Condividi tramite

Reindirizzare gli utenti e i contenitori di computer nei domini di Active Directory

  • Articolo

È possibile usare redirusr e redircmp per reindirizzare gli account utente, computer e gruppo creati dalle API della versione precedente. Vengono quindi inseriti in contenitori di unità organizzativa (OU) specificati dall'amministratore.

Numero KB originale: 324949

Riepilogo

In un'installazione predefinita di un dominio Di Active Directory, un utente, un computer e gli account di gruppo vengono inseriti in contenitori CN=objectclass anziché in un contenitore di classi ou più auspicabile. Analogamente, gli account creati usando le API della versione precedente vengono inseriti nei contenitori CN=Users e CN=computers.

Importante

Alcune applicazioni richiedono che entità di sicurezza specifiche si trovino in contenitori predefiniti, ad esempio CN=Users o CN=Computers. Verificare che le applicazioni abbiano tali dipendenze prima di spostarle dai contenitori CN=users e CN=computes.

Ulteriori informazioni

Gli utenti, i computer e i gruppi creati dalle API della versione precedente posizionano gli oggetti nel percorso DN specificato nell'attributo WellKnownObjects. L'attributo WellKnownObjects si trova nell'intestazione del controller di rete del dominio. L'esempio di codice seguente illustra i percorsi pertinenti nell'attributo WellKnownObjects dall'intestazione nc di dominio CONTOSO.COM.

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

Ad esempio, le operazioni seguenti usano API di versione precedente, che si basano sui percorsi definiti nell'attributo WellKnownObjects:

  • Interfaccia utente aggiunta a un dominio
  • NET COMPUTER
  • NET GROUP
  • NET USER
  • NETDOM ADD, dove il /ou comando non è specificato o supportato

È utile rendere il contenitore predefinito per utenti, computer e gruppi di sicurezza un'unità organizzativa per diversi motivi, tra cui:

  • I criteri di gruppo possono essere applicati ai contenitori di unità organizzative, ma non nei contenitori di classi CN, in cui le entità di sicurezza vengono inserite per impostazione predefinita.

  • La procedura consigliata consiste nel disporre le entità di sicurezza in una gerarchia organizzativa che rispecchia la struttura organizzativa, il layout geografico o il modello di amministrazione.

Se si reindirizzano le cartelle CN=Users e CN=Computers, tenere presente i problemi seguenti:

  • Il dominio di destinazione deve essere configurato per l'esecuzione nel livello di funzionalità del dominio di Windows Server 2003 o superiore. Per il livello di funzionalità del dominio di Windows Server 2003, significa che:

    • Windows Server 2003 ADPREP /FORESTPREP o versione successiva
    • Windows Server 2003 ADPREP /DOMAINPREP o versione successiva
    • Tutti i controller di dominio nel dominio di destinazione devono eseguire Windows Server 2003 o versione successiva.
    • È necessario abilitare il livello di funzionalità del dominio di Windows Server 2003 o superiore.

  • A differenza di CN=USERS e CN=COMPUTERS, i contenitori di unità organizzative sono soggetti a eliminazioni accidentali da account utente con privilegi, inclusi gli amministratori.

    CN=USERS e CN=COMPUTERS i contenitori sono oggetti protetti dal sistema che non possono e non devono essere rimossi per garantire la compatibilità con le versioni precedenti. Ma possono essere rinominati. Le unità organizzative sono soggette a eliminazioni accidentali degli alberi da parte degli amministratori.

    Windows Server 2008 e versioni più recenti della funzionalità snap-in Utenti e computer di Active Directory casella di controllo Proteggi oggetto da eliminazioni accidentali che è possibile selezionare quando si crea un nuovo contenitore di unità organizzative. È anche possibile selezionarlo nella scheda Oggetto della finestra di dialogo Proprietà per un contenitore di unità organizzative esistente.

  • Il reindirizzamento CN=USERS influisce sulla posizione predefinita per i nuovi utenti, gruppi e account utente attendibili. Gli account utente attendibili sono nascosti nella maggior parte degli strumenti di amministrazione dell'interfaccia utente, ma è possibile visualizzarli e spostarli in strumenti come LDIFDE e LDP. Il nome> di dominio dell'account è <di livello inferiore$, ad esempio "contoso$".

  • Se si verificano errori di preparazione di Exchange Server Active Directory, assicurarsi di eseguire l'aggiornamento cumulativo e l'aggiornamento della sicurezza più recenti.

Reindirizzare CN=Users a un'unità organizzativa specificata dall'amministratore

  1. Accedere con le credenziali di amministratore di dominio nel dominio in cui viene reindirizzato il contenitore CN=Users.

  2. Eseguire la transizione del dominio al livello di funzionalità di dominio di Windows Server 2003 o versione successiva nello snap-in Utenti e computer di Active Directory (Dsa.msc) o nello snap-in Domini e trust (Domains.msc). Per altre informazioni sull'aumento del livello di funzionalità del dominio, vedere Come aumentare i livelli di funzionalità del dominio e della foresta.

  3. Creare il contenitore dell'unità organizzativa in cui si desidera che gli utenti e i gruppi creati con LE API della versione precedente si trovino, se il contenitore dell'unità organizzativa desiderato non esiste.

  4. Eseguire Redirusr.exe al prompt dei comandi usando la sintassi seguente. Nel comando container-dn è il nome distinto dell'unità organizzativa che diventerà il percorso predefinito per gli oggetti utente e gruppo appena creati dalle API di livello inferiore:

    c:\windows\system32\redirusr container-dn

    Redirusr viene installato nella %SystemRoot%\System32 cartella nei computer basati su Windows Server 2003 o versioni successive. Ad esempio, per modificare il percorso predefinito per gli utenti creati con API di livello inferiore, ad esempio Net User al contenitore OU=MYUsers OU nel CONTOSO.COM dominio, usare la sintassi seguente:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Note

    Quando Redirusr.exe viene eseguito per reindirizzare il contenitore CN=Users a un'unità organizzativa specificata da un amministratore, il contenitore CN=Users non sarà più un oggetto protetto. Ciò significa che il contenitore Users può ora essere spostato, eliminato o rinominato. Se si usa ADSIEDIT per visualizzare gli attributi nel contenitore CN=Users, si noterà che l'attributo systemflags è stato modificato da -1946157056 a 0. Questo si verifica per motivi strutturali.

    Per eliminare il contenitore, è necessario spostare gli utenti e i gruppi predefiniti in altre unità organizzative e contenitori e anche gli account utente attendibili. Questi account di attendibilità possono essere visualizzati e spostati usando strumenti come LDIFDE e LDP. Per coerenza, è consigliabile mantenere invariato il contenitore e gli account predefiniti.

Reindirizzare CN=Computers a un'unità organizzativa specificata dall'amministratore

  1. Accedere con le credenziali di amministratore di dominio nel dominio in cui viene reindirizzato il contenitore CN=computers.

  2. Eseguire la transizione del dominio al dominio di Windows Server 2003 nello snap-in Utenti e computer di Active Directory (Dsa.msc) o nello snap-in Domini e trust (Domains.msc). Per altre informazioni sull'aumento del livello di funzionalità del dominio, vedere Come aumentare i livelli di funzionalità del dominio e della foresta.

  3. Creare il contenitore dell'unità organizzativa in cui si desidera che i computer creati con LE API della versione precedente si trovino, se il contenitore dell'unità organizzativa desiderato non esiste.

  4. Eseguire Redircmp.exe al prompt dei comandi usando la sintassi seguente. Nel comando container-dn è il nome distinto dell'unità organizzativa che diventerà il percorso predefinito per gli oggetti computer appena creati dalle API di livello inferiore:

    redircmp container-dn

    Redircmp.exe viene installato nella %Systemroot%\System32 cartella in Windows Server 2003 o versioni successive. Per modificare il percorso predefinito per un computer creato con API di versione precedente, ad esempio Net Computer, nel contenitore OU=MyComputers nel dominio CONTOSO.COM, usare la sintassi seguente:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Note

    Quando Redircmp.exe viene eseguito per reindirizzare il contenitore CN=Computers a un'unità organizzativa specificata da un amministratore, il contenitore CN=Computers non sarà più un oggetto protetto. Ciò significa che il contenitore Computers può ora essere spostato, eliminato o rinominato. Se si usa ADSIEDIT per visualizzare gli attributi nel contenitore CN=Computers, si noterà che l'attributo systemflags è stato modificato da -1946157056 a 0. Questo si verifica per motivi strutturali.

Descrizione dei messaggi di errore

Ecco i messaggi di errore che si verificano in alcuni casi.

Messaggi di errore ricevuti se il PDC è offline

Redircmp e Redirusr modificano l'attributo wellKnownObjects nel controller di dominio primario (PDC). Se il PDC del dominio da modificare è offline o inaccessibile, vengono visualizzati i messaggi di errore seguenti.

  • Messaggio di errore 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    Errore. Impossibile individuare il controller di dominio primario per il dominio corrente: il dominio specificato non esiste o non è stato contattato. Il reindirizzamento non è riuscito.

  • Messaggio di errore 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    Errore. Impossibile individuare il controller di dominio primario per il dominio corrente: il dominio specificato non esiste o non è stato contattato. Il reindirizzamento non è riuscito.

Messaggi di errore ricevuti se il livello di funzionalità del dominio non è Windows Server 2003

Si tenta di reindirizzare gli utenti o l'unità organizzativa del computer in un dominio che non ha eseguito la transizione al livello di funzionalità del dominio di Windows Server 2003. In questo caso, vengono visualizzati i messaggi di errore seguenti:

  • Messaggio di errore 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Errore, non è possibile modificare l'attributo wellKnownObjects. Verificare che il livello funzionale di dominio del dominio sia almeno Windows Server 2003: Non è stato possibile eseguire il reindirizzamento.

  • Messaggio di errore 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    Errore, non è possibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio del dominio sia almeno Windows Server 2003: non disposto a eseguire

Messaggi di errore ricevuti se si accede senza le autorizzazioni necessarie

Se si tenta di reindirizzare gli utenti o l'unità organizzativa del computer usando credenziali non corrette nel dominio di destinazione, è possibile che vengano visualizzati i messaggi di errore seguenti:

  • Messaggio di errore 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    Errore, non è possibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Reindirizzamento diritti insufficienti non è riuscito.

  • Messaggio di errore 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    Errore, non è possibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio sia almeno Windows Server 2003: Reindirizzamento diritti insufficienti non è riuscito.

Messaggi di errore ricevuti se si esegue il reindirizzamento a un'unità organizzativa che non esiste

Si tenta di reindirizzare gli utenti o l'unità organizzativa del computer a un'unità organizzativa che non esiste. In questo caso, è possibile che vengano visualizzati i messaggi di errore seguenti:

  • Messaggio di errore 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    Errore, non è possibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio del dominio sia almeno Windows Server 2003: nessun reindirizzamento di oggetti di questo tipo non è riuscito.

  • Messaggio di errore 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    Errore, non è possibile modificare l'attributo wellKnownObjects. Verificare che il livello di funzionalità del dominio del dominio sia almeno Windows Server 2003: nessun reindirizzamento di oggetti di questo tipo non è riuscito.

Messaggi di errore ricevuti nel programma di installazione di Exchange Server 2000 /domainprep quando CN=Users viene reindirizzato

Se Exchange Server 2000 ed Exchange Server 2003 setup /domainprep hanno esito negativo, viene visualizzato il messaggio di errore seguente:

Installazione non riuscita durante l'installazione delle autorizzazioni a livello di dominio a livello di dominio con codice di errore 0x80072030) (consultare i log di installazione per una descrizione dettagliata). È possibile annullare l'installazione o ritentare il passaggio non riuscito. (Riprova/Annulla)

I dati seguenti vengono visualizzati nel log di installazione di Exchange Server 2000 analizzato con il parser di log. Exchange Server 2003 dovrebbe essere simile.

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed