Dela via

Omdirigera användare och datorer i Active Directory-domäner

  • Artikel

Du kan använda redirusr och redircmp för att omdirigera användar-, dator- och gruppkonton som skapas av TIDIGARE API:er. De placeras därför i administratörsspecifika organisationsenhetscontainrar (OU).

Ursprungligt KB-nummer: 324949

Sammanfattning

I en standardinstallation av en Active Directory-domän placeras användar-, dator- och gruppkonton i CN=objectclass-containrar i stället för en mer önskvärd OU-klasscontainer. På samma sätt placeras de konton som skapades med hjälp av API:er i tidigare versioner i containrarna CN=Users och CN=computers.

Viktigt

Vissa program kräver att specifika säkerhetsobjekt finns i standardcontainrar som CN=Users eller CN=Computers. Kontrollera att dina program har sådana beroenden innan du flyttar dem från containrarna CN=users och CN=computes.

Mer information

Användare, datorer och grupper som skapats av API:er i tidigare version placerar objekt i DN-sökvägen som anges i attributet WellKnownObjects. Attributet WellKnownObjects finns i domänens NC-huvud. I följande kodexempel visas relevanta sökvägar i attributet WellKnownObjects från CONTOSO.COM domänens NC-huvud.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Följande åtgärder använder till exempel API:er i tidigare version, som förlitar sig på sökvägarna som definieras i attributet WellKnownObjects:

  • Användargränssnitt för domänanslutning
  • NET-DATOR
  • NET GROUP
  • NET-ANVÄNDARE
  • NETDOM ADD, där /ou kommandot antingen inte har angetts eller stöds

Det är bra att göra standardcontainern för användar-, dator- och säkerhetsgrupper till en organisationsenhet av flera orsaker, bland annat:

  • Grupprinciper kan tillämpas på OU-containrar men inte på CN-klasscontainrar, där säkerhetsobjekt anges som standard.

  • Det bästa sättet är att ordna säkerhetsobjekt i en organisationsenhetshierarki som speglar din organisationsstruktur, geografiska layout eller administrationsmodell.

Om du omdirigerar mapparna CN=Users och CN=Computers bör du vara medveten om följande problem:

  • Måldomänen måste konfigureras för att köras på windows Server 2003-domänens funktionsnivå eller högre. För windows Server 2003-domänens funktionsnivå innebär det att:

    • Windows Server 2003 ADPREP /FORESTPREP eller senare
    • Windows Server 2003 ADPREP /DOMAINPREP eller senare
    • Alla domänkontrollanter i måldomänen måste köra Windows Server 2003 eller senare.
    • Windows Server 2003-domänens funktionsnivå eller högre måste vara aktiverad.

  • Till skillnad från CN=USERS och CN=COMPUTERS, omfattas OU-containrar av oavsiktliga borttagningar av privilegierade användarkonton, inklusive administratörer.

    CN=USERS och CN=COMPUTERS-containrar är systemskyddade objekt som inte kan och får inte tas bort för bakåtkompatibilitet. Men de kan byta namn. Organisationsenheter är föremål för oavsiktliga trädborttagningar av administratörer.

    Windows Server 2008 och nyare versioner av snapin-modulen Active Directory-användare och datorer har en kryssruta för att skydda objekt mot oavsiktlig borttagning som du kan markera när du skapar en ny OU-container. Du kan också välja den på fliken Objekt i dialogrutan Egenskaper för en befintlig OU-container.

  • Omdirigering av CN=USERS påverkar standardplatsen för nya användare, grupper och betrodda användarkonton. Betrodda användarkonton är dolda i de flesta administrationsverktyg för användargränssnittet, men du kan visa och flytta dem i verktyg som LDIFDE och LDP. Cn för kontot är <downlevel domain name>$, till exempel "contoso$".

  • Om du får problem med att förbereda Exchange Server Active Directory kontrollerar du att du kör den senaste kumulativa uppdateringen och säkerhetsuppdateringen.

Omdirigera CN=Users till en administratörsdepecificerad organisationsenhet

  1. Logga in med domänadministratörsautentiseringsuppgifter i domänen där containern CN=Users omdirigeras.

  2. Flytta domänen till windows Server 2003-domänens funktionsnivå eller senare i snapin-modulen Active Directory-användare och -datorer (Dsa.msc) eller snapin-modulen Domäner och förtroenden (Domains.msc). Mer information om hur du ökar domänfunktionsnivån finns i Så här höjer du domän- och skogsfunktionsnivåer.

  3. Skapa OU-containern där du vill att användare och grupper som skapas med TIDIGARE API:er ska finnas, om den OU-container som du vill ha inte finns.

  4. Kör Redirusr.exe i kommandotolken med hjälp av följande syntax. I kommandot är container-dn det unika namnet på organisationsenheten som blir standardplatsen för nyligen skapade användar- och gruppobjekt som skapats av API:er på nednivå:

    c:\windows\system32\redirusr container-dn

    Redirusr installeras i %SystemRoot%\System32 mappen på Windows Server 2003-baserade eller nyare datorer. Om du till exempel vill ändra standardplatsen för användare som skapas med lågnivå-API:er, till exempel Net User till OU=MYUsers OU-containern i domänen CONTOSO.COM , använder du följande syntax:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Obs!

    När Redirusr.exe körs för att omdirigera containern CN=Users till en organisationsenhet som angetts av en administratör är containern CN=Users inte längre ett skyddat objekt. Det innebär att containern Användare nu kan flyttas, tas bort eller byta namn. Om du använder ADSIEDIT för att visa attribut i containern CN=Users ser du att attributet systemflags har ändrats från -1946157056 till 0. Detta är avsiktligt.

    Om du vill ta bort containern måste du flytta ut standardanvändarna och grupperna till andra organisationsenheter och containrar och även användarkonton med förtroende. Dessa förtroendekonton kan visas och flyttas med hjälp av verktyg som LDIFDE och LDP. Vi rekommenderar att du håller containern oförändrad och att standardkontona är på plats för konsekvens.

Omdirigera CN=Computers till en administratörsdepecificerad organisationsenhet

  1. Logga in med autentiseringsuppgifter för domänadministratör i domänen där containern CN=computers omdirigeras.

  2. Övergå domänen till Windows Server 2003-domänen i snapin-modulen Active Directory -användare och datorer (Dsa.msc) eller i snapin-modulen Domäner och förtroenden (Domains.msc). Mer information om hur du ökar domänfunktionsnivån finns i Så här höjer du domän- och skogsfunktionsnivåer.

  3. Skapa OU-containern där du vill att datorer som skapas med TIDIGARE API:er ska finnas, om den önskade OU-containern inte finns.

  4. Kör Redircmp.exe i en kommandotolk med hjälp av följande syntax. I kommandot är container-dn det unika namnet på organisationsenheten som blir standardplats för nyligen skapade datorobjekt som skapas av API:er på nednivå:

    redircmp container-dn

    Redircmp.exe installeras i %Systemroot%\System32 mappen i Windows Server 2003 eller senare versioner. Använd följande syntax om du vill ändra standardplatsen för en dator som skapats med tidigare version-API:er, till exempel Net Computer, till containern OU=MyComputers i CONTOSO.COM-domänen:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Obs!

    När Redircmp.exe körs för att omdirigera containern CN=Computers till en organisationsenhet som angetts av en administratör är containern CN=Computers inte längre ett skyddat objekt. Det innebär att containern Datorer nu kan flyttas, tas bort eller byta namn. Om du använder ADSIEDIT för att visa attribut i containern CN=Computers ser du att attributet systemflags har ändrats från -1946157056 till 0. Detta är avsiktligt.

Beskrivning av felmeddelanden

Här följer felmeddelanden som inträffar i vissa fall.

Felmeddelanden som visas om PDC är offline

Redircmp och Redirusr ändrar attributet wellKnownObjects på den primära domänkontrollanten (PDC). Om PDC för domänen som ändras är offline eller otillgänglig får du följande felmeddelanden.

  • Felmeddelande 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Fel, det gick inte att hitta den primära domänkontrollanten för den aktuella domänen: Den angivna domänen finns inte eller kunde inte kontaktas. Omdirigeringen lyckades INTE.

  • Felmeddelande 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Fel, det gick inte att hitta den primära domänkontrollanten för den aktuella domänen: Den angivna domänen finns inte eller kunde inte kontaktas. Omdirigeringen lyckades INTE.

Felmeddelanden som visas om domänfunktionsnivån inte är Windows Server 2003

Du försöker omdirigera användare eller organisationsenhet i en domän som inte har övergått till windows Server 2003-domänens funktionsnivå. I det här fallet får du följande felmeddelanden:

  • Felmeddelande 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Omdirigeringen inte lyckades lyckades inte.

  • Felmeddelande 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Ovillig att utföra

Felmeddelanden som visas om du loggar in utan nödvändiga behörigheter

Om du försöker omdirigera användare eller organisationsenhet genom att använda felaktiga autentiseringsuppgifter i måldomänen kan följande felmeddelanden visas:

  • Felmeddelande 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Omdirigering av otillräckliga rättigheter lyckades INTE.

  • Felmeddelande 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Omdirigering av otillräckliga rättigheter lyckades INTE.

Felmeddelanden som du får om du omdirigerar till en organisationsenhet som inte finns

Du försöker omdirigera användare eller organisationsenhet till en organisationsenhet som inte finns. I det här fallet kan du få följande felmeddelanden:

  • Felmeddelande 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Ingen sådan objektomdirigering lyckades inte.

  • Felmeddelande 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Fel, det gick inte att ändra attributet wellKnownObjects. Kontrollera att domänens funktionsnivå är minst Windows Server 2003: Ingen sådan objektomdirigering lyckades inte.

Felmeddelanden som visas i Exchange Server 2000 setup /domainprep när CN=Users omdirigeras

Om Exchange Server 2000 och Exchange Server 2003 setup /domainprep misslyckas visas följande felmeddelande:

Installationen misslyckades vid installation av behörigheter på underkomponent på domännivå med felkod 0x80072030) (en detaljerad beskrivning finns i installationsloggarna). Du kan avbryta installationen eller försöka med det misslyckade steget igen. (Försök igen/avbryt)

Följande data visas i installationsloggen för Exchange Server 2000 som parsas med loggparser. Exchange Server 2003 bör vara liknande.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed