重定向 Windows Server 2003 域中的用户和计算机容器

文章翻译 文章翻译
文章编号: 324949 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

在 Windows 2000 和 Windows Server 2003 域控制器中,使用早期版本的应用程序编程接口 (API) 创建的用户、计算机和组的默认容器属于对象类 CN,而不是更为理想的组织单位类容器。

Microsoft 建议管理员在所有 Active Directory 域中积极部署最佳组织单位结构(请参阅“更多信息”一节以了解详细信息)。在 Windows Server 2003 域模式中升级或部署 Windows Server 2003 域控制器后,请将早期版本的 API 用来创建用户、计算机和组的默认容器重定向到管理员指定的组织单位容器。

重要说明:如果使用的是 Microsoft Exchange Server,则一定不要将 Exchange Domain Servers 组或 Exchange Enterprise Servers 组移到任何其他组织单位。要使 Exchange 正常运行,这些组必须保留在默认的 Users 容器中。

更多信息

默认情况下,在 Windows 2000 和 Windows Server 2003 的新安装和升级安装中,安全组、用户帐户和计算机帐户的容器是 CN=Users 和 CN=Computers。您无法对 CN 类容器应用组策略设置。因此,如果管理员打算为将要存储在其默认容器中的用户和计算机定义策略设置,就必须在域的根上定义。为防止在上级容器(域的根)上定义的策略设置应用于下级 CN 和组织单位容器中的用户和计算机,管理员必须在域的根中对策略设置定义复杂的访问控制列表 (ACL)。

用于 Windows 2000 和 Windows Server 2003 域的解决方案是部署最佳组织单位结构,在此结构中,用户、计算机、组、服务帐户和管理帐户分别位于它们自己的组织单位中。Best Practice Active Directory Design for Managing Windows Networks(用于管理 Windows 网络的最佳 Active Directory 设计)白皮书的“Creating an Organizational Unit Design”(创建组织单位设计)部分中讨论了最佳组织单位结构。要查看此白皮书,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
以下列表介绍了使用最佳组织单位结构的好处:
  • 它使管理员可以直接对承载用户和计算机的容器应用组策略。
  • 它使管理员可以将组策略与公用对象类的对象相匹配。例如,可以直接将用户或计算机策略设置链接到承载用户或计算机帐户的组织单位。
  • 使允许委派的用户可以对不承载对安全敏感的用户和组(如 Domain Administrators、Schema Administrators 或 Enterprise Administrators)的容器应用策略。
  • 如果某个组织单位被意外删除,它可以使影响降到最低(假定父容器受到正确保护)。
  • 使您可以在恢复方案中独立地恢复用户和组。在恢复组之前,用户帐户必须存在。将用户和组驻留在不同容器中使您可以独立地恢复它们并将其标记为权威。
请注意,CN=USERS 和 CN=COMPUTERS 容器是受计算机保护的对象。虽然可以重命名它们,但是出于向后兼容的目的,您无法(并且也一定不要)删除它们。

最佳组织单位结构非常适合存储 Active Directory 中的现有用户、计算机和组,因为这些对象可以移入 Windows 2000 和 Windows Server 2003 域上适当的组织单位容器中,无论其域或林的功能级别如何。由 GUI 和命令行管理工具使用的以早期版本的 API 创建(在 CN=users 和 CN=computers 中)的新用户帐户、计算机帐户和安全组不允许管理员指定目标组织单位。结果,这些对象最初会在 CN=Users 和 CN=Computers 容器中创建,直到管理员或管理员定义的脚本将它们移走。下面的列表提供了这类工具的示例:
  • 在下列操作系统中,域加入 UI:
    • Microsoft Windows NT 4.0
    • Microsoft Windows 2000
    • Microsoft Windows XP Professional
    • Microsoft Windows Server 2003
    此操作会将 Active Directory 域作为成员计算机加入。
  • net user 命令。
  • net computer 命令。
  • net group 命令。
  • netdom add 命令,其中,/ou 命令未指定或不受支持。
  • 基于 Windows NT 4.0 的成员计算机上的用户管理器
此外,受委派用户并不知道要在哪个容器中创建对象,即使可以指定目标组织单位。

Microsoft 建议管理员将 Windows NT 4.0 和 Windows 2000 域控制器升级到 Windows Server 2003 域控制器,并且将众所周知的 CN=Users 和 CN=Computers 路径重定向到管理员指定的组织单位。这样,组策略设置就可以适用于承载新创建的或永久的用户及计算机帐户的容器。

如果您要重定向 CN=Users 和 CN=Computers 文件夹,请注意下列问题:
  • 必须将目标域配置为在 Windows Server 2003 域或林功能级别运行。对于域功能级别,这意味着域中的所有域控制器必须都运行 Windows Server 2003 操作系统。
  • 如果运行 Exchange 2000 setup /domainprep 命令,就会收到本文的“重定向 CN=Users 时 Exchange 2000 SETUP /DOMAINPREP 中出现的错误消息”一节列出的错误消息。如果由 Exchange 2000 setup /domainprep 命令添加的 Exchange Enterprise Servers 组和 Exchange Domain Servers 组不在 CN=USERS 容器中,就会发生此问题。要解决此问题,请将由 Exchange 2000setup /domainprep 命令创建的 Exchange Enterprise Servers 组和 Exchange Domain Servers 组从重定向的组织单位移到 CN=Users 容器中。 有关 Exchange 可解释性的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    260914 如果将 Exchange Enterprise Servers 组和 Exchange Domain Servers 组移动到新容器,则 Domainprep 实用工具无法运行

将 CN=Users 重定向到管理员指定的组织单位

  1. 使用域管理员凭据登录到 CN=Users 容器将被重定向到的 z 域中。
  2. 在“Active Directory 用户和计算机”管理单元 (Dsa.msc) 或“域和信任关系”管理单元 (Domains.msc) 中,将该域转换到 Windows Server 2003 域功能级别。 有关提高域功能级别的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    322692 如何在 Windows Server 2003 中提升域和林功能级别
  3. 创建要驻留用早期版本 API 创建的用户的组织单位容器(如果所需的 OU 容器尚不存在)。
  4. 使用以下语法在命令提示符下运行 Redirusr.exe,其中 container-dn 是组织单位的可辨别名称,该组织单位将成为下层 API 所创建的新用户对象的默认位置:
    c:\windows\system32\redirusr container-dn
    Redirusr 安装在新的和升级的基于 Windows Server 2003 的计算机上的 %SystemRoot%\System32 文件夹中。例如,要在 CORP.COM 域中将使用下层 API(如 Net User)创建的用户的默认位置更改为 OU=Users OU 容器,请使用以下语法:
    c:\windows\system32>redirusr ou=myusers,DC=company,dc=com
有关设计组策略基础结构的其他信息,请访问下面的 Microsoft 网站: http://technet2.microsoft.com/WindowsServer/en/Library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx

将 CN=Computers 重定向到管理员指定的组织单位

  1. 使用域管理员凭据登录到 CN=computers 容器将被重定向到的域中。
  2. 在“Active Directory 用户和计算机”管理单元 (Dsa.msc) 或“域和信任关系”管理单元 (Domains.msc) 中,将域转换为 Windows Server 2003 域。 有关提高域功能级别的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    322692 如何在 Windows Server 2003 中提升域和林功能级别
  3. 创建要驻留用早期版本 API 创建的计算机的组织单位容器(如果所需的 OU 容器尚不存在)。
  4. 使用以下语法在命令提示符下运行 Redircmp.exe,其中,container-dn 是组织单位的可辨别名称,该组织单位将成为下层 API 所创建的新计算机对象的默认位置:
    redircmp container-dn container-dn
    Redircmp.exe 安装在新的和升级的基于 Windows Server 2003 的计算机上的 %Systemroot%\System32 文件夹中。例如,要在 CORP.COM 域中将使用早期版本的 API(如 Net User)创建的计算机的默认位置更改为 OU=mycomputers 容器,请使用以下语法:
    C:\windows\system32>redircmp ou=mycomputers,DC=company,dc=com

错误消息描述

PDC 脱机时出现的错误消息

Redircmp 和 Redirusr 修改主域控制器 (PDC) 上的 wellKnown 属性。如果要修改的域的 PDC 脱机或无法访问,则会收到以下错误消息:
错误消息 1
D:\>redirusr OU=userOU,DC=udc,dc=jkcert,dc=loc 错误,找不到当前域的主域控制器:指定的域不存在,或无法联系。重定向没有成功。
错误消息 2
D:\>redircmp OU=computerOU,DC=udc,dc=jkcert,dc=loc 错误,找不到当前域的主域控制器:指定的域不存在,或无法联系。重定向没有成功。

域功能级别不是 Windows Server 2003 时出现的错误消息

如果尝试在未转换为 Windows Server 2003 域功能级别的域中重定向用户或计算机组织单位,则会收到以下错误消息。
错误消息 1
C:\>redirusr OU=usersou,DC=company,DC=com
错误,无法修改 wellKnownObjects 属性。请验证此域的域功能级别至少是 Windows Server 2003:不会执行,重定向没有成功。
错误消息 2
C:\>REDIRCMP ou=computersou,dc=company,dc=com
错误,无法修改 wellKnownObjects 属性。请验证此域的域功能级别至少是 Windows Server 2003:不会执行

在没有所需权限的情况下登录时出现的错误消息

如果尝试在目标域中使用不正确的凭据重定向用户或计算机组织单位,则会收到以下错误消息。
错误消息 1
C:>REDIRCMP OU=computersou,DC=company,DC=com
错误,无法修改 wellKnownObjects 属性。请验证此域的域功能级别至少是 Windows Server 2003:权限不够,重定向没有成功。
错误消息 2
:\>redirusr OU=usersou,DC=company,DC=com
错误,无法修改 wellKnownObjects 属性。请验证此域的域功能级别至少是 Windows Server 2003:权限不够,重定向没有成功。

重定向到不存在的组织单位时出现的错误消息

如果尝试将用户或计算机组织单位重定向到不存在的组织单位,则会收到以下错误消息。
错误消息 1
C:\>REDIRCMP OU=nonexistantou,dc=rendom,dc=com
错误,无法修改 wellKnownObjects 属性。请验证此域的域功能级别至少是 Windows Server 2003:无此对象,重定向没有成功。
错误消息 2
C:\>redirusr OU=nonexistantou,DC=company,DC=com
错误,无法修改 wellKnownObjects 属性。请验证此域的域功能级别至少是 Windows Server 2003:无此对象,重定向没有成功。

重定向 CN=Users 时,Exchange 2000“setup /domainprep”中出现的错误消息

如果 Exchange 2000 setup /domainprep 失败,则会收到以下错误消息:
安装程序在安装子组件“域级别权限”时失败,错误代码为 0x80072030 (请参阅安装日志查看详细描述)。您可以取消安装或重试失败了的安装步骤。(重试/取消)
在使用日志分析器分析的 Exchange 2000 安装日志中显示以下数据:
[HH:MM:SS] Windows 2000 5.0.2195.Service Pack 3 上的 Exchange 4417 安装开始于 21:43:31 02/19/2003
[HH:MM:SS] Microsoft Exchange 2000 组件的 DomainPrep 已完成
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) 错误代码 0X80072030 (8240):在服务器上没有这样一个对象。
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) 错误代码 0X80072030 (8240):在服务器上没有这样一个对象。
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) 错误代码 0X80072030 (8240):在服务器上没有这样一个对象。
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) 错误代码 0X80072030 (8240):在服务器上没有这样一个对象。
[HH:MM:SS] 安装程序在执行 DomainPrep 的 Microsoft Exchange Domain Preparation 组件任务时遇到错误。CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) 错误代码 0X80072030 (8240):在服务器上没有这样一个对象。
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) 错误代码 0X80072030 (8240):在服务器上没有这样一个对象。
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) 错误代码 0X80072030 (8240):在服务器上没有这样一个对象。
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) 错误代码 0X80072030 (8240):在服务器上没有这样一个对象。
[HH:MM:SS] 安装程序已完成
redirusrredircmp 命令修改的 wellKnown 属性定义创建用户、计算机和组的默认位置。您可以使用 Ldp.exe 或 Adsiedit.msc 在域 NC 头的根中查看该属性。在本例中,用户和计算机组织单位已经被重定向到 OU=UsersOU 和 OU=ComputersOU:
-----------
Expanding base 'DC=company,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=company,DC=com
	3> objectClass: top; domain; domainDNS; 
	1> distinguishedName: DC=company,DC=com; 
	...
	11> wellKnownObjects: B:32:A9D1CA15768811D1ADED00C04FD8D5CD:OU=usersou,DC=company,DC=com;
                               B:32:AA312825768811D1ADED00C04FD8D5CD:OU=computersou,DC=company,DC=com;
                               B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=company,DC=com; 
                               B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=company,DC=com; 
                               B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=company,DC=com; 
                               B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=company,DC=com;
                               B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=company,DC=com; <BR/>
                               B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=company,DC=com; 
                               B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=company,DC=com; 
                               B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=company,DC=com; 
                               B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=company,DC=com; 
	
-----------
				

参考

有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
818470 运行 setup.exe /domainprep 时 Exchange Server 2003 安装程序返回错误代码 0x80072030
260914 如果将 Exchange Enterprise Servers 组和 Exchange Domain Servers 组移动到新容器,则 Domainprep 实用工具无法运行

属性

文章编号: 324949 - 最后修改: 2006年5月25日 - 修订: 11.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
关键字:?
kbinfo KB324949
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com