Redirigir los contenedores de usuarios y equipos en dominios de Active Directory
Puede usar redirusr y redircmp para redirigir las cuentas de usuario, equipo y grupo creadas por las API de versión anterior. Por lo tanto, se colocan en contenedores de unidad organizativa (UO) especificados por el administrador.
Número de KB original: 324949
Resumen
En una instalación predeterminada de un dominio de Active Directory, las cuentas de usuario, equipo y grupo se colocan en contenedores CN=objectclass en lugar de en un contenedor de clase de unidad organizativa más deseable. De forma similar, las cuentas que se crearon mediante las API de versión anterior se colocan en los contenedores CN=Users y CN=computers.
Importante
Algunas aplicaciones requieren que las entidades de seguridad específicas se encuentren en contenedores predeterminados, como CN=Users o CN=Computers. Compruebe que las aplicaciones tienen dichas dependencias antes de sacarlas de los contenedores CN=users y CN=computes.
Más información
Los usuarios, equipos y grupos creados por las API de versión anterior colocan objetos en la ruta de acceso DN especificada en el atributo WellKnownObjects. El atributo WellKnownObjects se encuentra en el encabezado NC del dominio. En el ejemplo de código siguiente se muestran las rutas de acceso pertinentes en el atributo WellKnownObjects del encabezado NC del dominio CONTOSO.COM.
Dn: DC=CONTOSO,DC=COM
wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;
Por ejemplo, las siguientes operaciones usan API de versión anterior, que se basan en las rutas de acceso definidas en el atributo WellKnownObjects:
- Interfaz de usuario de unión a un dominio
- EQUIPO NET
- GRUPO DE NET
- USUARIO DE NET
- NETDOM ADD, donde el
/ou
comando no se especifica o se admite
Resulta útil convertir el contenedor predeterminado para usuarios, equipos y grupos de seguridad en una unidad organizativa por varias razones, entre las que se incluyen:
Las directivas de grupo se pueden aplicar en contenedores de unidad organizativa, pero no en contenedores de clase CN, donde las entidades de seguridad se colocan de forma predeterminada.
El procedimiento recomendado consiste en organizar entidades de seguridad en una jerarquía de unidades organizativas que refleje la estructura organizativa, el diseño geográfico o el modelo de administración.
Si va a redirigir las carpetas CN=Users y CN=Computers, tenga en cuenta los siguientes problemas:
El dominio de destino debe configurarse para ejecutarse en el nivel funcional del dominio de Windows Server 2003 o superior. Para el nivel funcional del dominio de Windows Server 2003, significa que:
- Windows Server 2003
ADPREP /FORESTPREP
o posterior - Windows Server 2003
ADPREP /DOMAINPREP
o posterior - Todos los controladores de dominio del dominio de destino deben ejecutar Windows Server 2003 o posterior.
- El nivel funcional del dominio de Windows Server 2003 o superior debe estar habilitado.
- Windows Server 2003
A diferencia de CN=USERS y CN=COMPUTERS, los contenedores de unidad organizativa están sujetos a eliminaciones accidentales por parte de cuentas de usuario con privilegios, incluidos los administradores.
Los contenedores CN=USERS y CN=COMPUTERS son objetos protegidos por el sistema que no pueden ni deben quitarse por compatibilidad con versiones anteriores. Pero se les puede cambiar el nombre. Las unidades organizativas están sujetas a eliminaciones accidentales de árbol por parte de los administradores.
Windows Server 2008 y versiones más recientes del complemento Usuarios y equipos de Active Directory incluyen una casilla Proteger el objeto contra eliminación accidental que puede seleccionar al crear un nuevo contenedor de unidad organizativa. También puede seleccionarlo en la pestaña Objeto del cuadro de diálogo Propiedades de un contenedor de unidad organizativa existente.
La redirección de CN=USERS afecta a la ubicación predeterminada de los nuevos usuarios, grupos y cuentas de usuario de confianza. Las cuentas de usuario de confianza están ocultas en la mayoría de las herramientas de administración de la interfaz de usuario, pero puede mostrarlas y moverlas en herramientas como LDIFDE y LDP. El CN de la cuenta es <nombre> de dominio de nivel inferior$, por ejemplo, "contoso$".
Si experimenta errores de preparación de Exchange Server Active Directory, asegúrese de que ejecuta la actualización acumulativa y la actualización de seguridad más recientes.
Redirigir CN=Users a una unidad organizativa especificada por el administrador
Inicie sesión con credenciales de administrador de dominio en el dominio donde se redirige el contenedor CN=Users.
Realice la transición del dominio al nivel funcional del dominio de Windows Server 2003 o posterior en el complemento Usuarios y equipos de Active Directory (Dsa.msc) o en el complemento Dominios y confianzas (Domains.msc). Para obtener más información sobre cómo aumentar el nivel funcional del dominio, vea Cómo aumentar los niveles funcionales de dominio y bosque.
Cree el contenedor de unidad organizativa en el que desee que se encuentren los usuarios y grupos creados con API de versión anterior, si el contenedor de unidad organizativa que desea no existe.
Ejecute Redirusr.exe en el símbolo del sistema mediante la sintaxis siguiente. En el comando , container-dn es el nombre distintivo de la unidad organizativa que se convertirá en la ubicación predeterminada para los objetos de usuario y grupo recién creados creados por las API de nivel inferior:
c:\windows\system32\redirusr container-dn
Redirusr se instala en la
%SystemRoot%\System32
carpeta en equipos basados en Windows Server 2003 o versiones más recientes. Por ejemplo, para cambiar la ubicación predeterminada de los usuarios que se crean con API de nivel inferior, como Net User, al contenedor ou=myusers delCONTOSO.COM
dominio, use la sintaxis siguiente:c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com
Nota:
Cuando se ejecuta Redirusr.exe para redirigir el contenedor CN=Users a una unidad organizativa especificada por un administrador, el contenedor CN=Users ya no será un objeto protegido. Esto significa que el contenedor Users ahora se puede mover, eliminar o cambiar de nombre. Si usa ADSIEDIT para ver atributos en el contenedor CN=Users, verá que el atributo systemflags se ha cambiado de -1946157056 a 0. Esto es así por motivos de diseño.
Para eliminar el contenedor, debe trasladar los usuarios y grupos predeterminados a otras unidades organizativas y contenedores, así como las cuentas de usuario de confianza. Estas cuentas de confianza se pueden mostrar y mover mediante herramientas como LDIFDE y LDP. Se recomienda mantener el contenedor sin cambios y las cuentas predeterminadas en su lugar para mantener la coherencia.
Redirigir CN=Equipos a una unidad organizativa especificada por el administrador
Inicie sesión con credenciales de administrador de dominio en el dominio donde se redirige el contenedor CN=computers.
Realice la transición del dominio al dominio de Windows Server 2003 en el complemento Usuarios y equipos de Active Directory (Dsa.msc) o en el complemento Dominios y confianzas (Dominios.msc). Para obtener más información sobre cómo aumentar el nivel funcional del dominio, vea Cómo aumentar los niveles funcionales de dominio y bosque.
Cree el contenedor de unidad organizativa donde quiera que se encuentren los equipos creados con API de versión anterior, si el contenedor de unidad organizativa deseado no existe.
Ejecute Redircmp.exe en un símbolo del sistema mediante la sintaxis siguiente. En el comando , container-dn es el nombre distintivo de la unidad organizativa que se convertirá en la ubicación predeterminada para los objetos de equipo recién creados creados creados por las API de nivel inferior:
redircmp container-dn
Redircmp.exe se instala en la
%Systemroot%\System32
carpeta de Windows Server 2003 o versiones posteriores. Para cambiar la ubicación predeterminada de un equipo creado con API de versión anterior, como Net Computer, al contenedor OU=MyComputers del dominio CONTOSO.COM, use la sintaxis siguiente:C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com
Nota:
Cuando se ejecuta Redircmp.exe para redirigir el contenedor CN=Computers a una unidad organizativa especificada por un administrador, el contenedor CN=Computers ya no será un objeto protegido. Esto significa que el contenedor Equipos ahora se puede mover, eliminar o cambiar de nombre. Si usa ADSIEDIT para ver atributos en el contenedor CN=Computers, verá que el atributo systemflags se ha cambiado de -1946157056 a 0. Esto es así por motivos de diseño.
Descripción de los mensajes de error
Estos son los mensajes de error que se producen en algunos casos.
Mensajes de error que recibe si el PDC está sin conexión
Redircmp y Redirusr cambian el atributo wellKnownObjects en el controlador de dominio principal (PDC). Si el PDC del dominio que se está cambiando está sin conexión o es inaccesible, recibirá los siguientes mensajes de error.
Mensaje de error 1:
C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com
Error, no se pudo encontrar el controlador de dominio principal para el dominio actual: el dominio especificado no existe o no se pudo establecer contacto con él. El redireccionamiento NO se realizó correctamente.
Mensaje de error 2:
C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc
Error, no se pudo encontrar el controlador de dominio principal para el dominio actual: el dominio especificado no existe o no se pudo establecer contacto con él. El redireccionamiento NO se realizó correctamente.
Mensajes de error que recibe si el nivel funcional del dominio no es Windows Server 2003
Intenta redirigir los usuarios o la unidad organizativa del equipo en un dominio que no ha pasado al nivel funcional del dominio de Windows Server 2003. En esta situación, recibirá los siguientes mensajes de error:
Mensaje de error 1:
C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com
Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional de dominio del dominio es al menos Windows Server 2003: Redireccionamiento no dispuesto a realizar no se realizó correctamente.
Mensaje de error 2:
C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com
Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional del dominio es al menos Windows Server 2003: No está dispuesto a realizar
Mensajes de error que recibe si inicia sesión sin los permisos necesarios
Si intenta redirigir a los usuarios o la unidad organizativa del equipo mediante credenciales incorrectas en el dominio de destino, puede recibir los siguientes mensajes de error:
Mensaje de error 1
C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com
Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional del dominio es al menos Windows Server 2003: No se redireccionamiento de derechos insuficientes no se realizó correctamente.
Mensaje de error 2:
C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com
Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional del dominio es al menos Windows Server 2003: No se redireccionamiento de derechos insuficientes no se realizó correctamente.
Mensajes de error que recibe si redirige a una unidad organizativa que no existe
Intenta redirigir los usuarios o la unidad organizativa del equipo a una unidad organizativa que no existe. En esta situación, puede recibir los siguientes mensajes de error:
Mensaje de error 1:
C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com
Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional del dominio es al menos Windows Server 2003: No se redireccionamiento de objetos de este tipo NO se realizó correctamente.
Mensaje de error 2:
C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com
Error, no se puede modificar el atributo wellKnownObjects. Compruebe que el nivel funcional del dominio es al menos Windows Server 2003: No se redireccionamiento de objetos de este tipo NO se realizó correctamente.
Mensajes de error que recibe en el programa de instalación de Exchange Server 2000 /domainprep cuando se redirige CN=Users
Si Exchange Server 2000 y Exchange Server 2003 setup /domainprep
no se han realizado correctamente, recibirá el siguiente mensaje de error:
Error al instalar permisos de nivel de dominio de subcomponente con código de error 0x80072030) (consulte los registros de instalación para obtener una descripción detallada). Puede cancelar la instalación o volver a intentar el paso con errores. (Reintentar o cancelar)
Los siguientes datos aparecen en el registro de instalación de Exchange Server 2000 que se analiza con el analizador de registros. Exchange Server 2003 debe ser similar.
[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed