Compartilhar via

Redirecionar os contentores de utilizadores e computadores nos domínios do Active Directory

  • Artigo

Pode utilizar redirusr e redircmp para redirecionar contas de utilizador, computador e grupo criadas por APIs de versão anterior. Por isso, são colocados em contentores de unidade organizacional (UO) especificados pelo administrador.

Número original da BDC: 324949

Resumo

Numa instalação predefinida de um domínio do Active Directory, as contas de utilizador, computador e grupo são colocadas em contentores CN=objectclass em vez de um contentor de classe UO mais desejável. Da mesma forma, as contas que foram criadas através de APIs de versão anterior são colocadas nos contentores CN=Utilizadores e CN=computadores.

Importante

Algumas aplicações requerem que os principais de segurança específicos estejam localizados em contentores predefinidos, como CN=Utilizadores ou CN=Computadores. Verifique se as aplicações têm essas dependências antes de as mover para fora dos contentores CN=users e CN=computes.

Mais informações

Os utilizadores, computadores e grupos criados por APIs de versão anterior colocam objetos no caminho do DN especificado no atributo WellKnownObjects. O atributo WellKnownObjects está localizado no cabeçalho NC do domínio. O exemplo de código seguinte mostra os caminhos relevantes no atributo WellKnownObjects do cabeçalho NC do domínio CONTOSO.COM.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Por exemplo, as seguintes operações utilizam APIs de versão anterior, que dependem dos caminhos definidos no atributo WellKnownObjects:

  • IU de Associação a Um Domínio
  • COMPUTADOR NET
  • GRUPO NET
  • UTILIZADOR NET
  • NETDOM ADD, em que o /ou comando não é especificado ou suportado

É útil tornar o contentor predefinido para os grupos de utilizadores, computadores e segurança numa UO por vários motivos, incluindo:

  • As políticas de grupo podem ser aplicadas em contentores de UO, mas não em contentores de classe CN, onde os principais de segurança são colocados por predefinição.

  • A melhor prática é dispor principais de segurança numa hierarquia de UO que espelha a estrutura organizacional, o esquema geográfico ou o modelo de administração.

Se estiver a redirecionar as pastas CN=Utilizadores e CN=Computadores, tenha em atenção os seguintes problemas:

  • O domínio de destino tem de ser configurado para ser executado no nível funcional do domínio do Windows Server 2003 ou superior. Para o nível funcional do domínio do Windows Server 2003, significa que:

    • Windows Server 2003 ADPREP /FORESTPREP ou mais recente
    • Windows Server 2003 ADPREP /DOMAINPREP ou mais recente
    • Todos os controladores de domínio no domínio de destino têm de executar o Windows Server 2003 ou mais recente.
    • O nível funcional de domínio do Windows Server 2003 ou superior tem de estar ativado.

  • Ao contrário de CN=UTILIZADORES e CN=COMPUTADORES, os contentores de UO estão sujeitos a eliminações acidentais por contas de utilizador com privilégios, incluindo administradores.

    OS contentores CN=USERS e CN=COMPUTERS são objetos protegidos pelo sistema que não podem, nem não devem, ser removidos para retrocompatibilidade. No entanto, podem mudar-lhes o nome. As unidades organizacionais estão sujeitas a eliminações acidentais de árvore por parte dos administradores.

    Windows Server 2008 e versões mais recentes da funcionalidade de snap-in Utilizadores e Computadores do Active Directory uma caixa de verificação Proteger objeto contra eliminação acidental que pode selecionar quando cria um novo contentor de UO. Também pode selecioná-lo no separador Objeto da caixa de diálogo Propriedades de um contentor de UO existente.

  • Redirecionar CN=UTILIZADORES afeta a localização predefinida para novos utilizadores, grupos e contas de utilizador fidedignas. As contas de utilizador fidedignas estão ocultas na maioria das ferramentas de administração da IU, mas pode mostrá-las e movê-las em ferramentas como LDIFDE e LDP. O CN da conta é <nome de domínio> de nível inferior$, por exemplo, "contoso$".

  • Se ocorrerem falhas de preparação do Exchange Server Active Directory, certifique-se de que está a executar a atualização cumulativa e a atualização de segurança mais recentes.

Redirecionar CN=Utilizadores para uma UO especificada pelo administrador

  1. Inicie sessão com credenciais de administrador de domínio no domínio onde o contentor CN=Utilizadores está a ser redirecionado.

  2. Faça a transição do domínio para o nível funcional do domínio do Windows Server 2003 ou mais recente no snap-in Utilizadores e Computadores do Active Directory (Dsa.msc) ou no snap-in Domínios e Fidedignidades (Domains.msc). Para obter mais informações sobre como aumentar o nível funcional do domínio, veja Como elevar os níveis funcionais de domínio e floresta.

  3. Crie o contentor de UO onde pretende que os utilizadores e grupos criados com APIs de versão anterior estejam localizados, se o contentor de UO que pretende não existir.

  4. Execute Redirusr.exe na linha de comandos com a seguinte sintaxe. No comando, container-dn é o nome único da UO que se tornará a localização predefinida para objetos de utilizador e grupo criados recentemente criados por APIs de nível inferior:

    c:\windows\system32\redirusr container-dn

    O Redirusr está instalado na pasta em %SystemRoot%\System32 computadores baseados no Windows Server 2003 ou mais recentes. Por exemplo, para alterar a localização predefinida para os utilizadores que são criados com APIs de nível inferior, como o Net User para o contentor UO=MYUsers UO no CONTOSO.COM domínio, utilize a seguinte sintaxe:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Observação

    Quando Redirusr.exe é executado para redirecionar o contentor CN=Utilizadores para uma UO especificada por um administrador, o contentor CN=Utilizadores deixará de ser um objeto protegido. Isto significa que o contentor Utilizadores pode agora ser movido, eliminado ou renomeado. Se utilizar ADSIEDIT para ver atributos no contentor CN=Utilizadores, verá que o atributo systemflags foi alterado de -1946157056 para 0. Este é o comportamento padrão do produto.

    Para eliminar o contentor, tem de mover os utilizadores e grupos predefinidos para outras UOs e contentores, bem como as contas de utilizador fidedignas. Estas contas fidedignas podem ser apresentadas e movidas com ferramentas como LDIFDE e LDP. Recomendamos que mantenha o contentor inalterado e as contas predefinidas implementadas para consistência.

Redirecionar CN=Computadores para uma UO especificada pelo administrador

  1. Inicie sessão com as credenciais de Administrador de Domínio no domínio onde o contentor CN=computers está a ser redirecionado.

  2. Transite o domínio para o domínio do Windows Server 2003 no snap-in Utilizadores e Computadores do Active Directory (Dsa.msc) ou no snap-in Domínios e Fidedignidades (Domains.msc). Para obter mais informações sobre como aumentar o nível funcional do domínio, veja Como elevar os níveis funcionais de domínio e floresta.

  3. Crie o contentor de UO onde pretende que os computadores criados com APIs de versão anterior estejam localizados, se o contentor de UO pretendido não existir.

  4. Execute Redircmp.exe numa linha de comandos com a seguinte sintaxe. No comando, container-dn é o nome único da UO que se tornará a localização predefinida para objetos de computador criados recentemente que são criados por APIs de nível inferior:

    redircmp container-dn

    Redircmp.exe está instalado na %Systemroot%\System32 pasta no Windows Server 2003 ou versões posteriores. Para alterar a localização predefinida de um computador criado com APIs de versão anterior, como o Computador Net, para o contentor UO=MyComputers no domínio CONTOSO.COM, utilize a seguinte sintaxe:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Observação

    Quando Redircmp.exe é executado para redirecionar o contentor CN=Computers para uma UO especificada por um administrador, o contentor CN=Computers deixará de ser um objeto protegido. Isto significa que o contentor Computadores pode agora ser movido, eliminado ou renomeado. Se utilizar ADSIEDIT para ver atributos no contentor CN=Computers, verá que o atributo systemflags foi alterado de -1946157056 para 0. Este é o comportamento padrão do produto.

Descrição das mensagens de erro

Seguem-se mensagens de erro que ocorrem em alguns casos.

Mensagens de erro que recebe se o PDC estiver offline

Redircmp e Redirusr alteram o atributo wellKnownObjects no controlador de domínio primário (PDC). Se o PDC do domínio que está a ser alterado estiver offline ou inacessível, receberá as seguintes mensagens de erro.

  • Mensagem de erro 1:

    C:>redirusr U=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Erro: não foi possível localizar o Controlador de Domínio Primário para o domínio atual: o domínio especificado não existe ou não foi possível contactá-lo. O redirecionamento NÃO foi bem-sucedido.

  • Mensagem de erro 2:

    C:>redircmp U=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Erro: não foi possível localizar o Controlador de Domínio Primário para o domínio atual: o domínio especificado não existe ou não foi possível contactá-lo. O redirecionamento NÃO foi bem-sucedido.

Mensagens de erro que recebe se o nível funcional do domínio não for o Windows Server 2003

Tenta redirecionar os utilizadores ou a UO do computador num domínio que não tenha transitado para o nível funcional do domínio do Windows Server 2003. Nesta situação, recebe as seguintes mensagens de erro:

  • Mensagem de erro 1:

    C:>redirusr UO=usersou,DC=contoso,dc=comDC=company,DC=com

    Erro: não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é, pelo menos, o Windows Server 2003: Não Está Disposto a Executar o Redirecionamento NÃO foi bem-sucedido.

  • Mensagem de erro 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Erro: não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é, pelo menos, o Windows Server 2003: Não Está Disposto a Executar

Mensagens de erro que recebe se iniciar sessão sem as permissões necessárias

Se tentar redirecionar os utilizadores ou a UO do computador com credenciais incorretas no domínio de destino, poderá receber as seguintes mensagens de erro:

  • Mensagem de erro 1

    C:>redircmp UO=computersou,DC=contoso,dc=comDC=company,DC=com

    Erro: não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é, pelo menos, o Windows Server 2003: O Redirecionamento de Direitos Insuficiente NÃO foi bem-sucedido.

  • Mensagem de erro 2:

    C:>redirusr UO=usersou,DC=contoso,dc=comDC=company,DC=com

    Erro: não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é, pelo menos, o Windows Server 2003: O Redirecionamento de Direitos Insuficiente NÃO foi bem-sucedido.

Mensagens de erro que recebe se redirecionar para uma UO que não existe

Tenta redirecionar os utilizadores ou a UO do computador para uma UO que não existe. Nesta situação, poderá receber as seguintes mensagens de erro:

  • Mensagem de erro 1:

    C:>redircmp U=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Erro: não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é, pelo menos, o Windows Server 2003: Nenhum Redirecionamento de Objetos deste tipo NÃO foi bem-sucedido.

  • Mensagem de erro 2:

    C:>redirusr UO=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Erro: não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é, pelo menos, o Windows Server 2003: Nenhum Redirecionamento de Objetos deste tipo NÃO foi bem-sucedido.

Mensagens de erro que recebe na configuração /domainprep do Exchange Server 2000 quando CN=Utilizadores são redirecionados

Se o Exchange Server 2000 e o Exchange Server 2003 setup /domainprep não forem bem-sucedidos, receberá a seguinte mensagem de erro:

A configuração falhou durante a instalação de permissões ao nível do domínio subcontente com o código de erro 0x80072030) (consulte os registos de instalação para obter uma descrição detalhada). Pode cancelar a instalação ou tentar o passo com falha novamente. (Repetir/Cancelar)

Os seguintes dados são apresentados no registo de Configuração do Exchange Server 2000 que é analisado com o analisador de registos. O Exchange Server 2003 deve ser semelhante.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed