Reindirizzare i contenitori di utenti e computer nei domini di Active Directory
È possibile usare redirusr e redircmp per reindirizzare gli account utente, computer e gruppo creati dalle API di versione precedente. Vengono quindi inseriti in contenitori di unità organizzativa (OU) specificati dall'amministratore.
Si applica a: Windows Server 2016, Windows Server 2012 R2
Numero KB originale: 324949
Riepilogo
In un'installazione predefinita di un dominio di Active Directory, gli account utente, computer e gruppo vengono inseriti in contenitori CN=objectclass anziché in un contenitore di classi ou più desiderabile. Analogamente, gli account creati usando le API di versione precedente vengono inseriti nei contenitori CN=Users e CN=computers.
Importante
Alcune applicazioni richiedono che le entità di sicurezza specifiche si trovino in contenitori predefiniti, ad esempio CN=Users o CN=Computers. Verificare che le applicazioni abbiano tali dipendenze prima di spostarle dai contenitori CN=users e CN=computes.
Ulteriori informazioni
Gli utenti, i computer e i gruppi creati dalle API di versione precedente inseriscono gli oggetti nel percorso DN specificato nell'attributo WellKnownObjects. L'attributo WellKnownObjects si trova nell'head nc di dominio. Nell'esempio di codice seguente vengono illustrati i percorsi pertinenti nell'attributo WellKnownObjects dall'head NC del dominio CONTOSO.COM.
Dn: DC=CONTOSO,DC=COM
wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;
Ad esempio, le operazioni seguenti usano API di versione precedente, che si basano sui percorsi definiti nell'attributo WellKnownObjects:
- Interfaccia utente aggiunta dominio
- NET COMPUTER
- GRUPPO NET
- UTENTE NET
- NETDOM ADD, in cui il
/ou
comando non è specificato o supportato
È utile impostare il contenitore predefinito per utenti, computer e gruppi di sicurezza come unità organizzativa per diversi motivi, tra cui:
I criteri di gruppo possono essere applicati ai contenitori delle unità organizzative, ma non ai contenitori di classi CN, in cui le entità di sicurezza vengono inserite per impostazione predefinita.
La procedura consigliata consiste nel disporre le entità di sicurezza in una gerarchia di unità organizzative che rispecchia la struttura organizzativa, il layout geografico o il modello di amministrazione.
Se si reindirizzano le cartelle CN=Users e CN=Computers, tenere presente i problemi seguenti:
Il dominio di destinazione deve essere configurato per l'esecuzione nel livello di funzionalità del dominio di Windows Server 2003 o superiore. Per il livello di funzionalità del dominio Windows Server 2003, significa che:
- Windows Server 2003
ADPREP /FORESTPREP
o versione successiva - Windows Server 2003
ADPREP /DOMAINPREP
o versione successiva - Tutti i controller di dominio nel dominio di destinazione devono eseguire Windows Server 2003 o versione successiva.
- È necessario abilitare il livello di funzionalità del dominio Windows Server 2003 o versione successiva.
- Windows Server 2003
A differenza di CN=USERS e CN=COMPUTERS, i contenitori ou sono soggetti a eliminazioni accidentali da parte di account utente con privilegi, inclusi gli amministratori.
I contenitori CN=USERS e CN=COMPUTERS sono oggetti protetti dal sistema che non possono e non devono essere rimossi per motivi di compatibilità con le versioni precedenti. Ma possono essere rinominati. Le unità organizzative sono soggette a eliminazioni accidentali dell'albero da parte degli amministratori.
Windows Server 2008 e le versioni più recenti dello snap-in Utenti e computer di Active Directory una casella di controllo Proteggi oggetto dall'eliminazione accidentale che è possibile selezionare quando si crea un nuovo contenitore ou. È anche possibile selezionarlo nella scheda Oggetto della finestra di dialogo Proprietà per un contenitore ou esistente.
Il reindirizzamento di CN=USERS influisce sul percorso predefinito per i nuovi utenti, gruppi e account utente attendibili. Gli account utente attendibili sono nascosti nella maggior parte degli strumenti di amministrazione dell'interfaccia utente, ma è possibile visualizzarli e spostarli in strumenti come LDIFDE e LDP. Il cn dell'account è <nome> di dominio di livello inferiore$, ad esempio "contoso$".
Se si verificano errori di preparazione Exchange Server Active Directory, assicurarsi di eseguire l'aggiornamento cumulativo più recente e l'aggiornamento della sicurezza.
Reindirizzare CN=Users a un'unità organizzativa specificata dall'amministratore
Accedere con le credenziali di amministratore di dominio nel dominio in cui viene reindirizzato il contenitore CN=Users.
Eseguire la transizione del dominio al livello di funzionalità del dominio di Windows Server 2003 o più recenti nello snap-in Utenti e computer di Active Directory (Dsa.msc) o nello snap-in Domini e trust (Domains.msc). Per altre informazioni sull'aumento del livello di funzionalità del dominio, vedere Come aumentare i livelli di funzionalità di dominio e foresta.
Creare il contenitore OU in cui si desidera che vengano individuati utenti e gruppi creati con API di versione precedente, se il contenitore OU desiderato non esiste.
Eseguire Redirusr.exe al prompt dei comandi usando la sintassi seguente. Nel comando container-dn è il nome distinto dell'unità organizzativa che diventerà il percorso predefinito per gli oggetti utente e gruppo appena creati creati dalle API di livello inferiore:
c:\windows\system32\redirusr container-dn
Redirusr viene installato nella
%SystemRoot%\System32
cartella in computer windows server 2003 o versioni successive. Ad esempio, per modificare il percorso predefinito per gli utenti creati con API di livello inferiore, ad esempio Utente di rete, nel contenitore OU OU=MYUsers nelCONTOSO.COM
dominio, usare la sintassi seguente:c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com
Nota
Quando si esegueRedirusr.exe per reindirizzare il contenitore CN=Users a un'unità organizzativa specificata da un amministratore, il contenitore CN=Users non sarà più un oggetto protetto. Ciò significa che il contenitore Utenti può ora essere spostato, eliminato o rinominato. Se si usa ADSIEDIT per visualizzare gli attributi nel contenitore CN=Users, si noterà che l'attributo systemflags è stato modificato da -1946157056 a 0. Si tratta di un comportamento legato alla progettazione.
Per eliminare il contenitore, è necessario spostare gli utenti e i gruppi predefiniti in altre unità organizzative e contenitori e anche negli account utente attendibili. Questi account attendibili possono essere visualizzati e spostati usando strumenti come LDIFDE e LDP. È consigliabile mantenere invariato il contenitore e gli account predefiniti per garantire la coerenza.
Reindirizzare CN=Computers a un'unità organizzativa specificata dall'amministratore
Accedere con le credenziali di amministratore di dominio nel dominio in cui viene reindirizzato il contenitore CN=computers.
Eseguire la transizione del dominio al dominio di Windows Server 2003 nello snap-in Utenti e computer di Active Directory (Dsa.msc) o nello snap-in Domini e trust (Domains.msc). Per altre informazioni sull'aumento del livello di funzionalità del dominio, vedere Come aumentare i livelli di funzionalità di dominio e foresta.
Creare il contenitore ou in cui si desidera che i computer creati con API di versione precedente siano posizionati, se il contenitore OU desiderato non esiste.
Eseguire Redircmp.exe al prompt dei comandi usando la sintassi seguente. Nel comando container-dn è il nome distinto dell'unità organizzativa che diventerà il percorso predefinito per gli oggetti computer appena creati creati dalle API di livello inferiore:
redircmp container-dn
Redircmp.exe viene installato nella
%Systemroot%\System32
cartella in Windows Server 2003 o versioni successive. Per modificare il percorso predefinito di un computer creato con API di versione precedente, ad esempio Net Computer, nel contenitore OU=MyComputers nel dominio CONTOSO.COM, usare la sintassi seguente:C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com
Nota
Quando si esegueRedircmp.exe per reindirizzare il contenitore CN=Computers a un'unità organizzativa specificata da un amministratore, il contenitore CN=Computers non sarà più un oggetto protetto. Ciò significa che il contenitore Computer può ora essere spostato, eliminato o rinominato. Se si usa ADSIEDIT per visualizzare gli attributi nel contenitore CN=Computers, si noterà che l'attributo systemflags è stato modificato da -1946157056 a 0. Si tratta di un comportamento legato alla progettazione.
Descrizione dei messaggi di errore
Di seguito sono riportati i messaggi di errore che si verificano in alcuni casi.
Messaggi di errore ricevuti se il controller di dominio primario è offline
Redircmp e Redirusr modificano l'attributo wellKnownObjects nel controller di dominio primario (PDC). Se il controller di dominio primario del dominio modificato è offline o inaccessibile, vengono visualizzati i messaggi di errore seguenti.
Messaggio di errore 1:
C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com
Errore: impossibile individuare il controller di dominio primario per il dominio corrente: il dominio specificato non esiste o non può essere contattato. Il reindirizzamento NON ha avuto esito positivo.
Messaggio di errore 2:
C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc
Errore: impossibile individuare il controller di dominio primario per il dominio corrente: il dominio specificato non esiste o non può essere contattato. Il reindirizzamento NON ha avuto esito positivo.
Messaggi di errore visualizzati se il livello di funzionalità del dominio non è Windows Server 2003
Si tenta di reindirizzare gli utenti o l'unità organizzativa del computer in un dominio che non è stato sottoposto a transizione al livello di funzionalità del dominio di Windows Server 2003. In questo caso, vengono visualizzati i messaggi di errore seguenti:
Messaggio di errore 1:
C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com
Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Non è stato possibile eseguire il reindirizzamento.
Messaggio di errore 2:
C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com
Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Non disposto a eseguire
Messaggi di errore ricevuti se si accede senza le autorizzazioni necessarie
Se si tenta di reindirizzare gli utenti o l'unità organizzativa del computer usando credenziali non corrette nel dominio di destinazione, è possibile che vengano visualizzati i messaggi di errore seguenti:
Messaggio di errore 1
C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com
Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Il reindirizzamento dei diritti insufficiente NON ha avuto esito positivo.
Messaggio di errore 2:
C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com
Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Il reindirizzamento dei diritti insufficiente NON ha avuto esito positivo.
Messaggi di errore ricevuti se si esegue il reindirizzamento a un'unità organizzativa che non esiste
Si tenta di reindirizzare gli utenti o l'unità organizzativa del computer a un'unità organizzativa che non esiste. In questo caso, è possibile che vengano visualizzati i messaggi di errore seguenti:
Messaggio di errore 1:
C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com
Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Nessun reindirizzamento oggetti di questo tipo non ha avuto esito positivo.
Messaggio di errore 2:
C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com
Errore, impossibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Nessun reindirizzamento oggetti di questo tipo non ha avuto esito positivo.
Messaggi di errore visualizzati nel programma di installazione di Exchange Server 2000 /domainprep quando CN=Users viene reindirizzato
Se Exchange Server 2000 e Exchange Server 2003 setup /domainprep
non riesce, viene visualizzato il messaggio di errore seguente:
Installazione non riuscita durante l'installazione delle autorizzazioni a livello di dominio del sottocomponente con codice di errore 0x80072030). Per una descrizione dettagliata, vedere i log di installazione. È possibile annullare l'installazione o provare di nuovo il passaggio non riuscito. (Riprova/Annulla)
I dati seguenti vengono visualizzati nel log di installazione di Exchange Server 2000 analizzato con il parser di log. Exchange Server 2003 dovrebbe essere simile.
[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per