Перенаправление пользователей и компьютеров контейнеров в доменах Active Directory

Переводы статьи Переводы статьи
Код статьи: 324949 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

По умолчанию при установке службы каталогов Active Directory домена, учетные записи пользователей, учетные записи компьютеров и групп помещаются в CN = контейнеры objectclass вместо размещением желанным класса контейнера подразделения. Аналогичным образом, учетные записи пользователей, учетные записи компьютеров и групп, которые были созданы с помощью более ранними версиями API помещаются в CN = пользователи и CN = контейнеры компьютеров.

В данной статье описывается использование программы redirusr и redircmp для перенаправления пользователя, компьютера и учетные записи групп, созданных более ранними версиями API, таким образом, чтобы они помещаются в указанное администратором подразделение контейнеров.

Важные Некоторые приложения требуют участников безопасности должны размещаться в контейнеры по умолчанию, такие как CN = пользователи или CN = компьютеров. Убедитесь, что ваши приложения эти зависимости перед их перемещением из CN = пользователи и CN = вычисляет контейнеров.

Дополнительная информация

Пользователи, компьютеры и группы, созданные ранними версиями API размещения объектов в этот путь, указанный в WellKnownObjects атрибут, который расположен в Дескрипторе NC домена. В следующем примере кода показаны соответствующие пути в WellKnownObjects атрибут из компании CONTOSO.Домен COM Дескрипторе NC.
DN: DC = CONTOSO, DC = COM
wellKnownObjects (11): 
	B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;	 
	B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM; 
	B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM; 
	B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM; 
	B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM; 
	B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM; 
	B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM; 
	B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM; 
	B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM; 
	B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
	B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM; 
Примеры операций, использующих ранними версиями API, ответить на пути, которые определены в WellKnownObjects атрибут относятся следующие.
Свернуть эту таблицуРазвернуть эту таблицу
ОперацияВерсии операционной системы
Присоединение К домену пользовательского Интерфейса Version4.0 Windows NT
Windows 2000
Windows XP Professional
Windows XP Максимальная
Windows Server 2003
Windows Server 2003 R2
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
NET КОМПЬЮТЕРАВсе версии
NET GROUPВсе версии
NET ПОЛЬЗОВАТЕЛЬВсе версии
Добавить NETDOM, где / OU команда не указан или поддерживаетсяВсе версии
Это полезно для контейнера по умолчанию для пользователей, компьютеров и групп безопасности в подразделении по нескольким причинам, включая следующие:
  • Групповые политики применяются на контейнеры подразделений, но не на CN класса контейнеров, где разместить участников безопасности по умолчанию.
  • «» Рекомендуется для размещения участников безопасности в иерархии подразделения, который отражает организационную структуру, географической структуры или модели администрирования.
При перенаправлении CN = пользователи и CN = папок компьютеров следует учитывать следующие вопросы:
  • Конечный домен должен быть настроен для запуска в режим работы домена Windows Server 2003 или более поздней версии. Функциональный уровень домена 2003 это означает, что:
    • Windows Server 2003 команды ADPREP/forestprep или более поздней версии
    • Windows Server 2003 команды ADPREP/domainprep или более поздней версии
    • Все контроллеры домена в конечный домен необходимо запустить Windows Server 2003 или более поздней версии.
    • Режим работы домена Windows Server 2003 уровень или более поздней версии должен быть включен.
  • В отличие от CN = пользователи и CN = компьютеров, подразделения, контейнеры, случайное удаление, привилегированных учетных записей, включая администраторов.

    CN = пользователи и CN = компьютеров контейнеры являются объектами, защищенные системы, невозможно и не должны, удалены для обеспечения обратной совместимости. Тем не менее они могут быть переименованы. Организационные подразделения, с другой стороны, являются предметом для удаления случайных дерева администраторами.

    Windows Server 2003 версии оснастки Active Directory пользователи & компьютеров выполните действия в"Защитить подразделение от случайного удаления."

    Windows Server 2008 и более поздние версии оснастке «Active Directory — пользователи и компьютеры» включите флажок «Защитить объект от случайного удаления», который можно щелкнуть, чтобы выбрать при создании нового контейнера подразделения. Также можно установить этот флажок на Объект на вкладке Свойства диалоговое окно существующие контейнеры подразделений.

    Параметр сценария описана в"Сценарий для защиты от случайного удаления подразделениями (OU)."
  • Exchange 2000 и 2003 setup/domainprep завершится с ошибками. Эта проблема описана в следующих статьях базы знаний Майкрософт:
    • 260914 Программа domainprep не работает, если серверы предприятия Exchange и серверы домена Exchange групп перемещены в новый контейнер
    • 818470 Программа установки Exchange Server 2003 возвращает код ошибки 0x80072030 при запуске файла setup.exe/domainprep

Перенаправление CN = Users указанное администратором подразделение

  1. Войдите в систему с учетными данными администратора домена на z домен где CN = Users, перенаправляется контейнера.
  2. Переход домена в домене Windows Server 2003 функциональный уровень или новой оснастки либо Active Directory-пользователи и компьютеры» (Dsa.msc) или Домены и доверие (Domains.msc) оснастки. Для получения дополнительных сведений об увеличении функциональный уровень домена обратитесь к следующей статье базы знаний Майкрософт:
    322692Как вызвать функциональные уровни домена и леса Windows Server 2003
  3. Создание контейнера подразделения, где Пользователи, которые создаются с ранними версиями API, должен находиться, если контейнер единица организации, необходимо еще не существует.
  4. Запустите файл Redirusr.exe на в командной строке, используя следующий синтаксис, где различающееся имя контейнера является различающееся имя подразделения, которое будет использоваться по умолчанию место для вновь созданного пользователем объектов, созданных посредством интерфейсов API нижнего уровня.
    c:\windows\system32\redirusr<dn path="" to="" alternate="" ou=""></dn>
    Redirusr устанавливается в папку % SystemRoot%\System32, на компьютерах под управлением Windows Server 2003 или более поздней версии. Например, чтобы изменить расположение по умолчанию для пользователей, которые создаются при помощи интерфейсов API нижнего уровня, например Net User с подразделением = MYUsers Подразделение контейнер, в компании CONTOSO.Домен COM, используйте следующий синтаксис:
    c:\Windows\System32>redirusr ou = myusers, DC = contoso, dc = com

Перенаправление CN = компьютеров указанное администратором подразделение

  1. Войдите в систему с учетными данными администратора домена в домене, где CN = перенаправления контейнера компьютеров.
  2. Переход домена в домен Windows Server 2003 Active Directory — пользователи и компьютеры оснастки (Dsa.msc) или в домены и доверие Оснастка (Domains.msc).Для получения дополнительных сведений об увеличении функциональный уровень домена обратитесь к следующей статье базы знаний Майкрософт:
    322692Как вызвать функциональные уровни домена и леса Windows Server 2003
  3. Создание контейнера подразделения, место, созданные ранними версиями API для компьютеров найден, если контейнер нужное подразделение не существует.
  4. Запустить Redircmp.exe файл в командной строке, используя следующий синтаксис, где различающееся имя контейнера является различающееся имя подразделения, будут по умолчанию для недавно созданные объекты компьютеров, созданных посредством интерфейсов API нижнего уровня:
    redircmp различающееся имя контейнера различающееся имя контейнера
    Redircmp.exe устанавливается в папку % SystemRoot%\System32, на основе Windows Server 2003 или на современных компьютерах. Например, чтобы изменить расположение по умолчанию для компьютера, который создается с ранними версиями API, такие как Net User для OU = контейнера mycomputers в компании CONTOSO.Домен COM, используйте следующий синтаксис:
    C:\Windows\System32>redircmp ou = mycomputers, DC = contoso, dc = com
    Примечание При запуске Redircmp.exe для перенаправления CN компьютеров в контейнере с подразделением, заданных администратором CN = = компьютеров контейнер будет защищенных объектов. Это означает, что контейнер компьютеры могут теперь быть перемещена, удалена или переименована. Если использовать ADSIEDIT для просмотра атрибутов CN = компьютеров в контейнере, вы увидите, systemFlags атрибут был изменен с-1946157056 на 0. Это сделано намеренно.

Описание сообщений об ошибках

Сообщения об ошибке, если основной контроллер ДОМЕНА находится в автономном режиме

Redircmp и изменение Redirusr wellKnownObjects Атрибут на основной контроллер домена (PDC). Если основной Контроллер домена, которое было Изменение находится в автономном режиме или недоступен, получить следующие сообщения об ошибках.
Сообщение об ошибке 1
D:\>redirusr OU = userOU, DC = udc, dc = jkcertcontoso, dc = loc com
Ошибка, не удалось найти основной контроллер домена для текущего домена: указанный домен не существует или недоступен. Перенаправление не была успешной.
Сообщение об ошибке 2
D:\>redircmp OU = computerOU, DC = contoso, dc = com DC = udc, dc = jkcert, dc = loc
Ошибка, не удалось найти основной контроллер домена для текущего домена: указанный домен не существует или недоступен. Перенаправление не была успешной.

Сообщения об ошибке, если функциональный уровень домена не является Windows Server 2003

При попытке перенаправления пользователей или компьютеров в подразделении Имя_домена имеющий не реагировать в домене Windows Server 2003 режим работы, получить следующие сообщения об ошибках.
Сообщение об ошибке 1
C:\>redirusr OU = usersou, DC = contoso, dc = comDC = компании, DC = com
Ошибка: не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: ценного для выполнения перенаправления не была успешной.
Сообщение об ошибке 2
C:\>REDIRCMP ou = computersou, DC = contoso, dc = comdc = компании, dc = com
Ошибка: не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: ценного для выполнения

Сообщения об ошибках, полученные при входе в систему без необходимых разрешений

Если Попробуйте перенаправление пользователей и компьютеров подразделения с помощью неверные учетные данные в конечный домен может появиться следующие сообщения об ошибках.
Сообщение об ошибке 1
C: > REDIRCMP OU = computersou, DC = contoso, dc = comDC = компании, DC = com
Ошибка: не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: недостаточные права перенаправления не была успешной.
Сообщение об ошибке 2
: \>redirusr Подразделение = usersou, DC = contoso, dc = comDC = компании, DC = com
Ошибка: не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: недостаточные права перенаправления не была успешной.

Сообщения об ошибках, полученные при перенаправлении подразделением, не существует

Если Попытка перенаправить пользователей или компьютеров подразделения подразделение, для которого не существует, появляется следующее сообщение об ошибке сообщения.
Сообщение об ошибке 1
C:\>REDIRCMP OU = nonexistantou, DC = contoso, dc = com, dc = rendom, dc = com
Ошибка: не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: нет, такие перенаправления объекта не была успешной.
Сообщение об ошибке 2
C:\>redirusr OU = nonexistantou, DC = contoso, dc = com DC компании, DC = = com
Ошибка: не удается изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: нет, такие перенаправления объекта не была успешной.

Сообщения об ошибках, полученных в Exchange 2000 «setup/domainprep» при CN = Users, перенаправляется

Если Exchange 2000 и Exchange 2003 setup/domainprep является появление неудачно, следующее сообщение об ошибке:
Сбой при установке программы установки подкомпонента разрешения уровня домена с ошибкой код 0x80072030) (Пожалуйста журналах установки подробное описание). Вы можете отказаться от установку или повторить шаг неудачных. (Повтор и Отмена)
В журнале установки Exchange 2000, анализируется с помощью анализатора журнала появляются следующие данные. Должен соответствовать Exchange 2003.
[ЧЧ: ММ:] Завершено Компонент DomainPrep из Microsoft Exchange 2000
[ЧЧ: ММ:] Код ошибки ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) 0X80072030 (8240): такой объект не существует на сервере.
[ЧЧ: ММ:] Ошибка ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) код 0X80072030 (8240): такой объект не существует на сервере.
[ЧЧ: ММ:] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Ошибка код 0X80072030 (8240): такой объект не существует на сервере.
[ЧЧ: ММ:] режим = CBaseAtom::ScSetup 'DomainPrep"(61966) (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Код ошибки 0X80072030 (8240): Такой объект не существует на сервере.
[ЧЧ: ММ:] Программа установки Произошла ошибка во время Microsoft Exchange домена подготовки DomainPrep Задача компонента. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Код ошибки 0X80072030 (8240): Такой объект не существует на сервере.
[ЧЧ: ММ:] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Код ошибки 0X80072030 (8240): Такой объект не существует на сервере.
[ЧЧ: ММ:] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Код ошибки 0X80072030 (8240): такой объект не существует на сервере.
[ЧЧ: ММ:] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Код ошибки 0X80072030 (8240): такой объект не существует на сервере.
[ЧЧ: ММ:] Установка завершена

Ссылки

Для получения дополнительных сведений щелкните следующие номера статей базы знаний Майкрософт:
818470Программа установки Exchange Server 2003 возвращает код ошибки 0x80072030 при запуске файла setup.exe/domainprep
260914 Программа domainprep не работает, если серверы предприятия Exchange и серверы домена Exchange групп перемещены в новый контейнер

Сценарий для защиты от случайного удаления подразделений:
http://Gallery.TechNet.Microsoft.com/ScriptCenter/en-US/c307540f-bd91-485f-b27e-995ae5cea1e2
Для получения дополнительных сведений о том, как разработка инфраструктуры групповой политики посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/WindowsServer/en/Library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx

Свойства

Код статьи: 324949 - Последний отзыв: 8 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
Ключевые слова: 
kbinfo kbmt KB324949 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:324949

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com