Rediriger les conteneurs d’utilisateurs et d’ordinateurs dans les domaines Active Directory

  • Article

Vous pouvez utiliser redirusr et redircmp pour rediriger les comptes d’utilisateur, d’ordinateur et de groupe créés par les API de version antérieure. Ils sont donc placés dans des conteneurs d’unité d’organisation (UO) spécifiés par l’administrateur.

S’applique à : Windows Server 2016, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 324949

Résumé

Dans une installation par défaut d’un domaine Active Directory, les comptes d’utilisateur, d’ordinateur et de groupe sont placés dans des conteneurs CN=objectclass au lieu d’un conteneur de classe d’unité d’organisation plus souhaitable. De même, les comptes créés à l’aide d’API de version antérieure sont placés dans les conteneurs CN=Users et CN=computers.

Importante

Certaines applications nécessitent que des principaux de sécurité spécifiques se trouvent dans des conteneurs par défaut tels que CN=Users ou CN=Computers. Vérifiez que vos applications ont de telles dépendances avant de les déplacer hors des conteneurs CN=users et CN=computes.

Plus d’informations

Les utilisateurs, ordinateurs et groupes créés par les API de version antérieure placent les objets dans le chemin DN spécifié dans l’attribut WellKnownObjects. L’attribut WellKnownObjects se trouve dans la tête du contrôleur de domaine. L’exemple de code suivant montre les chemins d’accès appropriés dans l’attribut WellKnownObjects de la tête du contrôleur de domaine CONTOSO.COM.

Dn : DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Par exemple, les opérations suivantes utilisent des API de version antérieure, qui s’appuient sur les chemins définis dans l’attribut WellKnownObjects :

  • Interface utilisateur de jonction de domaine
  • NET COMPUTER
  • GROUPE NET
  • NET USER
  • NETDOM ADD, où la /ou commande n’est pas spécifiée ou prise en charge

Il est utile de faire du conteneur par défaut pour l’utilisateur, l’ordinateur et les groupes de sécurité une unité d’organisation pour plusieurs raisons, notamment :

  • Les stratégies de groupe peuvent être appliquées sur les conteneurs d’unité d’organisation, mais pas sur les conteneurs de classe CN, où les principaux de sécurité sont placés par défaut.

  • La meilleure pratique consiste à organiser les principaux de sécurité dans une hiérarchie d’unité d’organisation qui reflète votre structure organisationnelle, votre disposition géographique ou votre modèle d’administration.

Si vous redirigez les dossiers CN=Users et CN=Computers, tenez compte des problèmes suivants :

  • Le domaine cible doit être configuré pour s’exécuter au niveau fonctionnel du domaine Windows Server 2003 ou supérieur. Pour le niveau fonctionnel du domaine Windows Server 2003, cela signifie que :

    • Windows Server 2003 ADPREP /FORESTPREP ou version ultérieure
    • Windows Server 2003 ADPREP /DOMAINPREP ou version ultérieure
    • Tous les contrôleurs de domaine du domaine cible doivent exécuter Windows Server 2003 ou version ultérieure.
    • Le niveau fonctionnel du domaine Windows Server 2003 ou supérieur doit être activé.

  • Contrairement à CN=USERS et CN=COMPUTERS, les conteneurs d’unité d’organisation sont soumis à des suppressions accidentelles par les comptes d’utilisateur privilégiés, y compris les administrateurs.

    Les conteneurs CN=USERS et CN=COMPUTERS sont des objets protégés par le système qui ne peuvent pas et ne doivent pas être supprimés à des fins de compatibilité descendante. Mais ils peuvent être renommés. Les unités organisationnelles sont sujettes à des suppressions accidentelles d’arborescences par les administrateurs.

    Windows Server 2008 et versions ultérieures du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory un objet Protéger contre la suppression accidentelle case activée zone que vous pouvez sélectionner lorsque vous créez un conteneur d’unité d’organisation. Vous pouvez également le sélectionner sous l’onglet Objet de la boîte de dialogue Propriétés d’un conteneur d’unité d’organisation existant.

  • La redirection de CN=USERS affecte l’emplacement par défaut pour les nouveaux utilisateurs, groupes et comptes d’utilisateur d’approbation. Les comptes d’utilisateur d’approbation sont masqués dans la plupart des outils d’administration de l’interface utilisateur, mais vous pouvez les afficher et les déplacer dans des outils tels que LDIFDE et LDP. Le nom commun du compte est <nom> de domaine de niveau inférieur$, par exemple , « contoso$ ».

  • Si vous rencontrez Exchange Server échecs de préparation d’Active Directory, vérifiez que vous exécutez la dernière mise à jour cumulative et la dernière mise à jour de sécurité.

Rediriger CN=Users vers une unité d’organisation spécifiée par l’administrateur

  1. Ouvrez une session avec les informations d’identification de l’administrateur de domaine dans le domaine où le conteneur CN=Users est redirigé.

  2. Faites passer le domaine au niveau fonctionnel du domaine Windows Server 2003 ou plus récent dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory (Dsa.msc) ou le composant logiciel enfichable Domaines et approbations (Domaines.msc). Pour plus d’informations sur l’augmentation du niveau fonctionnel du domaine, consultez Comment augmenter les niveaux fonctionnels de domaine et de forêt.

  3. Créez le conteneur d’unité d’organisation dans lequel vous souhaitez que les utilisateurs et les groupes créés avec des API de version antérieure soient localisés, si le conteneur d’unité d’organisation souhaité n’existe pas.

  4. Exécutez Redirusr.exe à l’invite de commandes à l’aide de la syntaxe suivante. Dans la commande , container-dn est le nom unique de l’unité d’organisation qui deviendra l’emplacement par défaut pour les nouveaux objets utilisateur et de groupe créés par les API de bas niveau :

    c:\windows\system32\redirusr container-dn

    Redirusr est installé dans le %SystemRoot%\System32 dossier sur les ordinateurs Windows Server 2003 ou ultérieurs. Par exemple, pour modifier l’emplacement par défaut des utilisateurs qui sont créés avec des API de bas niveau comme Net User par le conteneur d’unité d’organisation OU=MYUsers dans le CONTOSO.COM domaine, utilisez la syntaxe suivante :

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Remarque

    Lorsque Redirusr.exe est exécuté pour rediriger le conteneur CN=Users vers une unité d’organisation spécifiée par un administrateur, le conteneur CN=Users n’est plus un objet protégé. Cela signifie que le conteneur Users peut maintenant être déplacé, supprimé ou renommé. Si vous utilisez ADSIEDIT pour afficher les attributs sur le conteneur CN=Users, vous verrez que l’attribut systemflags a été modifié de -1946157056 à 0. Ce comportement est voulu par la conception même du produit.

    Pour supprimer le conteneur, vous devez déplacer les utilisateurs et les groupes par défaut vers d’autres unités d’organisation et conteneurs, ainsi que les comptes d’utilisateur d’approbation. Ces comptes d’approbation peuvent être affichés et déplacés à l’aide d’outils tels que LDIFDE et LDP. Nous vous recommandons de conserver le conteneur et les comptes par défaut en place pour assurer la cohérence.

Rediriger CN=Computers vers une unité d’organisation spécifiée par l’administrateur

  1. Ouvrez une session avec les informations d’identification de l’administrateur de domaine dans le domaine où le conteneur CN=computers est redirigé.

  2. Faites passer le domaine au domaine Windows Server 2003 dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory (Dsa.msc) ou dans le composant logiciel enfichable Domaines et approbations (Domains.msc). Pour plus d’informations sur l’augmentation du niveau fonctionnel du domaine, consultez Comment augmenter les niveaux fonctionnels de domaine et de forêt.

  3. Créez le conteneur d’unité d’organisation dans lequel vous souhaitez que les ordinateurs créés avec des API de version antérieure soient localisés, si le conteneur d’unité d’organisation souhaité n’existe pas.

  4. Exécutez Redircmp.exe à une invite de commandes à l’aide de la syntaxe suivante. Dans la commande , container-dn est le nom unique de l’unité d’organisation qui deviendra l’emplacement par défaut pour les objets ordinateur nouvellement créés qui sont créés par les API de bas niveau :

    redircmp container-dn

    Redircmp.exe est installé dans le %Systemroot%\System32 dossier dans Windows Server 2003 ou versions ultérieures. Pour remplacer l’emplacement par défaut d’un ordinateur créé avec des API de version antérieure, comme Net Computer, par le conteneur OU=MyComputers dans le domaine CONTOSO.COM, utilisez la syntaxe suivante :

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Remarque

    Lorsque Redircmp.exe est exécuté pour rediriger le conteneur CN=Computers vers une unité d’organisation spécifiée par un administrateur, le conteneur CN=Computers n’est plus un objet protégé. Cela signifie que le conteneur Ordinateurs peut désormais être déplacé, supprimé ou renommé. Si vous utilisez ADSIEDIT pour afficher les attributs sur le conteneur CN=Computers, vous verrez que l’attribut systemflags est passé de -1946157056 à 0. Ce comportement est voulu par la conception même du produit.

Description des messages d’erreur

Voici des messages d’erreur qui se produisent dans certains cas.

Messages d’erreur que vous recevez si le contrôleur de domaine principal est hors connexion

Redircmp et Redirusr modifient l’attribut wellKnownObjects sur le contrôleur de domaine principal (PDC). Si le contrôleur de domaine principal du domaine en cours de modification est hors connexion ou inaccessible, vous recevez les messages d’erreur suivants.

  • Message d’erreur 1 :

    C :>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Erreur : impossible de localiser le contrôleur de domaine principal pour le domaine actuel : le domaine spécifié n’existe pas ou n’a pas pu être contacté. La redirection n’a PAS réussi.

  • Message d’erreur 2 :

    C :>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Erreur : impossible de localiser le contrôleur de domaine principal pour le domaine actuel : le domaine spécifié n’existe pas ou n’a pas pu être contacté. La redirection n’a PAS réussi.

Messages d’erreur que vous recevez si le niveau fonctionnel du domaine n’est pas Windows Server 2003

Vous essayez de rediriger l’unité d’organisation des utilisateurs ou de l’ordinateur dans un domaine qui n’a pas été passé au niveau fonctionnel du domaine Windows Server 2003. Dans ce cas, vous recevez les messages d’erreur suivants :

  • Message d’erreur 1 :

    C :>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Erreur : impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel de domaine du domaine est au moins Windows Server 2003 : Échec de la redirection.

  • Message d’erreur 2 :

    C :>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Erreur : impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel de domaine du domaine est au moins Windows Server 2003 : Ne veut pas effectuer

Messages d’erreur que vous recevez si vous vous connectez sans les autorisations requises

Si vous essayez de rediriger l’unité d’organisation des utilisateurs ou de l’ordinateur à l’aide d’informations d’identification incorrectes dans le domaine cible, les messages d’erreur suivants peuvent s’afficher :

  • Message d’erreur 1

    C :>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Erreur : impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel du domaine est au moins Windows Server 2003 : La redirection des droits insuffisants n’a PAS réussi.

  • Message d’erreur 2 :

    C :>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Erreur : impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel du domaine est au moins Windows Server 2003 : La redirection des droits insuffisants n’a PAS réussi.

Messages d’erreur que vous recevez si vous redirigez vers une unité d’organisation qui n’existe pas

Vous essayez de rediriger l’unité d’organisation des utilisateurs ou de l’ordinateur vers une unité d’organisation qui n’existe pas. Dans ce cas, vous pouvez recevoir les messages d’erreur suivants :

  • Message d’erreur 1 :

    C :>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Erreur : impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel de domaine du domaine est au moins Windows Server 2003 : Aucune redirection d’objet de ce type n’a réussi.

  • Message d’erreur 2 :

    C :>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Erreur : impossible de modifier l’attribut wellKnownObjects. Vérifiez que le niveau fonctionnel de domaine du domaine est au moins Windows Server 2003 : Aucune redirection d’objet de ce type n’a réussi.

Messages d’erreur que vous recevez dans Exchange Server 2000 setup /domainprep lorsque CN=Users est redirigé

Si Exchange Server 2000 et Exchange Server 2003 setup /domainprep échouent, le message d’erreur suivant s’affiche :

Échec de l’installation lors de l’installation des autorisations au niveau du domaine du sous-composant avec le code d’erreur 0x80072030) (consultez les journaux d’installation pour obtenir une description détaillée). Vous pouvez annuler l’installation ou réessayer l’étape ayant échoué. (Réessayer/ Annuler)

Les données suivantes apparaissent dans le journal d’installation Exchange Server 2000 qui est analysé avec l’analyseur de journaux. Exchange Server 2003 devrait être similaire.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed