Umleiten der Benutzer- und Computercontainer in Active Directory-Domänen

  • Artikel

Sie können redirusr und redircmp verwenden, um Benutzer-, Computer- und Gruppenkonten umzuleiten, die von APIs früherer Versionen erstellt wurden. Daher werden sie in vom Administrator angegebenen Organisationseinheitscontainern (OE) platziert.

Gilt für: Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 324949

Zusammenfassung

In einer Standardinstallation einer Active Directory-Domäne werden Benutzer-, Computer- und Gruppenkonten in CN=objectclass-Containern anstelle eines wünschenswerteren Organisationseinheitsklassencontainers platziert. Ebenso werden die Konten, die mit APIs früherer Versionen erstellt wurden, in den Containern CN=Users und CN=computers abgelegt.

Wichtig

Einige Anwendungen erfordern, dass sich bestimmte Sicherheitsprinzipale in Standardcontainern wie CN=Users oder CN=Computers befinden. Überprüfen Sie, ob Ihre Anwendungen über solche Abhängigkeiten verfügen, bevor Sie sie aus den Containern CN=users und CN=computes verschieben.

Weitere Informationen

Benutzer, Computer und Gruppen, die von APIs früherer Versionen erstellt wurden, platzieren Objekte in dem DN-Pfad, der im WellKnownObjects-Attribut angegeben ist. Das Attribut WellKnownObjects befindet sich im Nc-Haupt der Domäne. Das folgende Codebeispiel zeigt die relevanten Pfade im WellKnownObjects-Attribut aus dem NC-Haupt der CONTOSO.COM Domäne.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Für die folgenden Vorgänge werden beispielsweise APIs früherer Versionen verwendet, die auf den pfaden basieren, die im WellKnownObjects-Attribut definiert sind:

  • Benutzeroberfläche für Domänenbeitritt
  • NET COMPUTER
  • NET GROUP
  • NET USER
  • NETDOM ADD, wobei der /ou Befehl entweder nicht angegeben oder unterstützt wird

Es ist aus verschiedenen Gründen hilfreich, den Standardcontainer für Benutzer-, Computer- und Sicherheitsgruppen zu einer Organisationseinheit zu machen:

  • Gruppenrichtlinien können auf Organisationseinheitscontainer angewendet werden, aber nicht auf Container der CN-Klasse, in denen Sicherheitsprinzipale standardmäßig platziert werden.

  • Die bewährte Methode besteht darin, Sicherheitsprinzipale in einer Organisationseinheitshierarchie anzuordnen, die Ihre Organisationsstruktur, Ihr geografisches Layout oder Ihr Verwaltungsmodell widerspiegelt.

Wenn Sie die Ordner CN=Users und CN=Computers umleiten, beachten Sie die folgenden Probleme:

  • Die Zieldomäne muss für die Ausführung in der Windows Server 2003-Domänenfunktionsebene oder höher konfiguriert werden. Für die Windows Server 2003-Domänenfunktionsebene bedeutet dies Folgendes:

    • Windows Server 2003 ADPREP /FORESTPREP oder höher
    • Windows Server 2003 ADPREP /DOMAINPREP oder höher
    • Auf allen Domänencontrollern in der Zieldomäne muss Windows Server 2003 oder höher ausgeführt werden.
    • Die Domänenfunktionsebene von Windows Server 2003 oder höher muss aktiviert sein.

  • Im Gegensatz zu CN=USERS und CN=COMPUTERS unterliegen Organisationseinheitencontainer versehentlichen Löschungen durch privilegierte Benutzerkonten, einschließlich Administratoren.

    CN=USERS- und CN=COMPUTERS-Container sind systemgeschützte Objekte, die aus Gründen der Abwärtskompatibilität nicht entfernt werden können und dürfen. Sie können jedoch umbenannt werden. Organisationseinheiten unterliegen versehentlichen Löschvorgängen von Administratoren.

    Windows Server 2008 und neuere Versionen des Active Directory-Benutzer und -Computer-Snap-Ins bieten ein Kontrollkästchen Objekt vor versehentlichem Löschen schützen, das Sie beim Erstellen eines neuen Organisationseinheitscontainers aktivieren können. Sie können es auch auf der Registerkarte Objekt des Dialogfelds Eigenschaften für einen vorhandenen Organisationseinheitscontainer auswählen.

  • Die Umleitung von CN=USERS wirkt sich auf den Standardspeicherort für neue Benutzer, Gruppen und vertrauenswürdige Benutzerkonten aus. Vertrauensbenutzerkonten sind in den meisten Verwaltungstools der Benutzeroberfläche ausgeblendet, aber Sie können sie in Tools wie LDIFDE und LDP anzeigen und verschieben. Der CN des Kontos ist <ein domänenwerter Name>$, z. B. "contoso$".

  • Wenn Exchange Server Active Directory-Vorbereitungsfehler auftreten, stellen Sie sicher, dass Sie das neueste kumulative Update und Sicherheitsupdate ausführen.

Umleiten von CN=Users an eine vom Administrator angegebene Organisationseinheit

  1. Melden Sie sich mit Domänenadministratoranmeldeinformationen in der Domäne an, in der der Container CN=Users umgeleitet wird.

  2. Wechseln Sie die Domäne auf die Windows Server 2003-Domänenfunktionsebene oder höher im Snap-In Active Directory-Benutzer und -Computer (Dsa.msc) oder Domänen und Vertrauensstellungen (Domains.msc). Weitere Informationen zum Erhöhen der Domänenfunktionsebene finden Sie unter Erhöhen von Domänen- und Gesamtstrukturfunktionsebenen.

  3. Erstellen Sie den Organisationseinheitscontainer, in dem Benutzer und Gruppen, die mit APIs früherer Versionen erstellt wurden, gefunden werden sollen, wenn der gewünschte Organisationseinheitscontainer nicht vorhanden ist.

  4. Führen Sie Redirusr.exe an der Eingabeaufforderung mit der folgenden Syntax aus. Im Befehl ist container-dn der Distinguished Name der Organisationseinheit, die zum Standardspeicherort für neu erstellte Benutzer- und Gruppenobjekte wird, die von apIs auf der unteren Ebene erstellt wurden:

    c:\windows\system32\redirusr container-dn

    Redirusr wird auf Computern mit Windows Server 2003 oder höher im %SystemRoot%\System32 Ordner installiert. Wenn Sie beispielsweise den Standardspeicherort für Benutzer, die mit untergeordneten APIs wie Net User erstellt wurden, in den OU=MYUsers-OU-Container in der CONTOSO.COM Domäne ändern möchten, verwenden Sie die folgende Syntax:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Hinweis

    Wenn Redirusr.exe ausgeführt wird, um den Container CN=Users an eine von einem Administrator angegebene Organisationseinheit umzuleiten, ist der Container CN=Users kein geschütztes Objekt mehr. Dies bedeutet, dass der Container Users jetzt verschoben, gelöscht oder umbenannt werden kann. Wenn Sie ADSIEDIT zum Anzeigen von Attributen im Container CN=Users verwenden, sehen Sie, dass das Attribut systemflags von -1946157056 in 0 geändert wurde. Es handelt sich hierbei um ein beabsichtigtes Verhalten.

    Um den Container zu löschen, müssen Sie die Standardbenutzer und -gruppen in andere Organisationseinheiten und Container sowie die vertrauenswürdigen Benutzerkonten verschieben. Diese Vertrauenskonten können mithilfe von Tools wie LDIFDE und LDP angezeigt und verschoben werden. Es wird empfohlen, den Container und die Standardkonten aus Gründen der Konsistenz unverändert zu halten.

Umleiten von CN=Computers an eine vom Administrator angegebene Organisationseinheit

  1. Melden Sie sich mit den Anmeldeinformationen des Domänenadministrators in der Domäne an, in der der Container CN=computers umgeleitet wird.

  2. Übertragen Sie die Domäne in die Windows Server 2003-Domäne im Active Directory-Benutzer und -Computer-Snap-In (Dsa.msc) oder im Snap-In Domänen und Vertrauensstellungen (Domains.msc). Weitere Informationen zum Erhöhen der Domänenfunktionsebene finden Sie unter Erhöhen von Domänen- und Gesamtstrukturfunktionsebenen.

  3. Erstellen Sie den Organisationseinheitscontainer, in dem Sich Computer befinden sollen, die mit APIs früherer Version erstellt wurden, wenn der gewünschte Organisationseinheitscontainer nicht vorhanden ist.

  4. Führen Sie Redircmp.exe mithilfe der folgenden Syntax an einer Eingabeaufforderung aus. Im Befehl ist container-dn der Distinguished Name der Organisationseinheit, die zum Standardspeicherort für neu erstellte Computerobjekte wird, die von apIs auf der unteren Ebene erstellt werden:

    redircmp container-dn

    Redircmp.exe wird in %Systemroot%\System32 Windows Server 2003 oder höheren Versionen im Ordner installiert. Verwenden Sie die folgende Syntax, um den Standardspeicherort für einen Computer zu ändern, der mit APIs früherer Version erstellt wurde, z. B. Net Computer, in den Container OU=MyComputers in der domäne CONTOSO.COM:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Hinweis

    Wenn Redircmp.exe ausgeführt wird, um den Container CN=Computers an eine von einem Administrator angegebene Organisationseinheit umzuleiten, ist der Container CN=Computers kein geschütztes Objekt mehr. Dies bedeutet, dass der Container Computer jetzt verschoben, gelöscht oder umbenannt werden kann. Wenn Sie ADSIEDIT zum Anzeigen von Attributen im Container CN=Computers verwenden, sehen Sie, dass das Attribut systemflags von -1946157056 in 0 geändert wurde. Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Beschreibung der Fehlermeldungen

Dies sind Fehlermeldungen, die in einigen Fällen auftreten.

Fehlermeldungen, die Sie erhalten, wenn der PDC offline ist

Redircmp und Redirusr ändern das attribut wellKnownObjects auf dem primären Domänencontroller (PDC). Wenn die PDC der Domäne, die geändert wird, offline oder nicht zugänglich ist, erhalten Sie die folgenden Fehlermeldungen.

  • Fehlermeldung 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Fehler: Der primäre Domänencontroller für die aktuelle Domäne konnte nicht gefunden werden: Die angegebene Domäne ist entweder nicht vorhanden oder konnte nicht kontaktiert werden. Die Umleitung war NICHT erfolgreich.

  • Fehlermeldung 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Fehler: Der primäre Domänencontroller für die aktuelle Domäne konnte nicht gefunden werden: Die angegebene Domäne ist entweder nicht vorhanden oder konnte nicht kontaktiert werden. Die Umleitung war NICHT erfolgreich.

Fehlermeldungen, die Sie erhalten, wenn die Domänenfunktionsebene nicht Windows Server 2003 ist

Sie versuchen, die Benutzer oder computerinterne Organisationseinheit in einer Domäne umzuleiten, die noch nicht auf die Windows Server 2003-Domänenfunktionsebene umgestellt wurde. In diesem Fall erhalten Sie die folgenden Fehlermeldungen:

  • Fehlermeldung 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Vergewissern Sie sich, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Die Umleitung wurde nicht erfolgreich ausgeführt.

  • Fehlermeldung 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Stellen Sie sicher, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Unwilling To Perform entspricht.

Fehlermeldungen, die Sie erhalten, wenn Sie sich ohne die erforderlichen Berechtigungen anmelden

Wenn Sie versuchen, die Benutzer oder computerinterne Organisationseinheit mit falschen Anmeldeinformationen in der Zieldomäne umzuleiten, erhalten Sie möglicherweise die folgenden Fehlermeldungen:

  • Fehlermeldung 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Überprüfen Sie, ob die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Unzureichende Rechteumleitung nicht erfolgreich ist.

  • Fehlermeldung 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Überprüfen Sie, ob die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Unzureichende Rechteumleitung nicht erfolgreich ist.

Fehlermeldungen, die Sie erhalten, wenn Sie zu einer organisationseinheit umleiten, die nicht vorhanden ist

Sie versuchen, die Benutzer oder die Computer-ORGANISATIONSeinheit an eine organisationseinheit umzuleiten, die nicht vorhanden ist. In diesem Fall erhalten Sie möglicherweise die folgenden Fehlermeldungen:

  • Fehlermeldung 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Stellen Sie sicher, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Keine solche Objektumleitung nicht erfolgreich ist.

  • Fehlermeldung 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Fehler: Das attribut wellKnownObjects kann nicht geändert werden. Stellen Sie sicher, dass die Domänenfunktionsebene der Domäne mindestens Windows Server 2003: Keine solche Objektumleitung nicht erfolgreich ist.

Fehlermeldungen, die Sie in Exchange Server 2000 Setup /domainprep erhalten, wenn CN=Users umgeleitet wird

Wenn Exchange Server 2000 und Exchange Server 2003 setup /domainprep nicht erfolgreich ist, erhalten Sie die folgende Fehlermeldung:

Fehler beim Setup beim Installieren von Unterkomponentenberechtigungen auf Domänenebene mit Fehlercode 0x80072030) (eine ausführliche Beschreibung finden Sie in den Installationsprotokollen). Sie können die Installation abbrechen oder den fehlgeschlagenen Schritt erneut versuchen. (Wiederholen/Abbrechen)

Die folgenden Daten werden im Exchange Server 2000-Setupprotokoll angezeigt, das mit dem Protokollparser analysiert wird. Exchange Server 2003 sollte ähnlich sein.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed