Přesměrování uživatelů a počítačů, kontejnerů v doménách služby Active Directory

Souhrn

Ve výchozí instalaci služby Active Directory domény, uživatelské účty, účty počítače a skupiny jsou umístěny v CN = kontejnery objectclass namísto uvedení více žádoucí třídy kontejner organizační jednotky. Podobně, uživatelské účty, účty počítače a skupiny, které byly vytvořeny pomocí starší verze rozhraní API jsou umístěny CN = Users a CN = počítače kontejnery.



Tento článek popisuje způsob použití nástroje redirusr a redircmp přesměrovat uživatele, počítače a účty skupiny, které byly vytvořeny pomocí starší verze rozhraní API, takže jsou umístěny do nádoby určené admin organizační jednotky.

Důležité: Některé aplikace vyžadují zvláštní zaregistrovaných umístit výchozí kontejnery jako CN = Users a CN = počítače. Ověřte, zda aplikace těchto závislostí před přesunutím z CN = users a CN = kontejnery vypočte.

Další informace

Uživatelů, počítačů a skupin vytvořené staršími verzemi rozhraní API umístěte objekty v cestě rozlišující název zadaný v WellKnownObjects atribut, který je umístěn v doméně NC hlavy. Následující příklad kódu ukazuje příslušné cesty v WellKnownObjects atribut z hlavu kontextu pojmenování domény CONTOSO.COM.
DN: DC = CONTOSO, DC = COM
wellKnownObjects (11): B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM; 
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Příklady operací, které používají starší verze rozhraní API, která odpověď na cestách, které jsou definovány v WellKnownObjects atribut patří.
OperaceVerze operačního systému
Připojení k doméně uživatelského rozhraníWindows NT version4.0

Systém Windows 2000

Systém Windows XP Professional
Windows XP Ultimate

Windows Server 2003
Windows Server 2003 R2

Systém Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2
ČISTÝ POČÍTAČVšechny verze
NET GROUPVšechny verze
NET USERVšechny verze
Přidat NETDOM, kde/OU příkaz není zadán nebo podporovánoVšechny verze
Je vhodné vytvořit výchozí kontejner uživatele, počítače a skupiny zabezpečení organizační jednotky z několika důvodů, včetně následujících:
  • Zásady skupiny lze pro kontejnery organizační jednotky, ale ne na KN třídy kontejnerů, kde jsou umístěny objekty zabezpečení ve výchozím nastavení.
  • "Nejlepší" je uspořádat do organizační jednotky hierarchie, která odráží vaše organizační struktury, geografické rozložení nebo model správy zaregistrované objekty zabezpečení.
Pokud se přesměrování, CN = Uživatelé a CN = počítače složky uvědomit následující skutečnosti:
  • Cílová doména musí být nakonfigurován pro spuštění v úroveň funkčnosti domény Windows Server 2003 nebo vyšší. Pro 2003 úroveň funkčnosti domény to znamená, že:
    • Windows Server 2003 příkaz ADPREP/forestprep nebo novější
    • Windows Server 2003 příkaz ADPREP/domainprep nebo novější
    • Všechny řadiče domény v cílové doméně nutné spustit systém Windows Server 2003 nebo novější.
    • Musí být povoleno funkčnosti domény Windows Server 2003 úroveň nebo vyšší.

  • Na rozdíl od CN = USERS a CN = počítače, organizační jednotky, které jsou kontejnery podléhají náhodné odstranění privilegované uživatelskými účty, včetně správců.



    CN = USERS a CN = počítače kontejnery jsou chráněné systémové objekty, které nemůže a nesmí, odebrat z důvodu zpětné kompatibility. Však jejich lze přejmenovat. Organizační jednotky, na straně druhé se mohou správci náhodného odstranění.



    Verze systému Windows Server 2003 Active Directory Users a počítačů, modul snap-in můžete postupujte podle kroků v "chránit před nechtěným odstraněním organizační jednotky."



    Windows Server 2008 a novější verze modulu snap-in Active Directory Users and Computers funkce "Chránit objekt před náhodným odstraněním" zaškrtávací políčko, které lze klepnout a vybrat při vytváření nového kontejneru organizační jednotky. Můžete také vybrat toto zaškrtávací políčko na kartě objekt v dialogovém okně Vlastnosti pro existující kontejner organizační jednotky.



    Skriptované možnost je popsána v "skript chránit organizační jednotky (OU) před nechtěným odstraněním."
  • Exchange 2000 a 2003 setup/domainprep nezdaří s chybami. Tento problém je popsána v následujících článcích znalostní báze Microsoft Knowledge Base:
    • 260914 nástroj Domainprep nefunguje, pokud skupiny servery Exchange Enterprise a Domain servery Exchange skupiny přesunuty do nového kontejneru

    • 818470 Exchange Server 2003 instalační program vrací kód chyby 0x80072030 při spuštění setup.exe/domainprep

Přesměrování, CN = uživatelé správce určit organizační jednotkou

  1. Přihlaste se pomocí pověření správce domény v doméně z kde CN = uživatelé kontejneru je přesměrován.
  2. Převod domény na úroveň funkčnosti domény Windows Server 2003 nebo novější, buď Active Directory Users and Computers modul snap-in (Dsa.msc) nebo domény a vztahy důvěryhodnosti (Domains.msc) modul snap in Další informace o zvýšení úrovně funkčnosti domény získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

    Jak 322692 zvýšení úrovní funkčnosti domény a doménové struktury systému Windows Server 2003

  3. Vytvořte kontejner organizační jednotky, kde chcete uživatelům, kteří jsou vytvořeny pomocí starší verze rozhraní API umístěna, pokud jednotka kontejner organizace, který má již neexistuje.
  4. Spustit soubor Redirusr.exe na příkazovém řádku pomocí následující syntaxe, kde je kontejner dn rozlišující název organizační jednotky, která se stane výchozím umístěním pro nově vytvořené uživatelské objekty vytvořené pomocí rozhraní API nižší úrovně:
    c:\windows\system32\redirusr < cesta k alternativní OU >
    Redirusr je nainstalována ve složce %SystemRoot%\System32 v počítačích se systémem Windows Server 2003 nebo novější. Chcete-li například změnit výchozí umístění pro uživatele, kteří jsou vytvořeny s API nižší úrovně, jako je například Net uživatele do organizační jednotky = MYUsers OU kontejneru v doméně CONTOSO.COM, použijte následující syntaxi:
    c:\Windows\System32 > redirusr ou = myusers, DC = contoso, dc = com

Přesměrování, CN = počítače správce určit organizační jednotkou

  1. Přihlaste se pomocí pověření správce domény v doméně, kde CN = počítače je přesměrován kontejner.
  2. Převod domény k doméně systému Windows Server 2003 Active Directory Users and Computers modul snap-in (Dsa.msc) nebo domény a vztahy důvěryhodnosti (Domains.msc) modul snap inDalší informace o zvýšení úrovně funkčnosti domény získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

    Jak 322692 zvýšení úrovní funkčnosti domény a doménové struktury systému Windows Server 2003

  3. Vytvořte kontejner organizační jednotky, kde chcete, aby počítače, které jsou vytvořeny pomocí starší verze rozhraní API umístěna, je-li kontejner požadovanou organizační jednotku již neexistuje.
  4. Spuštění Redircmp.exe soubor z příkazového řádku pomocí následující syntaxe, kde je kontejner dn rozlišující název organizační jednotky, které se stane výchozí umístění nově vytvořených objektů počítačů, které jsou vytvořeny pomocí rozhraní API nižší úrovně:
    redircmp dn kontejneru kontejner dn
    Redircmp.exe je nainstalován ve složce %Systemroot%\System32 v počítačích se systémem Windows Server 2003 nebo novější. Chcete-li například změnit výchozí umístění v počítači, který je vytvořen pomocí starší verze rozhraní API, například Net uživatele do organizační jednotky = mycomputers kontejneru v doméně CONTOSO.COM, použijte následující syntaxi:
    C:\Windows\System32 > redircmp ou = mycomputers, DC = contoso, dc = com
    Poznámka: Při spuštění Redircmp.exe přesměrovat CN = kontejneru počítače do organizační jednotky určený správcem, CN = počítače kontejner nebude chráněný objekt. To znamená, že kontejner počítače lze nyní přesunut, odstraněn nebo přejmenován. Pokud pomocí nástroje ADSIEDIT k zobrazení atributů CN = počítače kontejner, uvidíte, že systemflags atribut byl změněn z-1946157056 na hodnotu 0. Toto je záměrné.

Popis chybové zprávy

Chybové zprávy, které obdržíte, pokud je primární řadič domény v režimu offline

Redircmp a Redirusr změnit wellKnownObjects atribut na primární řadič domény (PDC). Pokud primární řadič domény, který je měněn je offline nebo nedostupný, obdržíte následující chybové zprávy.
Chybová zpráva 1
D:\ > redirusr OU = userOU, DC = udc, dc = jkcertcontoso, dc = loc com
Chyba: Nelze nalézt primárního řadiče domény pro aktuální doménu: Zadaná doména neexistuje nebo není možné spojit. Přesměrování neproběhlo úspěšně.
Chybová zpráva 2
D:\ > redircmp OU = computerOU, DC = contoso, dc = com, DC = udc, dc = jkcert, dc = loc
Chyba: Nelze nalézt primárního řadiče domény pro aktuální doménu: Zadaná doména neexistuje nebo není možné spojit. Přesměrování neproběhlo úspěšně.

Chybové zprávy, které obdržíte, pokud úroveň funkčnosti domény Windows Server 2003

Při pokusu o přesměrování uživatele nebo organizační jednotky počítače v doméně, která není přepnuta na úroveň funkčnosti domény Windows Server 2003 se zobrazí následující chybové zprávy.
Chybová zpráva 1
C:\ > redirusr OU = usersou, DC = contoso, dc = comDC = společnost, DC = com

Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda úroveň funkčnosti domény v doméně je alespoň Windows Server 2003: ochoten se k provádění přesměrování neproběhlo úspěšně.
Chybová zpráva 2
C:\ > REDIRCMP ou = computersou, DC = contoso, dc = comdc = společnost, dc = com

Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda je úroveň funkčnosti domény domény nejméně Windows Server 2003: ochoten k provedení

Chybové zprávy, které obdržíte, pokud přihlásit bez požadovaná oprávnění

Při pokusu o přesměrování uživatele nebo organizační jednotky počítače pomocí nesprávná pověření v cílové doméně můžete obdržet následující chybové zprávy.
Chybová zpráva 1
C: > REDIRCMP OU = computersou, DC = contoso, dc = comDC = společnost, DC = com

Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda je úroveň funkčnosti domény v doméně nejméně Windows Server 2003: Nedostatečná práva Přesměrování neproběhlo úspěšně.
Chybová zpráva 2
: \ > redirusr OU = usersou, DC = contoso, dc = comDC = společnost, DC = com

Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda je úroveň funkčnosti domény v doméně nejméně Windows Server 2003: Nedostatečná práva Přesměrování neproběhlo úspěšně.

Chybové zprávy, které obdržíte, pokud je přesměrování na organizační jednotku, která neexistuje.

Při pokusu o přesměrování uživatele nebo organizační jednotky počítače do organizační jednotky, která neexistuje, můžete obdržet následující chybové zprávy.
Chybová zpráva 1
C:\ > REDIRCMP OU = nonexistantou, DC = contoso, dc = com, dc = rendom, dc = com

Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda úroveň funkčnosti domény v doméně je alespoň systém Windows Server 2003: Ne takových objektů Přesměrování neproběhlo úspěšně.
Chybová zpráva 2
C:\ > redirusr OU = nonexistantou, DC = contoso, dc = com, DC = firma, DC = com

Chyba: nelze změnit atribut wellKnownObjects. Ověřte, zda úroveň funkčnosti domény v doméně je alespoň systém Windows Server 2003: Ne takových objektů Přesměrování neproběhlo úspěšně.

Chybové zprávy, které jste obdrželi v serveru Exchange 2000 "setup/domainprep" při CN = Users přesměrován

Exchange 2000 a Exchange 2003 /domainprep/domainprep instalační program neproběhne úspěšně, zobrazí se následující chybová zpráva:
Instalace se nezdařila při instalaci s kódem chyby 0x80072030 dílčí komponentě oprávnění na úrovni domény) (najdete v protokolech instalace podrobný popis). Můžete zrušit instalaci nebo selhání krok opakujte. (Opakování / zrušit)
Tyto údaje se zobrazí v protokolu instalačního programu serveru Exchange 2000, který je analyzován pomocí analyzátoru protokolu. Server Exchange 2003 by měly být podobné.
HH: MM [:] Dokončené součást nástroje DomainPrep Microsoft Exchange 2000
HH: MM [:] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) kód chyby 0X80072030 (8240): na serveru není žádný takový objekt.
HH: MM [:] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) kód chyby 0X80072030 (8240): na serveru není žádný takový objekt.
HH: MM [:] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) kód chyby 0X80072030 (8240): na serveru není žádný takový objekt.
Režim [hh] = 'DomainPrep"(61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Chyba kód 0X80072030 (8240): na serveru není žádný takový objekt.
HH: MM [:] Instalační program zjistil chybu během úkolu součásti Microsoft Exchange domény DomainPrep Příprava. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) kód chyby 0X80072030 (8240): na serveru není žádný takový objekt.
HH: MM [:] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) kód chyby 0X80072030 (8240): na serveru není žádný takový objekt.
HH: MM [:] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) kód chyby 0X80072030 (8240): na serveru není žádný takový objekt.
HH: MM [:] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) kód chyby 0X80072030 (8240): na serveru není žádný takový objekt.
HH: MM [:] Instalace byla dokončena

Odkazy

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

818470 Exchange Server 2003 instalační program vrací kód chyby 0x80072030 při spuštění setup.exe/domainprep

260914 nástroj Domainprep nefunguje, pokud skupiny servery Exchange Enterprise a Domain servery Exchange skupiny přesunuty do nového kontejneru


Skript pro ochranu před nechtěným odstraněním organizační jednotky:Další informace o navrhování infrastruktury Zásady skupiny naleznete na následujícím webu společnosti Microsoft:
Vlastnosti

ID článku: 324949 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor