Active Directory 도메인의 사용자 및 컴퓨터 컨테이너 리디렉션
redirusr 및 redircmp를 사용하여 이전 버전 API에서 만든 사용자, 컴퓨터 및 그룹 계정을 리디렉션할 수 있습니다. 따라서 관리자가 지정한 OU(조직 구성 단위) 컨테이너에 배치됩니다.
원본 KB 번호: 324949
요약
Active Directory 도메인의 기본 설치에서 사용자, 컴퓨터 및 그룹 계정은 더 바람직한 OU 클래스 컨테이너 대신 CN=objectclass 컨테이너에 배치됩니다. 마찬가지로 이전 버전의 API를 사용하여 만든 계정은 CN=Users 및 CN=computers 컨테이너에 배치됩니다.
중요
일부 애플리케이션은 CN=Users 또는 CN=Computers와 같은 기본 컨테이너에 특정 보안 주체를 배치해야 합니다. CN=users 및 CN=computes 컨테이너에서 애플리케이션을 이동하기 전에 애플리케이션에 이러한 종속성이 있는지 확인합니다.
추가 정보
이전 버전 API에서 만든 사용자, 컴퓨터 및 그룹은 WellKnownObjects 특성에 지정된 DN 경로에 개체를 배치합니다. WellKnownObjects 특성은 도메인 NC 헤드에 있습니다. 다음 코드 예제에서는 CONTOSO.COM 도메인 NC 헤드의 WellKnownObjects 특성에 있는 관련 경로를 보여 줍니다.
Dn: DC=CONTOSO,DC=COM
wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;
예를 들어 다음 작업은 WellKnownObjects 특성에 정의된 경로를 사용하는 이전 버전의 API를 사용합니다.
- 도메인 가입 UI
- NET 컴퓨터
- NET GROUP
- NET USER
- 명령이
/ou
지정되지 않았거나 지원되는 NETDOM ADD
다음과 같은 여러 가지 이유로 사용자, 컴퓨터 및 보안 그룹의 기본 컨테이너를 OU로 만드는 것이 좋습니다.
그룹 정책은 OU 컨테이너에 적용할 수 있지만 기본적으로 보안 주체가 배치되는 CN 클래스 컨테이너에는 적용할 수 없습니다.
가장 좋은 방법은 보안 주체를 조직 구조, 지리적 레이아웃 또는 관리 모델을 미러링하는 OU 계층 구조로 정렬하는 것입니다.
CN=Users 및 CN=Computers 폴더를 리디렉션하는 경우 다음 문제를 알고 있어야 합니다.
대상 도메인은 Windows Server 2003 도메인 기능 수준 이상에서 실행되도록 구성해야 합니다. Windows Server 2003 도메인 기능 수준의 경우 다음을 의미합니다.
- Windows Server 2003
ADPREP /FORESTPREP
이상 - Windows Server 2003
ADPREP /DOMAINPREP
이상 - 대상 도메인의 모든 도메인 컨트롤러는 Windows Server 2003 이상을 실행해야 합니다.
- Windows Server 2003 도메인 기능 수준 이상을 사용하도록 설정해야 합니다.
- Windows Server 2003
CN=USERS 및 CN=COMPUTERS와 달리 OU 컨테이너는 관리자를 포함한 권한 있는 사용자 계정에 의해 실수로 삭제될 수 있습니다.
CN=USERS 및 CN=COMPUTERS 컨테이너는 이전 버전과의 호환성을 위해 제거할 수 없고 제거해서는 안 되는 시스템 보호 개체입니다. 그러나 이름을 바꿀 수 있습니다. 조직 단위는 관리자가 실수로 트리를 삭제할 수 있습니다.
Windows Server 2008 이상 버전의 Active Directory 사용자 및 컴퓨터 스냅인에는 새 OU 컨테이너를 만들 때 선택할 수 있는 실수로 인한 삭제로부터 개체 보호 확인란이 있습니다. 기존 OU 컨테이너에 대한 속성 대화 상자의 개체 탭에서 선택할 수도 있습니다.
CN=USERS 리디렉션은 새 사용자, 그룹 및 신뢰 사용자 계정의 기본 위치에 영향을 줍니다. 신뢰 사용자 계정은 대부분의 UI 관리 도구에 숨겨져 있지만 LDIFDE 및 LDP와 같은 도구에서 표시하고 이동할 수 있습니다. 계정의 CN은 하위 도메인 이름>$(예: "contoso$")입니다<.
Exchange Server Active Directory 준비 실패가 발생하는 경우 최신 누적 업데이트 및 보안 업데이트를 실행하고 있는지 확인합니다.
CN=사용자를 관리자가 지정한 OU로 리디렉션
CN=Users 컨테이너가 리디렉션되는 도메인에서 도메인 관리자 자격 증명으로 로그온합니다.
Active Directory 사용자 및 컴퓨터 스냅인(Dsa.msc) 또는 도메인 및 트러스트(Domains.msc) 스냅인에서 도메인을 Windows Server 2003 도메인 기능 수준 이상으로 전환합니다. 도메인 기능 수준을 높이는 방법에 대한 자세한 내용은 도메인 및 포리스트 기능 수준을 높이는 방법을 참조하세요.
원하는 OU 컨테이너가 없는 경우 이전 버전 API로 만든 사용자 및 그룹을 배치할 OU 컨테이너를 만듭니다.
다음 구문을 사용하여 명령 프롬프트에서 Redirusr.exe 실행합니다. 명령에서 container-dn 은 하위 수준 API에서 만든 새로 만든 사용자 및 그룹 개체의 기본 위치가 되는 OU의 고유 이름입니다.
c:\windows\system32\redirusr container-dn
Redirusr는 Windows Server 2003 기반 또는 최신 컴퓨터의
%SystemRoot%\System32
폴더에 설치됩니다. 예를 들어 Net User와 같은 하위 수준 API를 사용하여 만든 사용자의 기본 위치를 도메인의 OU=MYUsers OU 컨테이너CONTOSO.COM
로 변경하려면 다음 구문을 사용합니다.c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com
참고
Redirusr.exe 실행하여 CN=Users 컨테이너를 관리자가 지정한 OU로 리디렉션하는 경우 CN=Users 컨테이너는 더 이상 보호된 개체가 아닙니다. 즉, 이제 사용자 컨테이너를 이동, 삭제 또는 이름을 바꿀 수 있습니다. ADSIEDIT를 사용하여 CN=Users 컨테이너의 특성을 보는 경우 systemflags 특성이 -1946157056 에서 0으로 변경된 것을 볼 수 있습니다. 이것은 정상적인 현상입니다.
컨테이너를 삭제하려면 기본 사용자 및 그룹을 다른 OU 및 컨테이너와 트러스트 사용자 계정으로 이동해야 합니다. 이러한 트러스트 계정은 LDIFDE 및 LDP와 같은 도구를 사용하여 표시하고 이동할 수 있습니다. 일관성을 위해 컨테이너와 기본 계정을 그대로 유지하는 것이 좋습니다.
CN=Computers를 관리자가 지정한 OU로 리디렉션
CN=computers 컨테이너가 리디렉션되는 도메인에서 도메인 관리자 자격 증명으로 로그온합니다.
Active Directory 사용자 및 컴퓨터 스냅인(Dsa.msc) 또는 도메인 및 트러스트(Domains.msc) 스냅인에서 Windows Server 2003 도메인으로 도메인을 전환합니다. 도메인 기능 수준을 높이는 방법에 대한 자세한 내용은 도메인 및 포리스트 기능 수준을 높이는 방법을 참조하세요.
원하는 OU 컨테이너가 없는 경우 이전 버전 API로 만든 컴퓨터를 배치할 OU 컨테이너를 만듭니다.
다음 구문을 사용하여 명령 프롬프트에서 Redircmp.exe 실행합니다. 명령에서 container-dn 은 하위 수준 API로 만든 새로 만든 컴퓨터 개체의 기본 위치가 될 OU의 고유 이름입니다.
redircmp container-dn
Redircmp.exe Windows Server 2003 이상 버전의 폴더에 설치
%Systemroot%\System32
됩니다. Net Computer와 같은 이전 버전의 API로 만든 컴퓨터의 기본 위치를 CONTOSO.COM 도메인의 OU=MyComputers 컨테이너로 변경하려면 다음 구문을 사용합니다.C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com
참고
Redircmp.exe 실행하여 CN=Computers 컨테이너를 관리자가 지정한 OU로 리디렉션하는 경우 CN=Computers 컨테이너는 더 이상 보호된 개체가 아닙니다. 즉, 이제 컴퓨터 컨테이너를 이동, 삭제 또는 이름을 바꿀 수 있습니다. ADSIEDIT를 사용하여 CN=Computers 컨테이너에서 특성을 보는 경우 systemflags 특성이 -1946157056 에서 0으로 변경된 것을 볼 수 있습니다. 이것은 정상적인 현상입니다.
오류 메시지에 대한 설명
경우에 따라 발생하는 오류 메시지는 다음과 같습니다.
PDC가 오프라인 상태인 경우 수신하는 오류 메시지
Redircmp 및 Redirusr는 PDC(기본 도메인 컨트롤러)에서 wellKnownObjects 특성을 변경합니다. 변경되는 도메인의 PDC가 오프라인이거나 액세스할 수 없는 경우 다음과 같은 오류 메시지가 표시됩니다.
오류 메시지 1:
C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com
오류가 발생했습니다. 현재 도메인에 대한 기본 도메인 컨트롤러를 찾을 수 없습니다. 지정된 도메인이 없거나 연결할 수 없습니다. 리디렉션에 성공하지 못했습니다.
오류 메시지 2:
C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc
오류가 발생했습니다. 현재 도메인에 대한 기본 도메인 컨트롤러를 찾을 수 없습니다. 지정된 도메인이 없거나 연결할 수 없습니다. 리디렉션에 성공하지 못했습니다.
도메인 기능 수준이 Windows Server 2003이 아닌 경우 수신하는 오류 메시지
Windows Server 2003 도메인 기능 수준으로 전환되지 않은 도메인의 사용자 또는 컴퓨터 OU를 리디렉션하려고 합니다. 이 경우 다음과 같은 오류 메시지가 표시됩니다.
오류 메시지 1:
C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com
wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 적어도 Windows Server 2003: 리디렉션을 수행하지 못했는지 확인합니다.
오류 메시지 2:
C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com
wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 적어도 Windows Server 2003: 수행하지 않음인지 확인합니다.
필요한 권한 없이 로그온하는 경우 수신하는 오류 메시지
대상 도메인에서 잘못된 자격 증명을 사용하여 사용자 또는 컴퓨터 OU를 리디렉션하려고 하면 다음과 같은 오류 메시지가 표시될 수 있습니다.
오류 메시지 1
C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com
wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 적어도 Windows Server 2003: 권한 리디렉션 부족이 성공하지 못했는지 확인합니다.
오류 메시지 2:
C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com
wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 적어도 Windows Server 2003: 권한 리디렉션 부족이 성공하지 못했는지 확인합니다.
존재하지 않는 OU로 리디렉션하는 경우 수신하는 오류 메시지
사용자 또는 컴퓨터 OU를 존재하지 않는 OU로 리디렉션하려고 합니다. 이 경우 다음과 같은 오류 메시지가 표시될 수 있습니다.
오류 메시지 1:
C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com
wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 Windows Server 2003 이상인지 확인합니다. 이러한 개체 리디렉션에 성공하지 못했습니다.
오류 메시지 2:
C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com
wellKnownObjects 특성을 수정할 수 없는 오류가 발생했습니다. 도메인의 도메인 기능 수준이 Windows Server 2003 이상인지 확인합니다. 이러한 개체 리디렉션에 성공하지 못했습니다.
CN=Users가 리디렉션될 때 Exchange Server 2000 설치 /domainprep에서 수신하는 오류 메시지
Exchange Server 2000 및 Exchange Server 2003 setup /domainprep
이 실패하면 다음 오류 메시지가 표시됩니다.
오류 코드 0x80072030 하위 구성 요소 도메인 수준 권한을 설치하는 동안 설치에 실패했습니다(자세한 설명은 설치 로그를 참조하세요). 설치를 취소하거나 실패한 단계를 다시 시도할 수 있습니다. (다시 시도/취소)
다음 데이터는 로그 파서로 구문 분석된 Exchange Server 2000 설치 로그에 표시됩니다. Exchange Server 2003은 유사해야 합니다.
[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed