De gebruikers- en computercontainers in Active Directory-domeinen omleiden

  • Artikel

U kunt redirusr en redircmp gebruiken om gebruikers-, computer- en groepsaccounts om te leiden die zijn gemaakt door eerdere API's. Ze worden dus in door de beheerder opgegeven organisatie-eenheidcontainers (OE) geplaatst.

Van toepassing op: Windows Server 2016, Windows Server 2012 R2
Origineel KB-nummer: 324949

Samenvatting

In een standaardinstallatie van een Active Directory-domein worden gebruikers-, computer- en groepsaccounts in CN=objectclass-containers geplaatst in plaats van een gewenste OE-klassecontainer. Op dezelfde manier worden de accounts die zijn gemaakt met behulp van eerdere API's, in de containers CN=Users en CN=computers geplaatst.

Belangrijk

Voor sommige toepassingen moeten specifieke beveiligingsprincipals zich in standaardcontainers bevinden, zoals CN=Users of CN=Computers. Controleer of uw toepassingen dergelijke afhankelijkheden hebben voordat u ze uit de containers CN=users en CN=computes verplaatst.

Meer informatie

Gebruikers, computers en groepen die zijn gemaakt door eerdere API's, plaatsen objecten in het DN-pad dat is opgegeven in het kenmerk WellKnownObjects. Het kenmerk WellKnownObjects bevindt zich in de nc-hoofd van het domein. In het volgende codevoorbeeld ziet u de relevante paden in het kenmerk WellKnownObjects van de CONTOSO.COM domein NC-kop.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

De volgende bewerkingen maken bijvoorbeeld gebruik van eerdere API's, die afhankelijk zijn van de paden die zijn gedefinieerd in het kenmerk WellKnownObjects:

  • Gebruikersinterface voor domeindeelname
  • NET COMPUTER
  • NET GROUP
  • NETGEBRUIKER
  • NETDOM ADD, waarbij de /ou opdracht niet is opgegeven of wordt ondersteund

Het is om verschillende redenen handig om van de standaardcontainer voor gebruikers-, computer- en beveiligingsgroepen een organisatie-eenheid te maken, waaronder:

  • Groepsbeleid kan worden toegepast op OE-containers, maar niet op CN-klassecontainers, waarbij beveiligingsprincipals standaard worden geplaatst.

  • De beste procedure is om beveiligingsprincipals te rangschikken in een OE-hiërarchie die uw organisatiestructuur, geografische indeling of beheermodel weerspiegelt.

Als u de mappen CN=Users en CN=Computers omleidt, moet u rekening houden met de volgende problemen:

  • Het doeldomein moet worden geconfigureerd om te worden uitgevoerd op het functionele niveau van het Windows Server 2003-domein of hoger. Voor het functionele niveau van het Windows Server 2003-domein betekent dit het volgende:

    • Windows Server 2003 ADPREP /FORESTPREP of hoger
    • Windows Server 2003 ADPREP /DOMAINPREP of hoger
    • Op alle domeincontrollers in het doeldomein moet Windows Server 2003 of hoger worden uitgevoerd.
    • Het functionaliteitsniveau van het Windows Server 2003-domein of hoger moet zijn ingeschakeld.

  • In tegenstelling tot CN=USERS en CN=COMPUTERS worden OE-containers per ongeluk verwijderd door bevoegde gebruikersaccounts, inclusief beheerders.

    CN=USERS en CN=COMPUTERS-containers zijn door het systeem beveiligde objecten die niet kunnen en mogen worden verwijderd voor compatibiliteit met eerdere versies. Maar ze kunnen wel worden gewijzigd. Organisatie-eenheden zijn onderhevig aan onbedoelde verwijderingen van structuur door beheerders.

    Windows Server 2008 en nieuwere versies van de module Active Directory: gebruikers en computers een selectievakje Object beveiligen tegen onbedoeld verwijderen dat u kunt selecteren wanneer u een nieuwe OE-container maakt. U kunt deze ook selecteren op het tabblad Object van het dialoogvenster Eigenschappen voor een bestaande OE-container.

  • CN=USERS omleiden heeft invloed op de standaardlocatie voor nieuwe gebruikers, groepen en vertrouwde gebruikersaccounts. Gebruikersaccounts vertrouwen zijn verborgen in de meeste ui-beheerhulpprogramma's, maar u kunt ze weergeven en verplaatsen in hulpprogramma's zoals LDIFDE en LDP. De CN van het account is <downlevel domeinnaam>$, bijvoorbeeld 'contoso$'.

  • Als u Exchange Server active directory-voorbereidingsfouten ondervindt, controleert u of u de meest recente cumulatieve update en beveiligingsupdate uitvoert.

CN=Gebruikers omleiden naar een door de beheerder opgegeven OE

  1. Meld u aan met de referenties van de domeinbeheerder in het domein waar de container CN=Users wordt omgeleid.

  2. Schakel het domein over naar het functionele niveau van het Windows Server 2003-domein of hoger in de module Active Directory: gebruikers en computers (Dsa.msc) of de module Domeinen en vertrouwensrelaties (Domains.msc). Zie Domein- en forestfunctionaliteitsniveaus verhogen voor meer informatie over het verhogen van het functionele domeinniveau.

  3. Maak de OE-container waarin u wilt dat gebruikers en groepen die zijn gemaakt met eerdere api's, zich bevinden als de gewenste OE-container niet bestaat.

  4. Voer Redirusr.exe uit bij de opdrachtprompt met behulp van de volgende syntaxis. In de opdracht is container-dn de DN-naam van de OE die de standaardlocatie wordt voor zojuist gemaakte gebruikers- en groepsobjecten die zijn gemaakt door down-level API's:

    c:\windows\system32\redirusr container-dn

    Redirusr wordt geïnstalleerd in de %SystemRoot%\System32 map op Windows Server 2003-computers of nieuwere computers. Als u bijvoorbeeld de standaardlocatie wilt wijzigen voor gebruikers die zijn gemaakt met api's op lager niveau, zoals Net User, in de OE-container OU=MYUsers in het CONTOSO.COM domein, gebruikt u de volgende syntaxis:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Opmerking

    Wanneer Redirusr.exe wordt uitgevoerd om de container CN=Users om te leiden naar een organisatie-eenheid die is opgegeven door een beheerder, is de container CN=Users geen beveiligd object meer. Dit betekent dat de container Gebruikers nu kan worden verplaatst, verwijderd of hernoemd. Als u ADSIEDIT gebruikt om kenmerken in de container CN=Users weer te geven, ziet u dat het kenmerk systemflags is gewijzigd van -1946157056 in 0. Dit is inherent aan het ontwerp van het product.

    Als u de container wilt verwijderen, moet u de standaardgebruikers en groepen verplaatsen naar andere organisatie-eenheden en containers, en ook naar de vertrouwde gebruikersaccounts. Deze vertrouwensaccounts kunnen worden weergegeven en verplaatst met behulp van hulpprogramma's zoals LDIFDE en LDP. We raden u aan de container ongewijzigd te laten en de standaardaccounts op hun plaats te houden voor consistentie.

CN=Computers omleiden naar een door de beheerder opgegeven OE

  1. Meld u aan met de referenties van de domeinbeheerder in het domein waar de container CN=computers wordt omgeleid.

  2. Het domein overzetten naar het Windows Server 2003-domein in de module Active Directory: gebruikers en computers (Dsa.msc) of in de module Domeinen en vertrouwensrelaties (Domains.msc). Zie Domein- en forestfunctionaliteitsniveaus verhogen voor meer informatie over het verhogen van het functionele domeinniveau.

  3. Maak de OE-container waar u wilt dat computers die zijn gemaakt met eerdere api's, worden opgeslagen, als de gewenste OE-container niet bestaat.

  4. Voer Redircmp.exe uit bij een opdrachtprompt met behulp van de volgende syntaxis. In de opdracht is container-dn de DN-naam van de OE die de standaardlocatie wordt voor zojuist gemaakte computerobjecten die worden gemaakt door API's op lager niveau:

    redircmp container-dn

    Redircmp.exe wordt geïnstalleerd in de %Systemroot%\System32 map in Windows Server 2003 of latere versies. Als u de standaardlocatie wilt wijzigen voor een computer die is gemaakt met eerdere API's, zoals Net Computer, in de container OU=MyComputers in het domein CONTOSO.COM, gebruikt u de volgende syntaxis:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Opmerking

    Wanneer Redircmp.exe wordt uitgevoerd om de container CN=Computers om te leiden naar een organisatie-eenheid die is opgegeven door een beheerder, is de container CN=Computers geen beveiligd object meer. Dit betekent dat de container Computers nu kan worden verplaatst, verwijderd of hernoemd. Als u ADSIEDIT gebruikt om kenmerken in de container CN=Computers weer te geven, ziet u dat het kenmerk systemflags is gewijzigd van -1946157056 in 0. Dit is inherent aan het ontwerp van het product.

Beschrijving van foutberichten

Hier volgen foutberichten die in sommige gevallen voorkomen.

Foutberichten die u ontvangt als de PDC offline is

Redircmp en Redirusr wijzigen het kenmerk wellKnownObjects op de primaire domeincontroller (PDC). Als de PDC van het domein dat wordt gewijzigd offline of niet toegankelijk is, ontvangt u de volgende foutberichten.

  • Foutbericht 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Fout, kan de primaire domeincontroller voor het huidige domein niet vinden: het opgegeven domein bestaat niet of kan geen contact maken. Omleiding is NIET geslaagd.

  • Foutbericht 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Fout, kan de primaire domeincontroller voor het huidige domein niet vinden: het opgegeven domein bestaat niet of kan geen contact maken. Omleiding is NIET geslaagd.

Foutberichten die u ontvangt als het functionele domeinniveau niet Windows Server 2003 is

U probeert de gebruikers- of computer-OE om te leiden in een domein dat niet is overgezet naar het functionele niveau van het Windows Server 2003-domein. In deze situatie ontvangt u de volgende foutberichten:

  • Foutbericht 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fout: kan het kenmerk wellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Niet bereid om omleiding uit te voeren is NIET geslaagd.

  • Foutbericht 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Fout: kan het kenmerk wellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Niet bereid om uit te voeren

Foutberichten die u ontvangt als u zich aanmeldt zonder de vereiste machtigingen

Als u probeert de gebruikers- of computer-OE om te leiden met behulp van onjuiste referenties in het doeldomein, ontvangt u mogelijk de volgende foutberichten:

  • Foutbericht 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Fout: kan het kenmerk wellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Onvoldoende rechtenomleiding is NIET geslaagd.

  • Foutbericht 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fout: kan het kenmerk wellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Onvoldoende rechtenomleiding is NIET geslaagd.

Foutberichten die u ontvangt als u omleidt naar een organisatie-eenheid die niet bestaat

U probeert de gebruikers- of computer-OE om te leiden naar een organisatie-eenheid die niet bestaat. In dit geval ontvangt u mogelijk de volgende foutberichten:

  • Foutbericht 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Fout: kan het kenmerk wellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Geen dergelijke objectomleiding is MISLUKT.

  • Foutbericht 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Fout: kan het kenmerk wellKnownObjects niet wijzigen. Controleer of het functionele domeinniveau van het domein ten minste Windows Server 2003 is: Geen dergelijke objectomleiding is MISLUKT.

Foutberichten die u ontvangt in Exchange Server 2000 setup /domainprep wanneer CN=Users wordt omgeleid

Als Exchange Server 2000 en Exchange Server 2003 setup /domainprep niet lukt, wordt het volgende foutbericht weergegeven:

De installatie is mislukt tijdens het installeren van subonderdeelmachtigingen op domeinniveau met foutcode 0x80072030) (raadpleeg de installatielogboeken voor een gedetailleerde beschrijving). U kunt de installatie annuleren of de mislukte stap opnieuw proberen. (Opnieuw proberen/annuleren)

De volgende gegevens worden weergegeven in het installatielogboek van Exchange Server 2000 dat is geparseerd met logboekparser. Exchange Server 2003 moet vergelijkbaar zijn.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed