次の方法で共有

Active Directory ドメイン内のユーザーとコンピューターのコンテナーをリダイレクトする

  • [アーティクル]

redirusr と redircmp を使用して、以前のバージョンの API によって作成されたユーザー、コンピューター、およびグループ アカウントをリダイレクトできます。 そのため、管理者が指定した組織単位 (OU) コンテナーに配置されます。

元の KB 番号: 324949

まとめ

Active Directory ドメインの既定のインストールでは、ユーザー、コンピューター、およびグループ アカウントは、より望ましい OU クラス コンテナーではなく、CN=objectclass コンテナーに配置されます。 同様に、以前のバージョンの API を使用して作成されたアカウントは、CN=Users コンテナーと CN=computers コンテナーに格納されます。

重要

一部のアプリケーションでは、CN=Users や CN=Computers などの既定のコンテナーに特定のセキュリティ プリンシパルを配置する必要があります。 CN=users コンテナーと CN=computes コンテナーからアプリケーションを移動する前に、アプリケーションにこのような依存関係があることを確認します。

詳細

以前のバージョンの API によって作成されたユーザー、コンピューター、およびグループは、WellKnownObjects 属性で指定された DN パスにオブジェクトを配置します。 WellKnownObjects 属性は、ドメイン NC ヘッドにあります。 次のコード例は、CONTOSO.COM ドメイン NC ヘッドからの WellKnownObjects 属性の関連するパスを示しています。

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

たとえば、次の操作では、WellKnownObjects 属性で定義されているパスに依存する以前のバージョンの API を使用します。

  • ドメイン参加 UI
  • NET COMPUTER
  • NET GROUP
  • NET USER
  • コマンドが指定されていないか、サポートされていない NETDOM ADD

ユーザー、コンピューター、セキュリティ グループの既定のコンテナーを OU にするのは、次のようないくつかの理由で役立ちます。

  • グループ ポリシーは OU コンテナーに適用できますが、セキュリティ プリンシパルが既定で配置される CN クラス コンテナーには適用できません。

  • ベスト プラクティスは、組織構造、地理的レイアウト、または管理モデルを反映する OU 階層にセキュリティ プリンシパルを配置することです。

CN=Users フォルダーと CN=Computers フォルダーをリダイレクトする場合は、次の問題に注意してください。

  • ターゲット ドメインは、Windows Server 2003 ドメインの機能レベル以上で実行するように構成する必要があります。 Windows Server 2003 ドメインの機能レベルでは、次のことを意味します。

    • Windows Server 2003 ADPREP /FORESTPREP 以降
    • Windows Server 2003 ADPREP /DOMAINPREP 以降
    • ターゲット ドメイン内のすべてのドメイン コントローラーは、Windows Server 2003 以降を実行する必要があります。
    • Windows Server 2003 ドメインの機能レベル以上を有効にする必要があります。

  • CN=USERS および CN=COMPUTERS とは異なり、OU コンテナーは、管理者を含む特権ユーザー アカウントによって誤って削除される可能性があります。

    CN=USERS および CN=COMPUTERS コンテナーはシステムで保護されたオブジェクトであり、下位互換性のために削除することはできませんが、削除する必要はありません。 ただし、名前は変更できます。 組織単位は、管理者が誤ってツリーを削除する可能性があります。

    Windows Server 2008 以降のバージョンのActive Directory ユーザーとコンピューター スナップインには、誤って削除されないように保護オブジェクトが用意されています新しい OU コンテナーを作成するときに選択できるチェック ボックス。 既存の OU コンテナーの Properties ダイアログ ボックスの Object タブで選択することもできます。

  • CN=USERS のリダイレクトは、新しいユーザー、グループ、信頼ユーザー アカウントの既定の場所に影響します。 信頼するユーザー アカウントは、ほとんどの UI 管理ツールでは非表示になっていますが、LDIFDE や LDL などのツールで表示および移動できます。 アカウントの CN は <downlevel ドメイン名>$ です (例: "contoso$")。

  • Exchange Server Active Directory の準備エラーが発生した場合は、最新の累積的な更新プログラムとセキュリティ更新プログラムを実行していることを確認してください。

CN=Users を管理者が指定した OU にリダイレクトする

  1. CN=Users コンテナーがリダイレクトされているドメインで、ドメイン管理者の資格情報を使用してログオンします。

  2. Active Directory ユーザーとコンピューター スナップイン (Dsa.msc) または Domains and Trusts (Domains.msc) スナップインで、ドメインを Windows Server 2003 ドメインの機能レベル以降に移行します。 ドメインの機能レベルを上げる方法の詳細については、「 ドメインとフォレストの機能レベルを上げる方法を参照してください。

  3. 以前のバージョンの API を使用して作成されたユーザーとグループを配置する OU コンテナーを作成します (目的の OU コンテナーが存在しない場合)。

  4. 次の構文を使用して、コマンド プロンプトで Redirusr.exe を実行します。 このコマンドでは、 container-dn は OU の識別名であり、下位レベルの API によって作成された新しく作成されたユーザー オブジェクトとグループ オブジェクトの既定の場所になります。

    c:\windows\system32\redirusr container-dn

    Redirusr は、Windows Server 2003 ベースまたはそれ以降のコンピューターの %SystemRoot%\System32 フォルダーにインストールされます。 たとえば、Net User などの下位レベルの API を使用して作成されたユーザーの既定の場所を、 CONTOSO.COM ドメインの OU=MYUsers OU コンテナーに変更するには、次の構文を使用します。

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    Note

    CN=Users コンテナーを管理者が指定した OU にリダイレクトするために Redirusr.exe を実行すると、CN=Users コンテナーは保護オブジェクトではなくなります。 つまり、Users コンテナーを移動、削除、または名前変更できるようになりました。 ADSIEDIT を使用して CN=Users コンテナーの属性を表示すると、systemflags 属性が -1946157056 から 0 に変更されたことがわかります。 これは仕様です。

    コンテナーを削除するには、既定のユーザーとグループを他の OU とコンテナー、および信頼ユーザー アカウントに移動する必要があります。 これらの信頼アカウントは、LDIFDE や LDI などのツールを使用して表示および移動できます。 一貫性を保つために、コンテナーは変更せず、既定のアカウントをそのまま使用することをお勧めします。

CN=コンピューターを管理者が指定した OU にリダイレクトする

  1. CN=computers コンテナーがリダイレクトされているドメインで、ドメイン管理者の資格情報を使用してログオンします。

  2. Active Directory ユーザーとコンピューター スナップイン (Dsa.msc) または Domains and Trusts (Domains.msc) スナップインで、ドメインを Windows Server 2003 ドメインに移行します。 ドメインの機能レベルを上げる方法の詳細については、「 ドメインとフォレストの機能レベルを上げる方法を参照してください。

  3. 目的の OU コンテナーが存在しない場合は、以前のバージョンの API で作成されたコンピューターを配置する OU コンテナーを作成します。

  4. 次の構文を使用して、コマンド プロンプトで Redircmp.exe を実行します。 このコマンドでは、 container-dn は、下位レベルの API によって作成される新しく作成されたコンピューター オブジェクトの既定の場所となる OU の識別名です。

    redircmp container-dn

    Redircmp.exe は、Windows Server 2003 以降のバージョンの %Systemroot%\System32 フォルダーにインストールされます。 Net Computer などの以前のバージョンの API で作成されたコンピューターの既定の場所を、CONTOSO.COM ドメインの OU=MyComputers コンテナーに変更するには、次の構文を使用します。

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    Note

    CN=Computers コンテナーを管理者が指定した OU にリダイレクトするために Redircmp.exe を実行すると、CN=Computers コンテナーは保護されたオブジェクトではなくなります。 つまり、Computers コンテナーを移動、削除、または名前変更できるようになりました。 ADSIEDIT を使用して CN=Computers コンテナーの属性を表示すると、systemflags 属性が -1946157056 から 0 に変更されたことがわかります。 これは仕様です。

エラー メッセージの説明

場合によっては発生するエラー メッセージを次に示します。

PDC がオフラインの場合に表示されるエラー メッセージ

Redircmp と Redirusr は、プライマリ ドメイン コントローラー (PDC) の wellKnownObjects 属性を変更します。 変更されているドメインの PDC がオフラインまたはアクセスできない場合は、次のエラー メッセージが表示されます。

  • エラー メッセージ 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    エラー。現在のドメインのプライマリ ドメイン コントローラーが見つかりませんでした:指定されたドメインが存在しないか、接続できませんでした。 リダイレクトが成功しなかった。

  • エラー メッセージ 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    エラー。現在のドメインのプライマリ ドメイン コントローラーが見つかりませんでした:指定されたドメインが存在しないか、接続できませんでした。 リダイレクトが成功しなかった。

ドメインの機能レベルが Windows Server 2003 でない場合に表示されるエラー メッセージ

Windows Server 2003 ドメインの機能レベルに移行していないドメイン内のユーザーまたはコンピューター OU をリダイレクトしようとするとします。 このような場合は、次のエラー メッセージが表示されます。

  • エラー メッセージ 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが少なくとも Windows Server 2003: リダイレクトの実行を望まないが成功しなかったことを確認します。

  • エラー メッセージ 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが Windows Server 2003: 実行を望まない以上であることを確認する

必要なアクセス許可なしでログオンした場合に表示されるエラー メッセージ

ターゲット ドメインで正しくない資格情報を使用してユーザーまたはコンピューター OU をリダイレクトしようとすると、次のエラー メッセージが表示されることがあります。

  • エラー メッセージ 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが Windows Server 2003: 権限の不十分なリダイレクトが成功しなかったことを確認します。

  • エラー メッセージ 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが Windows Server 2003: 権限の不十分なリダイレクトが成功しなかったことを確認します。

存在しない OU にリダイレクトした場合に表示されるエラー メッセージ

ユーザーまたはコンピューター OU を、存在しない OU にリダイレクトしようとします。 このような場合は、次のエラー メッセージが表示されることがあります。

  • エラー メッセージ 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認します。そのようなオブジェクト リダイレクトが成功していません。

  • エラー メッセージ 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    エラー。wellKnownObjects 属性を変更できません。 ドメインのドメイン機能レベルが少なくとも Windows Server 2003 であることを確認します。そのようなオブジェクト リダイレクトが成功していません。

CN=Users がリダイレクトされたときに Exchange Server 2000 セットアップ /domainprep で表示されるエラー メッセージ

Exchange Server 2000 および Exchange Server 2003 setup /domainprep が失敗した場合は、次のエラー メッセージが表示されます。

エラー コード 0x80072030を使用してサブコンポーネントのドメイン レベルのアクセス許可をインストール中にセットアップに失敗しました (詳細な説明については、インストール ログを参照してください)。 インストールを取り消すか、失敗した手順をもう一度試すことができます。 (再試行/キャンセル)

次のデータは、ログ パーサーで解析された Exchange Server 2000 セットアップ ログに表示されます。 Exchange Server 2003 も同様である必要があります。

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed