Active Directory etki alanlarındaki kullanıcı ve bilgisayar kapsayıcılarını yeniden yönlendirme

  • Makale

Önceki sürüm API'ler tarafından oluşturulan kullanıcı, bilgisayar ve grup hesaplarını yeniden yönlendirmek için redirusr ve redircmp kullanabilirsiniz. Bu nedenle, bunlar yönetici tarafından belirtilen kuruluş birimi (OU) kapsayıcılarına konur.

Şunlar için geçerlidir: Windows 2016, Windows Server 2012 R2
Özgün KB numarası: 324949

Özet

Active Directory etki alanının varsayılan yüklemesinde kullanıcı, bilgisayar ve grup hesapları, daha çok istenen bir OU sınıf kapsayıcısı yerine CN=objectclass kapsayıcılara yerleştirilir. Benzer şekilde, önceki sürüm API'leri kullanılarak oluşturulan hesaplar CN=Users ve CN=computers kapsayıcılarında yer alır.

Önemli

Bazı uygulamaların belirli güvenlik sorumlularının CN=Users veya CN=Computers gibi varsayılan kapsayıcılarda bulunması gerekir. Uygulamalarınızı CN=users ve CN=computes kapsayıcılarından taşımadan önce bu tür bağımlılıklara sahip olduğunu doğrulayın.

Daha fazla bilgi

Önceki sürüm API'ler tarafından oluşturulan kullanıcılar, bilgisayarlar ve gruplar nesneleri WellKnownObjects özniteliğinde belirtilen DN yoluna yerleştirir. WellKnownObjects özniteliği, etki alanı NC başında bulunur. Aşağıdaki kod örneği, CONTOSO.COM etki alanı NC başından WellKnownObjects özniteliğindeki ilgili yolları gösterir.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Örneğin, aşağıdaki işlemler WellKnownObjects özniteliğinde tanımlanan yolları kullanan önceki sürüm API'lerini kullanır:

  • Etki Alanına Katılma Kullanıcı Arabirimi
  • NET COMPUTER
  • NET GROUP
  • NET USER
  • NETDOM ADD, komutun /ou belirtilmediğinde veya desteklenmediğinden

Kullanıcı, bilgisayar ve güvenlik grupları için varsayılan kapsayıcıyı aşağıdakiler gibi çeşitli nedenlerle bir OU yapmak yararlı olur:

  • Grup ilkeleri OU kapsayıcılarına uygulanabilir, ancak güvenlik sorumlularının varsayılan olarak yerleştirildiği CN sınıf kapsayıcılarına uygulanamayabilir.

  • En iyi yöntem, güvenlik sorumlularını kuruluş yapınızı, coğrafi düzeninizi veya yönetim modelinizi yansıtan bir OU hiyerarşisinde düzenlemektir.

CN=Users ve CN=Computers klasörlerini yeniden yönlendiriyorsanız aşağıdaki sorunlara dikkat edin:

  • Hedef etki alanı, Windows Server 2003 etki alanı işlev düzeyinde veya daha yüksek bir düzeyde çalışacak şekilde yapılandırılmalıdır. Windows Server 2003 etki alanı işlev düzeyi için şu anlama gelir:

    • Windows Server 2003 ADPREP /FORESTPREP veya üzeri
    • Windows Server 2003 ADPREP /DOMAINPREP veya üzeri
    • Hedef etki alanındaki tüm etki alanı denetleyicileri Windows Server 2003 veya daha yeni bir sürümünü çalıştırmalıdır.
    • Windows Server 2003 etki alanı işlev düzeyi veya üstü etkinleştirilmelidir.

  • CN=USERS ve CN=COMPUTERS'ın aksine, OU kapsayıcıları, yöneticiler de dahil olmak üzere ayrıcalıklı kullanıcı hesapları tarafından yanlışlıkla silme işlemlerine tabidir.

    CN=USERS ve CN=COMPUTERS kapsayıcıları, geriye dönük uyumluluk için kaldırılmaması ve kaldırılmaması gereken sistem korumalı nesnelerdir. Ancak bunlar yeniden adlandırılabilir. Kuruluş birimleri, yöneticiler tarafından yanlışlıkla ağaç silme işlemlerine tabidir.

    Windows Server 2008 ve Active Directory Kullanıcıları ve Bilgisayarları ek bileşeninin daha yeni sürümleri, yeni bir OU kapsayıcısı oluştururken seçebileceğiniz bir Nesneyi yanlışlıkla silinmeye karşı koru onay kutusunu içerir. Ayrıca, mevcut bir OU kapsayıcısının Özellikler iletişim kutusunun Nesne sekmesinde de seçebilirsiniz.

  • CN=USERS'ın yeniden yönlendirilmesi, yeni kullanıcılar, gruplar ve güven kullanıcı hesapları için varsayılan konumu etkiler. Kullanıcı hesaplarının çoğu kullanıcı arabirimi yönetici aracında gizlenir, ancak bunları LDIFDE ve LDP gibi araçlarda gösterebilir ve taşıyabilirsiniz. Hesabın CN'si alt düzey etki alanı adı>$ (örneğin, "contoso$") şeklindedir<.

  • Exchange Server Active Directory hazırlık hataları yaşıyorsanız en son toplu güncelleştirmeyi ve güvenlik güncelleştirmesini çalıştırdığınızdan emin olun.

CN=Kullanıcıları yönetici tarafından belirtilen bir OU'ya yeniden yönlendirme

  1. CN=Users kapsayıcısının yeniden yönlendirildiği etki alanında etki alanı yöneticisi kimlik bilgileriyle oturum açın.

  2. Active Directory Kullanıcıları ve Bilgisayarları ek bileşeninde (Dsa.msc) veya Etki Alanları ve Güvenler (Domains.msc) ek bileşeninde etki alanını Windows Server 2003 etki alanı işlev düzeyine veya daha yenisine geçirin. Etki alanı işlev düzeyini artırma hakkında daha fazla bilgi için bkz. Etki alanı ve orman işlev düzeylerini yükseltme.

  3. İstediğiniz OU kapsayıcısı yoksa, önceki sürüm API'leriyle oluşturulan kullanıcıların ve grupların bulunması istediğiniz OU kapsayıcısını oluşturun.

  4. Aşağıdaki söz dizimini kullanarak komut isteminde Redirusr.exe çalıştırın. komutunda container-dn , alt düzey API'ler tarafından oluşturulan yeni oluşturulan kullanıcı ve grup nesneleri için varsayılan konum olacak OU'nun ayırt edici adıdır:

    c:\windows\system32\redirusr container-dn

    Redirusr, Windows Server 2003 tabanlı veya daha yeni bilgisayarlardaki klasöre yüklenir %SystemRoot%\System32 . Örneğin, Net User gibi alt düzey API'lerle oluşturulan kullanıcıların varsayılan konumunu etki alanındaki OU=MYUsers OU kapsayıcısıyla CONTOSO.COM değiştirmek için aşağıdaki söz dizimini kullanın:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Not

    CN=Users kapsayıcısını bir yönetici tarafından belirtilen bir OU'ya yeniden yönlendirmek içinRedirusr.exeçalıştırıldığında, CN=Users kapsayıcısı artık korumalı bir nesne olmayacaktır. Bu, Kullanıcılar kapsayıcısının artık taşınabileceği, silinebileceği veya yeniden adlandırılabildiği anlamına gelir. CN=Users kapsayıcısı üzerindeki öznitelikleri görüntülemek için ADSIEDIT kullanırsanız systemflags özniteliğinin -1946157056'den0'a değiştirildiğini görürsünüz. Bu, tasarımdan kaynaklanır.

    Kapsayıcıyı silmek için varsayılan kullanıcıları ve grupları diğer OU'lara ve kapsayıcılara ve ayrıca güven kullanıcı hesaplarına taşımanız gerekir. Bu güven hesapları LDIFDE ve LDP gibi araçlar kullanılarak gösterilebilir ve taşınabilir. Tutarlılık için kapsayıcıyı değiştirmeden ve varsayılan hesapları yerinde tutmanızı öneririz.

CN=Bilgisayarları yönetici tarafından belirtilen bir OU'ya yeniden yönlendirme

  1. CN=computers kapsayıcısının yeniden yönlendirildiği etki alanında Etki Alanı Yöneticisi kimlik bilgileriyle oturum açın.

  2. Etki alanını Active Directory Kullanıcıları ve Bilgisayarları ek bileşeninde (Dsa.msc) veya Etki Alanları ve Güvenler (Domains.msc) ek bileşeninde Windows Server 2003 etki alanına geçirin. Etki alanı işlev düzeyini artırma hakkında daha fazla bilgi için bkz. Etki alanı ve orman işlev düzeylerini yükseltme.

  3. İstenen OU kapsayıcısı yoksa, önceki sürüm API'leriyle oluşturulan bilgisayarların bulunması istediğiniz OU kapsayıcısını oluşturun.

  4. Aşağıdaki söz dizimini kullanarak komut isteminde Redircmp.exe çalıştırın. komutunda container-dn , alt düzey API'ler tarafından oluşturulan yeni oluşturulan bilgisayar nesneleri için varsayılan konum olacak OU'nun ayırt edici adıdır:

    redircmp container-dn

    Redircmp.exe , Windows Server 2003 veya sonraki sürümlerde klasörüne yüklenir %Systemroot%\System32 . Net Computer gibi önceki sürüm API'lerle oluşturulmuş bir bilgisayarın varsayılan konumunu CONTOSO.COM etki alanındaki OU=MyComputers kapsayıcısıyla değiştirmek için aşağıdaki söz dizimini kullanın:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Not

    CN=Computers kapsayıcısını bir yönetici tarafından belirtilen bir OU'ya yeniden yönlendirmek içinRedircmp.exeçalıştırıldığında, CN=Computers kapsayıcısı artık korumalı bir nesne olmayacaktır. Bu, Bilgisayarlar kapsayıcısının artık taşınabileceği, silinebileceği veya yeniden adlandırılabildiği anlamına gelir. CN=Computers kapsayıcısı üzerindeki öznitelikleri görüntülemek için ADSIEDIT kullanırsanız systemflags özniteliğinin -1946157056'den 0'a değiştirildiğini görürsünüz. Bu, tasarımdan kaynaklanır.

Hata iletilerinin açıklaması

Bazı durumlarda oluşan hata iletileri aşağıdadır.

PDC çevrimdışıysa aldığınız hata iletileri

Redircmp ve Redirusr, birincil etki alanı denetleyicisindeki (PDC) wellKnownObjects özniteliğini değiştirir. Değiştirilen etki alanının PDC'sinin çevrimdışı veya erişilemez olması durumunda aşağıdaki hata iletilerini alırsınız.

  • Hata iletisi 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Hata, geçerli etki alanı için Birincil Etki Alanı Denetleyicisi bulunamadı: Belirtilen etki alanı yok veya bağlantı kurulamadı. Yeniden yönlendirme başarılı OLAMADI.

  • Hata iletisi 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Hata, geçerli etki alanı için Birincil Etki Alanı Denetleyicisi bulunamadı: Belirtilen etki alanı yok veya bağlantı kurulamadı. Yeniden yönlendirme başarılı OLAMADI.

Etki alanı işlev düzeyi Windows Server 2003 değilse aldığınız hata iletileri

Windows Server 2003 etki alanı işlev düzeyine geçmemiş bir etki alanındaki kullanıcıları veya bilgisayar OU'larını yeniden yönlendirmeye çalışıyorsunuz. Bu durumda, aşağıdaki hata iletilerini alırsınız:

  • Hata iletisi 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Hata, wellKnownObjects özniteliği değiştirilemiyor. Etki alanının etki alanı işlev düzeyinin en az Windows Server 2003: Yeniden Yönlendirme gerçekleştirmek için isteksiz olduğunu doğrulayın.

  • Hata iletisi 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Hata, wellKnownObjects özniteliği değiştirilemiyor. Etki alanının işlev düzeyinin en az Windows Server 2003: Unwilling To Perform olduğunu doğrulayın

Gerekli izinler olmadan oturum açarsanız aldığınız hata iletileri

Hedef etki alanında yanlış kimlik bilgileri kullanarak kullanıcıları veya bilgisayar OU'larını yeniden yönlendirmeye çalışırsanız, aşağıdaki hata iletilerini alabilirsiniz:

  • Hata iletisi 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Hata, wellKnownObjects özniteliği değiştirilemiyor. Etki alanının etki alanı işlev düzeyinin en az Windows Server 2003: Yetersiz Hak Yeniden Yönlendirmesinin başarılı olmadığını doğrulayın.

  • Hata iletisi 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Hata, wellKnownObjects özniteliği değiştirilemiyor. Etki alanının etki alanı işlev düzeyinin en az Windows Server 2003: Yetersiz Hak Yeniden Yönlendirmesinin başarılı olmadığını doğrulayın.

Mevcut olmayan bir OU'ya yeniden yönlendirdiğinizde aldığınız hata iletileri

Kullanıcıları veya bilgisayar OU'larını var olmayan bir OU'ya yeniden yönlendirmeye çalışırsınız. Bu durumda, aşağıdaki hata iletilerini alabilirsiniz:

  • Hata iletisi 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Hata, wellKnownObjects özniteliği değiştirilemiyor. Etki alanının etki alanı işlev düzeyinin en az Windows Server 2003: Böyle Bir Nesne Yeniden Yönlendirmesi Başarılı Olmadı olduğunu doğrulayın.

  • Hata iletisi 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Hata, wellKnownObjects özniteliği değiştirilemiyor. Etki alanının etki alanı işlev düzeyinin en az Windows Server 2003: Böyle Bir Nesne Yeniden Yönlendirmesi Başarılı Olmadı olduğunu doğrulayın.

CN=Kullanıcılar yeniden yönlendirildiğinde Exchange Server 2000 kurulumu /domainprep içinde aldığınız hata iletileri

Exchange Server 2000 ve Exchange Server 2003 setup /domainprep başarısız olursa, aşağıdaki hata iletisini alırsınız:

Kurulum, hata kodu 0x80072030) olan etki alanı düzeyi alt bileşenleri yüklenirken başarısız oldu (ayrıntılı bir açıklama için yükleme günlüklerine bakın). Yüklemeyi iptal edebilir veya başarısız olan adımı yeniden deneyebilirsiniz. (Yeniden Dene / İptal Et)

Aşağıdaki veriler, günlük ayrıştırıcısı ile ayrıştırılan Exchange Server 2000 Kurulum günlüğünde gösterilir. Exchange Server 2003 benzer olmalıdır.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed