Перенаправление контейнеров пользователей и компьютеров в доменах Active Directory

  • Статья

Вы можете использовать redirusr и redircmp для перенаправления учетных записей пользователей, компьютеров и групп, созданных API более ранней версии. Поэтому они помещаются в контейнеры подразделений, указанных администратором.

Применяется к: Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 324949

Сводка

При установке домена Active Directory по умолчанию учетные записи пользователя, компьютера и группы помещаются в контейнеры CN=objectclass вместо более желательного контейнера класса подразделения. Аналогичным образом учетные записи, созданные с помощью API более ранних версий, помещаются в контейнеры CN=Users и CN=computers.

Важно!

Для некоторых приложений требуется расположение определенных субъектов безопасности в контейнерах по умолчанию, таких как CN=Users или CN=Computers. Убедитесь, что приложения имеют такие зависимости, прежде чем перемещать их из контейнеров CN=users и CN=computes.

Дополнительная информация

Пользователи, компьютеры и группы, созданные API более ранних версий, помещаются в путь DN, указанный в атрибуте WellKnownObjects. Атрибут WellKnownObjects находится в головке NC домена. В следующем примере кода показаны соответствующие пути в атрибуте WellKnownObjects из головки NC CONTOSO.COM домена.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Например, в следующих операциях используются API более ранней версии, которые используют пути, определенные в атрибуте WellKnownObjects:

  • Пользовательский интерфейс присоединения к домену
  • NET COMPUTER
  • NET GROUP
  • NET USER
  • NETDOM ADD, где команда не указана /ou или поддерживается

Контейнер по умолчанию для пользователей, компьютеров и групп безопасности полезно сделать подразделением по нескольким причинам, в том числе:

  • Групповые политики можно применять к контейнерам подразделений, но не к контейнерам класса CN, где субъекты безопасности помещаются по умолчанию.

  • Рекомендуется упорядочить субъекты безопасности в иерархию подразделения, которая отражает организационную структуру, географический макет или модель администрирования.

Если вы перенаправляете папки CN=Users и CN=Computers, обратите внимание на следующие проблемы:

  • Целевой домен должен быть настроен для запуска на уровне функциональности домена Windows Server 2003 или выше. Для уровня работы домена Windows Server 2003 это означает, что:

    • Windows Server 2003 ADPREP /FORESTPREP или более поздней версии
    • Windows Server 2003 ADPREP /DOMAINPREP или более поздней версии
    • Все контроллеры домена в целевом домене должны работать под управлением Windows Server 2003 или более поздней версии.
    • Должен быть включен функциональный уровень домена Windows Server 2003 или выше.

  • В отличие от CN=USERS и CN=COMPUTERS, контейнеры подразделений подлежат случайному удалению привилегированными учетными записями пользователей, включая администраторов.

    Контейнеры CN=USERS и CN=COMPUTERS — это защищенные системой объекты, которые не могут и не должны быть удалены для обратной совместимости. Но их можно переименовать. Подразделения подвержены случайному удалению деревьев администраторами.

    Windows Server 2008 и более поздних версий оснастки Пользователи и компьютеры Active Directory в поле Защита объекта от случайного удаления проверка, которое можно выбрать при создании контейнера подразделения. Его также можно выбрать на вкладке Объект диалогового окна Свойства для существующего контейнера подразделения.

  • Перенаправление CN=USERS влияет на расположение по умолчанию для новых пользователей, групп и учетных записей пользователей с доверием. Учетные записи пользователей с доверием скрыты в большинстве средств администрирования пользовательского интерфейса, но их можно отображать и перемещать в таких средствах, как LDIFDE и LDP. CN учетной записи — это <имя домена> нижнего уровня$, например contoso$.

  • Если у вас возникли Exchange Server сбои подготовки Active Directory, убедитесь, что вы используете последнее накопительное обновление и обновление для системы безопасности.

Перенаправление CN=Users в подразделение, указанное администратором

  1. Войдите в систему с учетными данными администратора домена в домене, куда перенаправляется контейнер CN=Users.

  2. Переведите домен на функциональный уровень домена Windows Server 2003 или более поздней версии в оснастке Пользователи и компьютеры Active Directory (Dsa.msc) или оснастке Домены и отношения доверия (Domains.msc). Дополнительные сведения об увеличении функционального уровня домена см. в разделе Повышение функциональных уровней домена и леса.

  3. Создайте контейнер подразделения, в котором должны находиться пользователи и группы, созданные с помощью API более ранней версии, если нужный контейнер подразделения не существует.

  4. Выполните Redirusr.exe в командной строке, используя следующий синтаксис. В команде container-dn — это различающееся имя подразделения, которое станет расположением по умолчанию для вновь созданных объектов пользователей и групп, созданных API нижнего уровня:

    c:\windows\system32\redirusr container-dn

    Redirusr устанавливается в папку %SystemRoot%\System32 на компьютерах под управлением Windows Server 2003 или более новых версий. Например, чтобы изменить расположение по умолчанию для пользователей, созданных с помощью API нижнего уровня, таких как Net User, на контейнер подразделения OU=MYUsers в CONTOSO.COM домене, используйте следующий синтаксис:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Примечание.

    При запускеRedirusr.exe для перенаправления контейнера CN=Users в подразделение, указанное администратором, контейнер CN=Users больше не будет защищенным объектом. Это означает, что контейнер Users теперь можно перемещать, удалять или переименовать. Если вы используете ADSIEDIT для просмотра атрибутов в контейнере CN=Users, вы увидите, что атрибут systemflags был изменен с -1946157056 на 0. Данное поведение является особенностью продукта.

    Чтобы удалить контейнер, необходимо переместить пользователей и группы по умолчанию в другие подразделения и контейнеры, а также учетные записи доверенных пользователей. Эти учетные записи доверия можно отображать и перемещать с помощью таких средств, как LDIFDE и LDP. Рекомендуется оставить контейнер без изменений, а учетные записи по умолчанию — для обеспечения согласованности.

Перенаправление CN=Computers в подразделение, указанное администратором

  1. Войдите с учетными данными администратора домена в домене, куда перенаправляется контейнер CN=computers.

  2. Переведите домен в домен Windows Server 2003 в оснастке Пользователи и компьютеры Active Directory (Dsa.msc) или в оснастке Домены и отношения доверия (Domains.msc). Дополнительные сведения об увеличении функционального уровня домена см. в разделе Повышение функциональных уровней домена и леса.

  3. Создайте контейнер подразделения, в котором должны находиться компьютеры, созданные с ПОМОЩЬЮ API более ранней версии, если требуемый контейнер подразделения не существует.

  4. Выполните Redircmp.exe в командной строке, используя следующий синтаксис. В команде container-dn — это различающееся имя подразделения, которое станет расположением по умолчанию для вновь созданных объектов-компьютеров, созданных API нижнего уровня:

    redircmp container-dn

    Redircmp.exe устанавливается в папке %Systemroot%\System32 в Windows Server 2003 или более поздних версиях. Чтобы изменить расположение по умолчанию для компьютера, созданного с помощью API более ранних версий, например Net Computer, на контейнер OU=MyComputers в домене CONTOSO.COM, используйте следующий синтаксис:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Примечание.

    При запуске Redircmp.exe для перенаправления контейнера CN=Computers в подразделение, указанное администратором, контейнер CN=Computers больше не будет защищенным объектом. Это означает, что контейнер Компьютеры теперь можно перемещать, удалять или переименовать. Если вы используете ADSIEDIT для просмотра атрибутов в контейнере CN=Computers, вы увидите, что атрибут systemflags был изменен с -1946157056 на 0. Данное поведение является особенностью продукта.

Описание сообщений об ошибках

Ниже приведены сообщения об ошибках, которые возникают в некоторых случаях.

Сообщения об ошибках, которые вы получаете, если PDC находится в автономном режиме

Redircmp и Redirusr изменяют атрибут wellKnownObjects на основном контроллере домена (PDC). Если PDC изменяемого домена находится в автономном режиме или недоступен, появляется следующее сообщение об ошибке.

  • Сообщение об ошибке 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Ошибка, не удалось найти основной контроллер домена для текущего домена: указанный домен либо не существует, либо не удалось связаться. Перенаправление не выполнено.

  • Сообщение об ошибке 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Ошибка, не удалось найти основной контроллер домена для текущего домена: указанный домен либо не существует, либо не удалось связаться. Перенаправление не выполнено.

Сообщения об ошибках, которые вы получаете, если уровень работы домена не является Windows Server 2003

Вы пытаетесь перенаправить пользователей или подразделение компьютера в домене, который не переключился на уровень работы домена Windows Server 2003. В этом случае появляется следующее сообщение об ошибке:

  • Сообщение об ошибке 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень работы домена по крайней мере windows Server 2003: Не поддерживается выполнение перенаправления.

  • Сообщение об ошибке 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень работы домена не ниже Windows Server 2003: Не желает выполнять

Сообщения об ошибках, которые вы получаете при входе в систему без необходимых разрешений

При попытке перенаправить пользователей или подразделение компьютера с использованием неправильных учетных данных в целевом домене могут появиться следующие сообщения об ошибках:

  • Сообщение об ошибке 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень работы домена не ниже Windows Server 2003: перенаправление с недостаточными правами не выполнено.

  • Сообщение об ошибке 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень работы домена не ниже Windows Server 2003: перенаправление с недостаточными правами не выполнено.

Сообщения об ошибках, которые вы получаете при перенаправлении в подразделение, которое не существует

Вы пытаетесь перенаправить пользователей или подразделение компьютера в подразделение, которое не существует. В этом случае могут появить следующие сообщения об ошибках:

  • Сообщение об ошибке 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень работы домена не ниже Windows Server 2003: нет перенаправления таких объектов НЕ удалось.

  • Сообщение об ошибке 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Ошибка, не удается изменить атрибут wellKnownObjects. Убедитесь, что уровень работы домена не ниже Windows Server 2003: нет перенаправления таких объектов НЕ удалось.

Сообщения об ошибках, которые вы получаете в Exchange Server 2000 setup /domainprep при перенаправлении CN=Users

Если Exchange Server 2000 и Exchange Server 2003 setup /domainprep не увенчались успехом, появляется следующее сообщение об ошибке:

Произошел сбой установки разрешений уровня домена подкомпонента с кодом ошибки 0x80072030) (подробное описание см. в журналах установки). Вы можете отменить установку или повторить неудачный шаг. (Повторите попытку или отмену)

Следующие данные отображаются в журнале установки Exchange Server 2000, который анализируется с помощью средства синтаксического анализа журналов. Exchange Server 2003 должен быть похожим.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed