU = nonexistantou, DC = contoso, dc = com DC = empresa, DC = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio, pelo menos, Windows Server 2003: não este objecto de redireccionamento não foi bem sucedida.

Erro mensagens que recebidas no Exchange 2000 "setup /domainprep" quando CN = utilizadores é redireccionada

Se o Exchange 2000 e Exchange 2003 setup /domainprep não tiver êxito, receberá a seguinte mensagem de erro:
O programa de configuração falhou ao instalar sub-component permissões de nível de domínio com o código de erro 0x80072030) (consulte os registos de instalação para uma descrição detalhada). Poderá cancelar a instalação ou repita o passo falhou. (Repetir / Cancelar)
Os seguintes dados aparecem no registo do programa de configuração do Exchange 2000 é analisado com Analisador do registo. Exchange 2003 deve ser semelhante.
[HH: MM: SS] Concluída Componente de DomainPrep do Microsoft Exchange 2000
[HH: MM: SS] Código de erro ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) 0X80072030 (8240): não estiver nenhum tal objecto no servidor.
[HH: MM: SS] Código de erro ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) 0X80072030 (8240): não estiver nenhum tal objecto no servidor.
[HH: MM: SS] CAtomPermissions::ScAddDSObjects 0X80072030 (8240) o código de erro (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144): não estiver nenhum tal objecto no servidor.
[Hh: mm: ss] modo = 'DomainPrep' (61966) CBaseAtom::ScSetup código de erro (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) 0X80072030 (8240): não estiver nenhum tal objecto no servidor.
[HH: MM: SS] O programa de configuração encontrou um erro durante o Microsoft Exchange domínio preparação do DomainPrep tarefas de componente. CBaseComponent::ScSetup código de erro (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) 0X80072030 (8240): não estiver nenhum tal objecto no servidor.
[HH: MM: SS] CBaseComponent::ScSetup código de erro (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) 0X80072030 (8240): não estiver nenhum tal objecto no servidor.
[HH: MM: SS] CCompDomainPrep::ScSetup 0X80072030 (8240) o código de erro (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502): não estiver nenhum tal objecto no servidor.
[HH: MM: SS] Código de erro CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) 0X80072030 (8240): não estiver nenhum tal objecto no servidor.
[HH: MM: SS] Configuração concluída

Referências

Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
818470O programa de configuração do Exchange Server 2003 devolve o código de erro 0x80072030 quando executar o setup.exe /domainprep
260914Utilitário DomainPrep não funciona se grupo Exchange Enterprise Server e Exchange Domain Servers grupo movidos para um novo contentor

Script para proteger unidades organizacionais de eliminação acidental:
http://gallery.technet.microsoft.com/ScriptCenter/en-us/c307540f-bd91-485f-b27e-995ae5cea1e2
Para obter mais informações sobre como estruturar uma infra-estrutura de política de grupo, visite o seguinte Web site da Microsoft:
http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx

Propriedades

Artigo: 324949 - Última revisão: 17 de setembro de 2009 - Revisão: 16.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
Palavras-chave: 
kbmt kbinfo KB324949 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 324949

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com