В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Перенаправление пользователей и компьютеров контейнеров в доменах Active Directory

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 324949
Аннотация
По умолчанию при установке службы каталогов Active Directory домена, учетные записи пользователей, учетные записи и группы помещаются в CN = контейнеры objectclass вместо отнесения желанным класса контейнера подразделения. Аналогичным образом, учетные записи пользователей, учетные записи и группы, созданные ранними версиями API, помещаются в CN = пользователи и CN = компьютеров контейнеров.

В данной статье описывается использование программы redirusr и redircmp для перенаправления пользователя, компьютера и учетные записи групп, созданные ранними версиями API, таким образом, чтобы они помещаются в контейнеры admin указанного подразделения.

Важно: Некоторые приложения требуют участников безопасности должна быть расположена в контейнеры по умолчанию как CN = пользователи или CN = компьютеров. Убедитесь, что ваши приложения такие зависимости перед перемещением из CN = пользователи и CN = вычисляет контейнеров.
Дополнительная информация
Пользователи, компьютеры и группы, созданные ранними версиями API размещения объектов в этот путь, указанный в атрибуте WellKnownObjects , расположенный в домене NC-заголовок. В следующем примере кода показаны соответствующие пути в атрибуте WellKnownObjects из заголовка контекста Именования домена CONTOSO.COM.
DN: DC = CONTOSO, DC = COM
wellKnownObjects (11): 	B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;	 	B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM; 	B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM; 	B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM; 	B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM; 	B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM; 	B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM; 	B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM; 	B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM; 	B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;	B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM; 
Ниже приведены примеры операций, использующих ранними версиями API, ответить на пути, заданные в атрибуте WellKnownObjects .
ОперацияВерсии операционной системы
Присоединение к домену пользовательского интерфейса Version4.0 Windows NT
Windows 2000
Windows XP Professional
Windows XP максимальная
Windows Server 2003
Windows Server 2003 R2
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
СЕТЕВОЙ КОМПЬЮТЕРВсе версии
NET GROUPВсе версии
NET USERВсе версии
Добавить NETDOM, где команда/OU не указан или поддерживаетсяВсе версии
Это полезно для контейнера по умолчанию для пользователей, компьютеров и групп безопасности подразделения по нескольким причинам, включая следующие:
  • Групповые политики можно применять на контейнеры подразделений, но не в классе контейнеры CN, размещения участников безопасности по умолчанию.
  • «» Рекомендуется для размещения участников безопасности в иерархию подразделений, отражающую вашей организационной структуры, географической структуры или модели администрирования.
При перенаправлении CN = пользователи и CN = компьютеров папки, имейте в виду следующее:
  • Конечный домен должен быть настроен для запуска в режим работы домена Windows Server 2003 или более поздней версии. Для 2003 функциональный уровень домена это означает, что:
    • Windows Server 2003 команды ADPREP/forestprep или более поздней версии
    • Windows Server 2003 команды ADPREP/domainprep или более поздней версии
    • Все контроллеры домена в конечном домене необходимо запустить Windows Server 2003 или более поздней версии.
    • Домен Windows Server 2003 функциональный уровень или выше должен быть включен.
  • В отличие от CN = пользователи и CN = компьютеров подразделения контейнеры могут быть случайное удаление, привилегированных учетных записей, включая администраторов.

    CN = пользователи и CN = компьютеров контейнеры являются объектами, защищенные системы, невозможно и не должны быть удалены для обеспечения обратной совместимости. Тем не менее они могут быть переименованы. Организационные единицы, с другой стороны, могут быть удаление случайного дерева администраторами.

    Версии Windows Server 2003 оснастку «Active Directory пользователи & компьютеры» выполните действия в"Защитить от случайного удаления подразделения."

    Windows Server 2008 и более поздние версии оснастку «Active Directory-пользователи и компьютеры» содержит флажок «Защитить объект от случайного удаления», который можно щелкнуть, чтобы выбрать при создании нового контейнера подразделения. Можно также выбрать этот флажок на вкладке объекта диалогового окна Свойства существующего контейнера подразделения.

    Сценарию параметр описана в"Сценарий для защиты от случайного удаления подразделений (OU)."
  • Exchange 2000 и 2003 программа установки завершается ошибкой/domainprep с ошибками. Эта проблема описана в следующих статьях базы знаний Майкрософт:
    • 260914 Программа domainprep не работает, если серверы предприятия Exchange и серверов домена Exchange групп перемещены в новый контейнер
    • 818470 Exchange Server 2003, программа установки возвращает код ошибки 0x80072030 при запуске setup.exe/domainprep

Перенаправление CN = Users в указанное администратором подразделение

  1. Войдите в систему с учетными данными администратора домена на zdomain где CN = Users перенаправляется контейнера.
  2. Переход на домене Windows Server 2003 domainfunctional уровня или более поздней версии в Active Directory — пользователи и компьютеры оснастки (Dsa.msc) или theDomains и доверий (Domains.msc). Дополнительные сведения об увеличении функциональный уровень домена щелкните следующий номер статьи базы знаний Майкрософт:
    322692 Как вызвать функциональные уровни домена и леса Windows Server 2003
  3. Создайте контейнер подразделения, где вы wantusers, будут создаваться с ранними версиями API, должен находиться, если контейнер организации единицы, требуется еще не существует.
  4. Запустите файл Redirusr.exe из командной строки, используя следующий синтаксис, где различающееся имя контейнера thedistinguished имя подразделения, который вновь станет defaultlocation для создания объектов пользователей, созданных посредством интерфейсов API нижнего уровня:
    c:\windows\system32\redirusr<DN path="" to="" alternate="" ou=""></DN>
    Redirusris установлено в папке %SystemRoot%\System32 на компьютерах под управлением Windows Server 2003 или более поздней версии. Например, чтобы изменить locationfor пользователей по умолчанию, которые создаются с помощью API нижнего уровня, например Net User с подразделением = MYUsers OUcontainer в домене CONTOSO.COM, используйте следующий синтаксис:
    c:\Windows\System32>redirusr ou = myusers, DC = contoso, dc = com

Перенаправление CN = компьютеров в указанное администратором подразделение

  1. Войдите в систему с учетными данными администратора домена в домене, где CN = перенаправления контейнера компьютеров.
  2. Переход домена в домене Windows Server 2003 в theActive Directory-пользователи и компьютеры оснастки (Dsa.msc) или в доменах и Trusts(Domains.msc) оснастки.Дополнительные сведения об увеличении функциональный уровень домена щелкните следующий номер статьи базы знаний Майкрософт:
    322692 Как вызвать функциональные уровни домена и леса Windows Server 2003
  3. Создайте контейнер подразделения, которым компьютеры, созданные ранними версиями API-интерфейсы tobe находится, если контейнер нужное подразделение не существует.
  4. Runthe Redircmp.exefile из командной строки, используя следующий синтаксис, где различающееся имя контейнера — thedistinguished имя подразделения, который станет fornewly расположение по умолчанию, созданных объектов-компьютеров, созданных посредством интерфейсов API нижнего уровня:
    redircmp различающееся имя контейнера различающееся имя контейнера
    Redircmp.exeis установлено в папке %Systemroot%\System32 на современных компьютерах Windows Server 2003-basedor. Например, чтобы изменить locationfor по умолчанию компьютер, созданный для theOU с ранними версиями API, такие как Net User = mycomputers контейнер в домене CONTOSO.COM, используйте следующий синтаксис:
    C:\Windows\System32>redircmp ou = mycomputers, DC = contoso, dc = com
    Примечание. При запуске Redircmp.exe для перенаправления CN = контейнера компьютеров в подразделения, указанного администратором, CN = компьютеров защищенный объект контейнера больше не будет. Это означает, что контейнер компьютеры могут теперь быть перемещена, удалена или переименована. Если использовать ADSIEDIT для просмотра атрибутов CN = компьютеров контейнер, можно увидеть что атрибута systemflags был изменен с-1946157056 на 0. Это сделано намеренно.

Описание сообщений об ошибках

Сообщения об ошибке появляется, если контроллер домена находится в автономном режиме

Redircmp и Redirusr изменить атрибут wellKnownObjects на основной контроллер домена (PDC). Если основной Контроллер домена, который изменяется отключена или недоступна, появиться следующие сообщения об ошибках.
Сообщение об ошибке 1
D:\>redirusr OU = userOU, DC = udc, dc = jkcertcontoso, dc = loc com
Ошибка, не удалось найти основной контроллер домена для текущего домена: указанный домен не существует или недоступен. Перенаправление не выполнено успешно.
Сообщение об ошибке 2
D:\>redircmp OU = computerOU, DC = contoso, dc = com DC = udc, dc = jkcert, dc = loc
Ошибка, не удалось найти основной контроллер домена для текущего домена: указанный домен не существует или недоступен. Перенаправление не выполнено успешно.

Сообщения об ошибке появляется, если функциональный уровень домена не является Windows Server 2003

При попытке выполнить перенаправление пользователей и компьютеров подразделения в домене, который взял функциональный уровень домена Windows Server 2003, появиться следующие сообщения об ошибках.
Сообщение об ошибке 1
C:\>redirusr OU = usersou, DC = contoso, dc = comDC = компании, DC = com
Не удалось изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: бесплатным для выполнения перенаправления не была успешной.
Сообщение об ошибке 2
C:\>REDIRCMP ou = computersou, DC = contoso, dc = comdc = компании, dc = com
Не удалось изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: бесплатным для выполнения

Сообщения об ошибках, полученные при входе в систему без необходимых разрешений

При попытке выполнить перенаправление пользователей и компьютеров подразделения с помощью неправильные учетные данные в конечном домене, может появиться следующие сообщения об ошибках.
Сообщение об ошибке 1
C: настроек REDIRCMP OU = computersou, DC = contoso, dc = comDC = компании, DC = com
Не удалось изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: недостаточные права перенаправления не была успешной.
Сообщение об ошибке 2
: \>redirusr OU = usersou, DC = contoso, dc = comDC = компании, DC = com
Не удалось изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: недостаточные права перенаправления не была успешной.

Сообщения об ошибках, полученные при перенаправлении подразделением, не существует

При попытке выполнить перенаправление пользователей и компьютеров подразделения с подразделением, которое не существует, может появиться следующие сообщения об ошибках.
Сообщение об ошибке 1
C:\>REDIRCMP OU = nonexistantou, DC = contoso, dc = com, dc = rendom, dc = com
Не удалось изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: нет, например объект перенаправления не была успешной.
Сообщение об ошибке 2
C:\>redirusr OU = nonexistantou, DC = contoso, dc = com DC компании, DC = = com
Не удалось изменить атрибут wellKnownObjects. Убедитесь, что функциональный уровень домена по крайней мере Windows Server 2003: нет, например объект перенаправления не была успешной.

Сообщения об ошибках, полученных в Exchange 2000 "setup/domainprep" когда CN = Users, перенаправляется

Если Exchange 2000 и Exchange 2003 setup/domainprep завершается неудачно, появляется следующее сообщение об ошибке:
Сбой программы установки при установке подкомпонента разрешения уровня домена произошла ошибка с кодом 0x80072030) (Пожалуйста журналах установки подробное описание). Можно отменить установку или повторить шаг неудачных. (Повтор и Отмена)
В журнале установки Exchange 2000, анализируется с синтаксического анализа журнала появляются следующие данные. Exchange 2003 будут похожи.
[HH:MM:SS] Завершенные компонент DomainPrep для Microsoft Exchange 2000
[HH:MM:SS] Код ошибки ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) 0X80072030 (8240): отсутствует такой объект на сервере.
[HH:MM:SS] Код ошибки ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) 0X80072030 (8240): отсутствует такой объект на сервере.
[HH:MM:SS] Код ошибки CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) 0X80072030 (8240): отсутствует такой объект на сервере.
Режим [HH:MM:SS] = "DomainPrep" (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Ошибка код 0X80072030 (8240): отсутствует такой объект на сервере.
[HH:MM:SS] Программа установки обнаружила ошибку при задача компонента Microsoft Exchange домена подготовки DomainPrep. Код ошибки CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) 0X80072030 (8240): отсутствует такой объект на сервере.
[HH:MM:SS] Код ошибки CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) 0X80072030 (8240): отсутствует такой объект на сервере.
[HH:MM:SS] Код ошибки CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) 0X80072030 (8240): отсутствует такой объект на сервере.
[HH:MM:SS] Код ошибки CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) 0X80072030 (8240): отсутствует такой объект на сервере.
[HH:MM:SS] Установка завершена
Ссылки
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
818470 Exchange Server 2003, программа установки возвращает код ошибки 0x80072030 при запуске setup.exe/domainprep
260914 Программа domainprep не работает, если серверы предприятия Exchange и серверов домена Exchange групп перемещены в новый контейнер

Сценарий для защиты от случайного удаления подразделения: Дополнительные сведения о способах проектирования инфраструктуры групповой политики посетите следующий веб-узел корпорации Майкрософт:

Свойства

Номер статьи: 324949 — последний просмотр: 05/07/2016 20:29:00 — редакция: 5.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition

  • kbinfo kbmt KB324949 KbMtru
Отзывы и предложения