Redirecionar os contêineres de usuários e computadores em domínios do Active Directory

  • Artigo

Você pode usar redirusr e redircmp para redirecionar contas de usuário, computador e grupo criadas por APIs de versão anterior. Portanto, eles são colocados em contêineres de U (unidade organizacional) especificados pelo administrador.

Aplica-se a: Windows Server 2016, Windows Server 2012 R2
Número de KB original: 324949

Resumo

Em uma instalação padrão de um domínio do Active Directory, contas de usuário, computador e grupo são colocadas em contêineres CN=objectclass em vez de um contêiner de classe OU mais desejável. Da mesma forma, as contas que foram criadas usando APIs de versão anterior são colocadas nos contêineres CN=Usuários e CN=computadores.

Importante

Alguns aplicativos exigem que entidades de segurança específicas estejam localizadas em contêineres padrão, como CN=Usuários ou CN=Computadores. Verifique se seus aplicativos têm essas dependências antes de tirá-las dos contêineres CN=users e CN=computes.

Mais informações

Usuários, computadores e grupos criados por APIs de versão anterior colocam objetos no caminho DN especificado no atributo WellKnownObjects. O atributo WellKnownObjects está localizado na cabeça NC do domínio. O exemplo de código a seguir mostra os caminhos relevantes no atributo WellKnownObjects da cabeça NC do domínio CONTOSO.COM.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Por exemplo, as seguintes operações usam APIs de versão anterior, que dependem dos caminhos definidos no atributo WellKnownObjects:

  • Interface do Usuário de Ingressamento de Domínio
  • NET COMPUTER
  • GRUPO NET
  • USUÁRIO NET
  • NETDOM ADD, em que o /ou comando não é especificado ou com suporte

É útil tornar o contêiner padrão para usuários, computadores e grupos de segurança uma OU por vários motivos, incluindo:

  • As políticas de grupo podem ser aplicadas em contêineres de U, mas não em contêineres de classe CN, em que as entidades de segurança são colocadas por padrão.

  • A melhor prática é organizar as entidades de segurança em uma hierarquia da U que espelha sua estrutura organizacional, layout geográfico ou modelo de administração.

Se você estiver redirecionando as pastas CN=Usuários e CN=Computadores, esteja ciente dos seguintes problemas:

  • O domínio de destino deve ser configurado para ser executado no nível funcional do domínio do Windows Server 2003 ou superior. Para o nível funcional do domínio do Windows Server 2003, isso significa que:

    • Windows Server 2003 ADPREP /FORESTPREP ou mais recente
    • Windows Server 2003 ADPREP /DOMAINPREP ou mais recente
    • Todos os controladores de domínio no domínio de destino devem executar o Windows Server 2003 ou mais recente.
    • O nível funcional de domínio do Windows Server 2003 ou superior deve ser habilitado.

  • Ao contrário de CN=USERS e CN=COMPUTERS, os contêineres de OU estão sujeitos a exclusões acidentais por contas de usuário privilegiadas, incluindo administradores.

    Contêineres CN=USERS e CN=COMPUTERS são objetos protegidos pelo sistema que não podem e não devem ser removidos para compatibilidade anterior. Mas eles podem ser renomeado. As unidades organizacionais estão sujeitas a exclusões acidentais de árvores por administradores.

    O Windows Server 2008 e versões mais recentes do Usuários e Computadores do Active Directory recurso de snap-in um objeto Protect contra a exclusão acidental marcar caixa que você pode selecionar ao criar um novo contêiner de OU. Você também pode selecioná-lo na guia Objeto da caixa de diálogo Propriedades para um contêiner de OU existente.

  • Redirecionar CN=USERS afeta o local padrão para novos usuários, grupos e contas de usuário confiáveis. As contas de usuário de confiança estão ocultas na maioria das ferramentas de administrador de interface do usuário, mas você pode mostrá-las e movê-las em ferramentas como LDIFDE e LDP. A CN da conta é <nome de domínio> de nível inferior$, por exemplo, "contoso$".

  • Se você tiver Exchange Server falhas de preparação do Active Directory, verifique se está executando a atualização cumulativa mais recente e a atualização de segurança.

Redirecionar CN=Usuários para uma OU especificada pelo administrador

  1. Faça logon com credenciais de administrador de domínio no domínio em que o contêiner CN=Usuários está sendo redirecionado.

  2. Faça a transição do domínio para o nível funcional do domínio do Windows Server 2003 ou mais recente no snap-in Usuários e Computadores do Active Directory (Dsa.msc) ou no snap-in Domains and Trusts (Domains.msc). Para obter mais informações sobre como aumentar o nível funcional do domínio, consulte Como elevar os níveis funcionais de domínio e floresta.

  3. Crie o contêiner de OU em que você deseja que usuários e grupos criados com APIs de versão anterior sejam localizados, se o contêiner de OU desejado não existir.

  4. Execute Redirusr.exe no prompt de comando usando a sintaxe a seguir. No comando, container-dn é o nome distinto da OU que se tornará o local padrão para objetos de usuário e grupo recém-criados criados por APIs de nível inferior:

    c:\windows\system32\redirusr container-dn

    O Redirusr é instalado na %SystemRoot%\System32 pasta em computadores com base no Windows Server 2003 ou mais recentes. Por exemplo, para alterar o local padrão para usuários que são criados com APIs de nível inferior, como Usuário Líquido para o contêiner OU=MYUsers OU no CONTOSO.COM domínio, use a seguinte sintaxe:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Observação

    Quando Redirusr.exe for executado para redirecionar o contêiner CN=Users para uma OU especificada por um administrador, o contêiner CN=Users não será mais um objeto protegido. Isso significa que o contêiner Usuários agora pode ser movido, excluído ou renomeado. Se você usar ADSIEDIT para exibir atributos no contêiner CN=Usuários, verá que o atributo systemflags foi alterado de -1946157056 para 0. Este é o comportamento padrão do produto.

    Para excluir o contêiner, você precisa mover os usuários e grupos padrão para outras OUs e contêineres e também as contas de usuário confiáveis. Essas contas de confiança podem ser mostradas e movidas usando ferramentas como LDIFDE e LDP. Recomendamos manter o contêiner inalterado e as contas padrão em vigor para consistência.

Redirecionar CN=Computadores para uma OU especificada pelo administrador

  1. Faça logon com as credenciais do Administrador de Domínio no domínio em que o contêiner CN=computers está sendo redirecionado.

  2. Faça a transição do domínio para o domínio do Windows Server 2003 no snap-in Usuários e Computadores do Active Directory (Dsa.msc) ou no snap-in Domains and Trusts (Domains.msc). Para obter mais informações sobre como aumentar o nível funcional do domínio, consulte Como elevar os níveis funcionais de domínio e floresta.

  3. Crie o contêiner de OU em que você deseja que os computadores criados com APIs de versão anterior sejam localizados, se o contêiner de OU desejado não existir.

  4. Execute Redircmp.exe em um prompt de comando usando a sintaxe a seguir. No comando, container-dn é o nome distinto da OU que se tornará o local padrão para objetos de computador recém-criados que são criados por APIs de nível inferior:

    redircmp container-dn

    Redircmp.exe é instalado na pasta no %Systemroot%\System32 Windows Server 2003 ou versões posteriores. Para alterar o local padrão de um computador criado com APIs de versão anterior, como o Net Computer, para o contêiner OU=MyComputers no domínio CONTOSO.COM, use a seguinte sintaxe:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Observação

    Quando Redircmp.exe for executado para redirecionar o contêiner CN=Computers para uma OU especificada por um administrador, o contêiner CN=Computers não será mais um objeto protegido. Isso significa que o contêiner computadores agora pode ser movido, excluído ou renomeado. Se você usar ADSIEDIT para exibir atributos no contêiner CN=Computers, verá que o atributo systemflags foi alterado de -1946157056 para 0. Este é o comportamento padrão do produto.

Descrição das mensagens de erro

Aqui estão as mensagens de erro que ocorrem em alguns casos.

Mensagens de erro recebidas se o PDC estiver offline

Redircmp e Redirusr alteram o atributo wellKnownObjects no PDC (controlador de domínio primário). Se o PDC do domínio que está sendo alterado estiver offline ou inacessível, você receberá as seguintes mensagens de erro.

  • Mensagem de erro 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Erro, não foi possível localizar o Controlador de Domínio Primário para o domínio atual: o domínio especificado não existe ou não pôde ser contatado. O redirecionamento NÃO foi bem-sucedido.

  • Mensagem de erro 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Erro, não foi possível localizar o Controlador de Domínio Primário para o domínio atual: o domínio especificado não existe ou não pôde ser contatado. O redirecionamento NÃO foi bem-sucedido.

Mensagens de erro recebidas se o nível funcional do domínio não for o Windows Server 2003

Você tenta redirecionar os usuários ou a OU do computador em um domínio que não fez a transição para o nível funcional do domínio do Windows Server 2003. Nesta situação, você receberá as seguintes mensagens de erro:

  • Mensagem de erro 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio é pelo menos o Windows Server 2003: Unwilling To Perform Redirection NOT was successful.

  • Mensagem de erro 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio é pelo menos o Windows Server 2003: Não está disposto a executar

Mensagens de erro recebidas se você fizer logon sem as permissões necessárias

Se você tentar redirecionar os usuários ou a OU do computador usando credenciais incorretas no domínio de destino, poderá receber as seguintes mensagens de erro:

  • Mensagem de erro 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio é pelo menos o Windows Server 2003: O redirecionamento de direitos insuficientes NÃO foi bem-sucedido.

  • Mensagem de erro 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio é pelo menos o Windows Server 2003: O redirecionamento de direitos insuficientes NÃO foi bem-sucedido.

Mensagens de erro que você recebe se você redirecionar para uma OU que não existe

Você tenta redirecionar os usuários ou a OU do computador para uma OU que não existe. Nesta situação, você pode receber as seguintes mensagens de erro:

  • Mensagem de erro 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio é pelo menos o Windows Server 2003: Nenhum redirecionamento de objeto desse tipo NÃO foi bem-sucedido.

  • Mensagem de erro 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional de domínio do domínio é pelo menos o Windows Server 2003: Nenhum redirecionamento de objeto desse tipo NÃO foi bem-sucedido.

Mensagens de erro recebidas no Exchange Server 2000 setup /domainprep quando CN=Usuários são redirecionados

Se Exchange Server 2000 e Exchange Server 2003 não tiver êxitosetup /domainprep, você receberá a seguinte mensagem de erro:

Falha na instalação durante a instalação de permissões no nível do domínio do subcomponente com 0x80072030 de código de erro) (consulte os logs de instalação para obter uma descrição detalhada). Você pode cancelar a instalação ou tentar a etapa com falha novamente. (Repetir/cancelar)

Os dados a seguir são exibidos no log de instalação do Exchange Server 2000 que é analisado com o analisador de log. Exchange Server 2003 deve ser semelhante.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed