Chuyển hướng người sử dụng và máy vi tính thùng chứa trong tên miền Active Directory

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:324949
TÓM TẮT
Trong bản cài đặt mặc định của thư mục hoạt động tên miền, tài khoản người dùng, trương mục máy tính, và các nhóm được đặt trong CN = container hàng objectclass thay vì đang được đặt trong một thùng chứa đơn vị tổ chức lớp hơn mong muốn. Tương tự như vậy, tài khoản người dùng, trương mục máy tính, và các nhóm được tạo ra bằng cách sử dụng phiên bản cũ hơn API được đặt trong CN = người dùng và CN = hộp đựng máy tính.

Bài viết này mô tả cách sử dụng các tiện ích redirusr và redircmp để chuyển hướng người sử dụng, máy tính và tài khoản nhóm được tạo bởi phiên bản cũ hơn API để cho họ được đặt trong hộp đựng admin chỉ định đơn vị tổ chức.

Quan trọng Một số ứng dụng đòi hỏi phải hiệu trưởng an ninh cụ thể để được nằm trong thùng chứa mặc định như CN = người dùng hoặc CN = máy vi tính. Kiểm chứng rằng các ứng dụng của bạn có phụ thuộc như vậy trước khi bạn di chuyển chúng ra khỏi CN = người dùng và CN = tính container.
THÔNG TIN THÊM
Người sử dụng, máy tính, và các nhóm được tạo ra bởi các API Phiên bản trước đó đặt các đối tượng trong đường dẫn DN được xác định trong các WellKnownObjects thuộc tính này nằm trong phạm vi NC đầu. Ví dụ mã sau đây cho thấy đường dẫn có liên quan trong các WellKnownObjects thuộc tính từ CONTOSO.Tên miền COM NC đầu.
DN: DC = CONTOSO, DC = COM
wellKnownObjects (11): 	B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;	 	B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM; 	B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM; 	B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM; 	B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM; 	B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM; 	B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM; 	B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM; 	B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM; 	B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;	B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM; 
Ví dụ về các hoạt động sử dụng phiên bản cũ hơn API cho trả lời trên đường dẫn định được định nghĩa trong các WellKnownObjects thuộc tính bao gồm.
Hoạt độngCác phiên bản hệ điều hành
Tên miền tham gia giao diện người dùng Windows NT version4.0
Windows 2000
Windows XP Professional
Windows XP cuối cùng
Windows Server 2003
Windows Server 2003 R2
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
MẠNG MÁY TÍNHTất cả các phiên bản
NET NHÓMTất cả các phiên bản
NET NGƯỜI SỬ DỤNGTất cả các phiên bản
NETDOM thêm, nơi các /ou lệnh hoặc không được chỉ định hoặc được hỗ trợTất cả các phiên bản
Nó là hữu ích để thực hiện các thùng chứa mặc định cho người sử dụng, máy tính và an ninh các nhóm đơn vị tổ chức vì nhiều lý do, bao gồm những điều sau đây:
  • Chính sách nhóm có thể được áp dụng trên hộp đựng đơn vị tổ chức mà không CN lớp container, nơi hiệu trưởng an ninh được đặt theo mặc định.
  • "Thực hành tốt nhất" là sắp xếp an ninh hiệu trưởng thành một hệ thống phân cấp đơn vị tổ chức gương cơ cấu tổ chức, bố trí địa lý hoặc mô hình quản trị của bạn.
Nếu bạn đang chuyển hướng CN = người dùng và CN = thư mục máy tính, được nhận thức của các vấn đề sau:
  • Mục tiêu tên miền phải được cấu hình để chạy trong Windows Server 2003 tên miền chức năng cấp hoặc cao hơn. 2003 Tên miền chức năng cấp, mà điều này có nghĩa là:
    • Windows Server 2003 ADPREP /FORESTPREP hoặc mới hơn
    • Windows Server 2003 ADPREP /DOMAINPREP hoặc mới hơn
    • Tất cả các bộ điều khiển vùng thuộc phạm vi mục tiêu phải chạy Windows Server 2003 hoặc mới hơn.
    • Windows Server 2003 tên miền chức năng cấp hoặc cao hơn phải được kích hoạt.
  • Không giống như CN = người dùng và CN = máy vi tính, tổ chức đơn vị container có thể tình cờ xóa bởi tài khoản người dùng đặc quyền, bao gồm cả quản trị viên.

    CN = người dùng và CN = COMPUTERS thùng chứa là hệ thống bảo vệ các đối tượng có thể không, và phải không, được gỡ bỏ cho tương thích ngược. Tuy nhiên, họ có thể được đổi tên. Đơn vị tổ chức, mặt khác, có thể do tai nạn cây xóa bởi quản trị viên.

    Windows Server 2003 Phiên bản của hoạt động thư mục người sử dụng & Computers snap-in có thể làm theo các bước trong"Bảo vệ một đơn vị tổ chức khỏi tình cờ xóa."

    Windows Server 2008 và phiên bản mới hơn của hoạt động thư mục người sử dụng và máy vi tính-theo tính năng một hộp kiểm "Đối tượng bảo vệ chống lại tình cờ xóa" mà bạn có thể bấm vào để lựa chọn khi bạn tạo một container tổ chức đơn vị mới. Bạn cũng có thể chọn hộp kiểm này trên các Đối tượng tab của các Thuộc tính hộp thoại cho một hiện tại đơn vị tổ chức container.

    Một lựa chọn script trong tài liệu"Kịch bản để bảo vệ tổ chức đơn vị (Anh) từ tình cờ xóa."
  • Exchange 2000 và 2003 thiết lập /domainprep không có lỗi. Vấn đề này được diễn tả trong bài viết cơ sở kiến thức Microsoft sau:
    • 260914 Domainprep tiện ích không hoạt động nếu máy chủ doanh nghiệp Exchange group và trao đổi tên miền máy chủ nhóm di chuyển đến một container mới
    • 818470 Exchange Server 2003 thiết lập trả về mã lỗi 0x80072030 khi bạn chạy setup.exe /domainprep

Chuyển hướng các CN = người dùng vào một quản trị viên chỉ định đơn vị tổ chức

  1. Đăng nhập với tên miền quản trị credentials trong các z tên miền mà CN = người dùng thùng chứa bị chuyển hướng.
  2. Quá trình chuyển đổi tên miền tên miền Windows Server 2003 chức năng cấp hoặc mới hơn trong hai hoạt động thư mục người sử dụng và máy vi tính-theo (Dsa.msc) hoặc các Tên miền và tín thác (Domains.msc)-theo. Để biết thêm chi tiết về tăng mức độ chức năng tên miền, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    322692Làm thế nào để nâng cấp chức năng tên miền và rừng trong Windows Server 2003
  3. Tạo các thùng chứa đơn vị tổ chức nơi bạn muốn người dùng đã được tạo ra với phiên bản trước đó API được vị trí, nếu các thùng chứa đơn vị tổ chức mà bạn muốn không đã tồn tại.
  4. Chạy tập tin Redirusr.exe lúc dấu nhắc lệnh bằng cách sử dụng cú pháp sau đây, nơi container-dn là các tên phân biệt của các đơn vị tổ chức đó sẽ trở thành mặc định vị trí cho người dùng mới được tạo ra các đối tượng tạo bởi xuống cấp API:
    c:\windows\system32\redirusr<dn path="" to="" alternate="" ou=""></dn>
    Redirusr được cài đặt trong thư mục %SystemRoot%\System32 trên máy tính dựa trên Windows Server 2003 hoặc mới hơn. Ví dụ, để thay đổi vị trí mặc định Đối với người sử dụng được tạo ra với các API cấp xuống như người sử dụng Net để OU MYUsers OU = kho chứa trong CONTOSO.Tên miền COM, sử dụng cú pháp sau:
    c:\windows\system32>redirusr ou = myusers, DC = contoso, dc = com

Chuyển hướng các CN = máy tính đến một quản trị viên chỉ định đơn vị tổ chức

  1. Đăng nhập với người quản trị vùng credentials trong các tên miền mà CN = thùng chứa bị chuyển hướng các máy tính.
  2. Chuyển tên miền để các tên miền Windows Server 2003 trong các Hoạt động thư mục người sử dụng và máy vi tính-theo (Dsa.msc) hay tên miền và tín thác (Domains.msc)-theo.Để biết thêm chi tiết về tăng mức độ chức năng tên miền, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    322692Làm thế nào để nâng cấp chức năng tên miền và rừng trong Windows Server 2003
  3. Tạo các thùng chứa đơn vị tổ chức nơi bạn muốn được tạo ra với phiên bản trước đó API để các máy tính được đặt, nếu bạn muốn tổ chức đơn hàng vị container không đã tồn tại.
  4. Chạy Redircmp.exe tập tin tại một dấu nhắc lệnh bằng cách sử dụng cú pháp sau đây, nơi container-dn là các tên phân biệt của các đơn vị tổ chức đó sẽ trở thành mặc định vị trí cho vừa được tạo ra các đối tượng của máy tính được tạo ra bởi xuống cấp API:
    redircmp container-dn container-dn
    Redircmp.exe được cài đặt trong thư mục %Systemroot%\System32 trên dựa trên Windows Server 2003 hoặc máy tính mới hơn. Ví dụ, để thay đổi vị trí mặc định Đối với một máy tính được tạo ra với phiên bản trước đó API như người sử dụng Net để các OU = mycomputers chứa trong CONTOSO.Tên miền COM, sử dụng cú pháp sau:
    C:\windows\system32>redircmp ou = mycomputers, DC = contoso, dc = com
    Chú ý Khi Redircmp.exe chạy để chuyển hướng CN = Computers container để một đơn vị tổ chức được xác định bởi người quản trị, CN = Computers container sẽ không còn có một đối tượng được bảo vệ. Điều này có nghĩa rằng các thùng chứa máy tính có thể bây giờ được di chuyển, xóa, hoặc đổi tên. Nếu bạn sử dụng ADSIEDIT để xem thuộc tính về CN = thùng chứa máy vi tính, bạn sẽ thấy rằng các systemflags thuộc tính được thay đổi từ-1946157056-0. Điều này là do thiết kế.

Mô tả của các thông báo lỗi

Thông báo lỗi rằng bạn nhận được nếu PDC là gián tuyến

Redircmp và thay đổi Redirusr các wellKnownObjects thuộc tính trên bộ điều khiển tên miền chính (PDC). Nếu PDC tên miền mà đang thay đổi là gián tuyến hoặc không thể tiếp cận, bạn nhận được các thông báo lỗi sau đây.
Thông báo lỗi 1
D:\>redirusr OU = userOU, DC = udc, dc = jkcertcontoso, dc = Lộc com
Lỗi, không thể định vị điều khiển miền chính của các tên miền hiện tại: tên miền được chỉ ra hoặc không tồn tại hoặc không thể liên lạc. Chuyển hướng đã không thành công.
Thông báo lỗi 2
D:\>redircmp OU = computerOU, DC = contoso, dc = com DC = udc, dc = jkcert, dc = Lộc
Lỗi, không thể định vị điều khiển miền chính của các tên miền hiện tại: tên miền được chỉ ra hoặc không tồn tại hoặc không thể liên lạc. Chuyển hướng đã không thành công.

Thông báo lỗi rằng bạn nhận được nếu cấp chức năng tên miền không phải là Windows Server 2003

Nếu bạn cố gắng để chuyển hướng các người dùng hay máy tính đơn vị tổ chức trong một tên miền điều đó có không chuyển sang miền Windows Server 2003 chức năng cấp, bạn nhận được các thông báo lỗi sau đây.
Thông báo lỗi 1
C:\>redirusr OU = usersou, DC = contoso, dc = comDC = công ty, DC = com
Lỗi, không thể sửa đổi các thuộc tính wellKnownObjects. Kiểm chứng rằng tên miền chức năng cấp tên miền ít Windows Server 2003: không muốn để thực hiện Redirection đã không thành công.
Thông báo lỗi 2
C:\>REDIRCMP ou = computersou, DC = contoso, dc = comdc = công ty, dc = com
Lỗi, không thể sửa đổi các thuộc tính wellKnownObjects. Kiểm chứng rằng tên miền chức năng cấp tên miền ít Windows Server 2003: không muốn để thực hiện

Thông báo lỗi rằng bạn nhận được nếu bạn đăng nhập vào mà không có quyền như yêu cầu

Nếu bạn cố gắng để chuyển hướng người sử dụng hoặc đơn vị tổ chức máy tính bằng cách sử dụng thông tin đăng nhập không chính xác trong tên miền mục tiêu, bạn có thể nhận các thông báo lỗi sau đây.
Thông báo lỗi 1
C: > REDIRCMP OU = computersou, DC = contoso, dc = comDC = công ty, DC = com
Lỗi, không thể sửa đổi các thuộc tính wellKnownObjects. Kiểm chứng rằng tên miền chức năng cấp tên miền ít Windows Server 2003: không đủ quyền chuyển hướng đã không thành công.
Thông báo lỗi 2
: \>redirusr OU = usersou, DC = contoso, dc = comDC = công ty, DC = com
Lỗi, không thể sửa đổi các thuộc tính wellKnownObjects. Kiểm chứng rằng tên miền chức năng cấp tên miền ít Windows Server 2003: không đủ quyền chuyển hướng đã không thành công.

Thông báo lỗi rằng bạn nhận được nếu bạn chuyển hướng đến một đơn vị tổ chức mà không tồn tại

Nếu bạn cố gắng để chuyển hướng người dùng hay máy tính đơn vị tổ chức để một các đơn vị tổ chức mà không tồn tại, bạn có thể nhận được các lỗi sau tin nhắn.
Thông báo lỗi 1
C:\>REDIRCMP OU = nonexistantou, DC = contoso, dc = com dc = rendom, dc = com
Lỗi, không thể sửa đổi các thuộc tính wellKnownObjects. Kiểm chứng rằng tên miền chức năng cấp tên miền ít Windows Server 2003: No Such chuyển hướng đối tượng đã không thành công.
Thông báo lỗi 2
C:\>redirusr OU = nonexistantou, DC = contoso, dc = com DC = công ty, DC = com
Lỗi, không thể sửa đổi các thuộc tính wellKnownObjects. Kiểm chứng rằng tên miền chức năng cấp tên miền ít Windows Server 2003: No Such chuyển hướng đối tượng đã không thành công.

Các thông báo lỗi rằng bạn nhận được trong Exchange 2000 "thiết lập /domainprep" khi CN = người dùng được chuyển hướng

Nếu Exchange 2000 và Exchange 2003 thiết lập /domainprep là không thành công, bạn nhận được các thông báo lỗi sau:
Thiết lập bị thất bại trong khi cài đặt Sub-component tên miền cấp quyền với lỗi mã 0x80072030) (xin vui lòng Hãy xem các bản ghi cài đặt để mô tả chi tiết). Bạn có thể hủy bỏ việc cài đặt hoặc thử bước không thành công một lần nữa. (Thử lại / hủy bỏ)
Dữ liệu sau sẽ xuất hiện trong đăng nhập Exchange 2000 thiết lập được phân tách với bộ phân tích đăng nhập. Exchange 2003 nên được tương tự.
[HH:MM:SS] Hoàn tất Thành phần DomainPrep của Microsoft Exchange 2000
[HH:MM:SS] Mã lỗi ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) 0X80072030 (8240): không có không có đối tượng như vậy trên hệ phục vụ.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) lỗi Mã 0X80072030 (8240): không có không có đối tượng như vậy trên hệ phục vụ.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Lỗi Mã 0X80072030 (8240): không có không có đối tượng như vậy trên hệ phục vụ.
[HH:MM:SS] chế độ = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Mã lỗi 0X80072030 (8240): Không có không có đối tượng như vậy trên hệ phục vụ.
[HH:MM:SS] Thiết lập bắt gặp lỗi trong Microsoft Exchange miền chuẩn bị của DomainPrep thành phần công việc. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Mã lỗi 0X80072030 (8240): Không có không có đối tượng như vậy trên hệ phục vụ.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Mã lỗi 0X80072030 (8240): Không có không có đối tượng như vậy trên hệ phục vụ.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Mã lỗi 0X80072030 (8240): không có không có đối tượng như vậy trên hệ phục vụ.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Mã lỗi 0X80072030 (8240): không có không có đối tượng như vậy trên hệ phục vụ.
[HH:MM:SS] Thiết lập đã hoàn tất
THAM KHẢO
Để biết thêm chi tiết, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
818470Exchange Server 2003 thiết lập trả về mã lỗi 0x80072030 khi bạn chạy setup.exe /domainprep
260914 Domainprep tiện ích không hoạt động nếu máy chủ doanh nghiệp Exchange group và trao đổi tên miền máy chủ nhóm di chuyển đến một container mới

Kịch bản để bảo vệ đơn vị tổ chức khỏi tình cờ xóa: Để biết thêm chi tiết về làm thế nào để thiết kế một cơ sở hạ tầng chính sách nhóm, ghé thăm Web site sau của Microsoft:

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 324949 - Xem lại Lần cuối: 08/27/2011 12:59:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition

  • kbinfo kbmt KB324949 KbMtvi
Phản hồi