重新導向 Windows Server 2003 網域中的使用者和電腦容器

文章翻譯 文章翻譯
文章編號: 324949 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

在 Windows 2000 和 Windows Server 2003 網域控制站中,使用舊版應用程式發展介面 (API) 為使用者、電腦和群組建立的預設容器屬於 objectclass CN,而不是較為理想的組織單位類別容器。

Microsoft 建議系統管理員可以在所有 Active Directory 網域中積極部署最佳實務的組織單位結構 (如需詳細資訊,請參閱<其他相關資訊>一節)。以 Windows Server 2003 網域模式升級或部署 Windows Server 2003 網域控制站之後,請將舊版 API 用來建立使用者、電腦和群組的預設容器,重新導向到系統管理員指定的組織單位容器。

重要 如果您使用的是 Microsoft Exchange Server,絕對不要將 Exchange 網域伺服器群組或 Exchange 企業伺服器群組移到任何其他組織單位。為了讓 Exchange 能夠正常運作,這些群組必須留在預設的使用者容器中。

其他相關資訊

根據預設,在 Windows 2000 和 Windows Server 2003 的新安裝和升級安裝中,安全性群組、使用者帳戶和電腦帳戶的容器為 CN=Users 和 CN=Computers。您無法在 CN 類別容器上套用群組原則設定。因此,系統管理員若要針對即將儲存於預設容器的使用者及電腦定義原則設定,就必須在網域根目錄上進行。為了避免將上層容器 (網域根目錄) 定義的原則設定套用至下層 CN 和組織單位容器中的使用者和電腦,系統管理員必須針對網域根目錄中的原則設定定義複雜的存取控制清單 (ACL)。

適用於 Windows 2000 和 Windows Server 2003 網域的解決方案是部署最佳實務的組織單位結構;在此結構中,使用者、電腦、群組、服務帳戶和管理帳戶都位於各自的組織單位中。如需最佳實務組織單位結構的說明,請參閱《管理 Windows 網路的最佳實務 Active Directory 設計》白皮書中的<建立組織單位設計>一節 (英文)。如果要檢視此白皮書,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
下列清單說明使用最佳實務組織單位結構的優點:
  • 允許系統管理員直接在裝載使用者和電腦的容器上套用群組原則。
  • 允許系統管理員將群組原則對應至公用 objectclass 的物件。例如,系統管理員可以將使用者或電腦原則設定直接連結到裝載使用者或電腦帳戶的組織單位。
  • 允許委派的使用者在未裝載有安全性顧慮之使用者及群組 (例如網域系統管理員、架構系統管理員或企業系統管理員) 的容器上套用原則。
  • 如果意外刪除某個組織單位,可將影響降至最低 (假設父容器受到適當保護)。
  • 允許您在復原方案中互不影響地還原使用者和群組。使用者帳戶必須在還原群組之前就已經存在。將使用者和群組存放在不同的容器中,可讓您將它們還原並標記為擁有管理權限,而且互不影響。
請注意,CN=USERS 和 CN=COMPUTERS 容器是受電腦保護的物件。雖然可以重新命名,但是為了回溯相容性,您無法 (也絕對不要) 移除它們。

最佳實務組織單位結構非常適合儲存 Active Directory 中的現有使用者、電腦和群組,因為這些物件都可以移至 Windows 2000 和 Windows Server 2003 網域上適當的組織單位容器中,無論容器的網域或樹系功能等級為何。透過 GUI 和命令列管理工具使用的舊版 API 所建立的新使用者帳戶、電腦帳戶和安全性群組 (在 CN=users 和 CN=computers 中),不允許系統管理員指定目標組織單位。因此,這些物件一開始是建立在 CN=Users 和 CN=Computers 容器中,直到系統管理員或系統管理員定義的指令碼移動它們。下列清單提供這類工具的範例:
  • 下列作業系統提供的加入網域使用者介面:
    • Microsoft Windows NT 4.0
    • Microsoft Windows 2000
    • Microsoft Windows XP Professional
    • Microsoft Windows Server 2003
    這個作業會將 Active Directory 網域當做成員電腦加入。
  • net user 命令。
  • net computer 命令。
  • net group 命令。
  • netdom add 命令,其中 /ou 命令未指定或不受支援。
  • Windows NT 4.0 成員電腦上的使用者管理員
此外,即使可以指定目標組織單位,受委派的使用者也不知道要在哪個容器中建立物件。

Microsoft 建議系統管理員將 Windows NT 4.0 和 Windows 2000 網域控制站升級為 Windows Server 2003 網域控制站,並將已知的 CN=Users 和 CN=Computers 路徑重新導向到系統管理員指定的組織單位。如此,就可以將群組原則設定套用至裝載新建立或永久使用者及電腦帳戶的容器。

如果要重新導向 CN=Users 和 CN=Computers 資料夾,請注意下列問題:
  • 目標網域必須設定為可在 Windows Server 2003 網域或樹系功能等級中執行。就此網域功能等級而言,這表示網域中的所有網域控制站都必須執行 Windows Server 2003 作業系統。
  • 如果您執行 Exchange 2000 setup /domainprep 命令,就會收到本文<重新導向 CN=Users 時,Exchange 2000 setup /domainprep 命令中出現的錯誤訊息>一節所列的錯誤訊息。如果透過 Exchange 2000 setup /domainprep 所新增的 Exchange 企業伺服器群組和 Exchange 網域伺服器群組不存在於 CN=Users 容器中,就會發生這個問題。如果要解決這個問題,請將 Exchange 2000 setup /domainprep 所建立的 Exchange 企業伺服器群組和 Exchange 網域伺服器群組,從重新導向後的組織單位移至 CN=Users 容器。 如需有關 Exchange 解譯能力的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    260914 Domainprep utility does not work if Exchange Enterprise Servers group and Exchange Domain Servers group moved to a new container

將 CN=Users 重新導向到系統管理員指定的組織單位

  1. 使用網域系統管理員認證登入 CN=Users 容器將被重新導向到的 z 網域中。
  2. 在「Active Directory 使用者及電腦」嵌入式管理單元 (Dsa.msc) 或「Active Directory 網域及信任」(Domains.msc) 嵌入式管理單元中,將該網域轉換為 Windows Server 2003 網域功能等級。 如需有關提高網域功能等級的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    322692 HOW TO:在 Windows Server 2003 中提高網域和樹系功能等級
  3. 建立要容納由舊版 API 所建立之使用者的組織單位容器 (如果所需的 OU 容器尚不存在)。
  4. 使用下列語法,在命令提示字元中執行 Redirusr.exe,其中 container-dn 是組織單位的辨別名稱,這個組織單位將成為由舊版 API 建立的新使用者物件的預設位置:
    c:\windows\system32\redirusr container-dn
    Redirusr 會安裝在全新和升級的 Windows Server 2003 電腦的 %SystemRoot%\System32 資料夾中。例如,如果要將由舊版 API (如 Net User) 所建立使用者的預設位置變更為 CORP.COM 網域中的 OU=Users OU 容器,請使用下列語法:
    c:\windows\system32>redirusr ou=myusers,DC=company,dc=com
如需有關設計群組原則基礎結構的詳細資訊,請造訪下列 Microsoft 網站:http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx

將 CN=Computers 重新導向到系統管理員指定的組織單位

  1. 使用網域系統管理員認證登入 CN=Computers 容器將被重新導向到的網域中。
  2. 在「Active Directory 使用者及電腦」嵌入式管理單元 (Dsa.msc) 或「Active Directory 網域及信任」(Domains.msc) 嵌入式管理單元中,將該網域轉換為 Windows Server 2003 網域。 如需有關提高網域功能等級的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    322692 HOW TO:在 Windows Server 2003 中提高網域和樹系功能等級
  3. 建立要容納由舊版 API 所建立之電腦的組織單位容器 (如果所需的 OU 容器尚不存在)。
  4. 使用下列語法,在命令提示字元中執行 Redircmp.exe,其中 container-dn 是組織單位的辨別名稱,這個組織單位將成為由舊版 API 建立的新電腦物件的預設位置:
    redircmp container-dn container-dn
    Redircmp.exe 會安裝在全新和升級的 Windows Server 2003 電腦的 %Systemroot%\System32 資料夾中。例如,如果要將由舊版 API (如 Net User) 所建立電腦的預設位置變更為 CORP.COM 網域中的 OU=mycomputers 容器,請使用下列語法:
    C:\windows\system32>redircmp ou=mycomputers,DC=company,dc=com
    注意 當執行 Redircmp.exe 將 CN=Computers 容器重新導向至系統管理員指定的組織單位時,CN=Computers 容器不再是受電腦保護的物件。這表示現在可以移動、刪除及重新命名 Computers 容器。如果您使用 ADSIEDIT 來檢視 CN=Computers 容器上的屬性,會看到 systemflags 屬性已從 -1946157056 修改為 0。這是原先設計的行為。

錯誤訊息描述

PDC 離線時出現的錯誤訊息

Redircmp 和 Redirusr 會修改網域主控站 (PDC) 上的 wellKnownObjects 屬性。如果要修改的網域 PDC 離線或無法存取,您會收到下列錯誤訊息。
錯誤訊息 1
D:\>redirusr OU=userOU,DC=udc,dc=jkcert,dc=loc 錯誤,找不到目前網域的網域主控站:指定的網域可能不存在或無法連線。重新導向並未成功。
錯誤訊息 2
D:\>redircmp OU=computerOU,DC=udc,dc=jkcert,dc=loc 錯誤,找不到目前網域的網域主控站:指定的網域可能不存在或無法連線。重新導向並未成功。

網域功能等級不是 Windows Server 2003 時出現的錯誤訊息

如果您嘗試在尚未轉換為 Windows Server 2003 網域功能等級的網域中重新導向使用者或電腦組織單位,則會收到下列錯誤訊息。
錯誤訊息 1
C:\>redirusr OU=usersou,DC=company,DC=com
錯誤,無法修改 wellKnownObjects 屬性。請確認網域的網域功能等級至少是 Windows Server 2003:不願意執行,重新導向並未成功。
錯誤訊息 2
C:\>REDIRCMP ou=computersou,dc=company,dc=com
錯誤,無法修改 wellKnownObjects 屬性。請確認網域的網域功能等級至少是 Windows Server 2003:不願意執行

在沒有所需權限的情況下登入時出現的錯誤訊息

如果您嘗試在目標網域中使用不正確的認證重新導向使用者或電腦組織單位,可能會收到下列錯誤訊息。
錯誤訊息 1
C:>REDIRCMP OU=computersou,DC=company,DC=com
錯誤,無法修改 wellKnownObjects 屬性。請確認網域的網域功能等級至少是 Windows Server 2003:權利不足,重新導向並未成功。
錯誤訊息 2
:\>redirusr OU=usersou,DC=company,DC=com
錯誤,無法修改 wellKnownObjects 屬性。請確認網域的網域功能等級至少是 Windows Server 2003:權利不足,重新導向並未成功。

重新導向到不存在的組織單位時出現的錯誤訊息

如果您嘗試將使用者或電腦組織單位重新導向到不存在的組織單位,可能會收到下列錯誤訊息。
錯誤訊息 1
C:\>REDIRCMP OU=nonexistantou,dc=rendom,dc=com
錯誤,無法修改 wellKnownObjects 屬性。請確認網域的網域功能等級至少是 Windows Server 2003:沒有這種物件,重新導向並未成功。
錯誤訊息 2
C:\>redirusr OU=nonexistantou,DC=company,DC=com
錯誤,無法修改 wellKnownObjects 屬性。請確認網域的網域功能等級至少是 Windows Server 2003:沒有這種物件,重新導向並未成功。

重新導向 CN=Users 時,Exchange 2000 setup /domainprep 命令中出現的錯誤訊息

如果 Exchange 2000 setup /domainprep 沒有成功,您會收到下列錯誤訊息:
安裝程式在安裝子元件「網域等級權限」時失敗,其錯誤碼為 0x80072030 (請參考安裝記錄取得詳細的描述)。您可以取消安裝或再次嘗試失敗的步驟。(重試/取消)
在記錄剖析器所剖析的 Exchange 2000 安裝記錄檔中,會出現下列資料:
[HH:MM:SS] 正在啟動 Exchange 4417 安裝程式 (於 Windows 2000 5.0.2195.Service Pack 3 上),時間: 21:43:31 02/19/2003
[HH:MM:SS] 已完成 DomainPrep (其屬於 Microsoft Exchange 2000 元件)
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) 錯誤碼 0X80072030 (8240):伺服器中沒有這個物件。
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) 錯誤碼 0X80072030 (8240):伺服器中沒有這個物件。
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) 錯誤碼 0X80072030 (8240):伺服器中沒有這個物件。
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) 錯誤碼 0X80072030 (8240):伺服器中沒有這個物件。
[HH:MM:SS] 安裝程式在執行 DomainPrep 的 Microsoft Exchange Domain Preparation 元件工作時發生錯誤。CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) 錯誤碼 0X80072030 (8240):伺服器中沒有這個物件。
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) 錯誤碼 0X80072030 (8240):伺服器中沒有這個物件。
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) 錯誤碼 0X80072030 (8240):伺服器中沒有這個物件。
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) 錯誤碼 0X80072030 (8240):伺服器中沒有這個物件。
[HH:MM:SS] 安裝完成
rediruserredircmp 命令所修改的 wellKnownObjects 屬性會定義在其中建立使用者、電腦和群組的預設位置。您可以使用 Ldp.exe 或 Adsiedit.msc 來檢視網域 NC 標題根目錄中的屬性。在此範例中,使用者和電腦組織單位已經重新導向到 OU=UsersOU 和 OU=ComputersOU:
-----------
Expanding base 'DC=company,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=company,DC=com
	3> objectClass: top; domain; domainDNS; 
	1> distinguishedName: DC=company,DC=com; 
	...
	11> wellKnownObjects: B:32:A9D1CA15768811D1ADED00C04FD8D5CD:OU=usersou,DC=company,DC=com;
                               B:32:AA312825768811D1ADED00C04FD8D5CD:OU=computersou,DC=company,DC=com;
                               B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=company,DC=com; 
                               B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=company,DC=com; 
                               B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=company,DC=com; 
                               B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=company,DC=com;
                               B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=company,DC=com; <BR/>
                               B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=company,DC=com; 
                               B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=company,DC=com; 
                               B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=company,DC=com; 
                               B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=company,DC=com; 
	
-----------
				

?考

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
818470 Exchange Server 2003 Setup returns error code 0x80072030 when you run setup.exe /domainprep
260914 Domainprep utility does not work if Exchange Enterprise Servers group and Exchange Domain Servers group moved to a new container

屬性

文章編號: 324949 - 上次校閱: 2007年4月23日 - 版次: 13.1
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
關鍵字:?
kbinfo KB324949
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com