共用方式為

重新導向 Active Directory 網域中的用戶和計算機容器

  • 發行項

您可以使用 redirusr 和 redircmp 來重新導向舊版 API 所建立的使用者、計算機和組帳戶。 因此,它們會放在系統管理員指定的組織單位 (OU) 容器中。

原始 KB 編號: 324949

摘要

在 Active Directory 網域的預設安裝中,使用者、計算機和組帳戶會放在 CN=objectclass 容器中,而不是更理想的 OU 類別容器。 同樣地,使用舊版 API 建立的帳戶會放在 CN=Users 和 CN=computers 容器中。

重要

某些應用程式需要特定的安全性主體位於預設容器中,例如 CN=Users 或 CN=Computers。 在您將應用程式移出 CN=users 和 CN=computes 容器之前,請先確認您的應用程式具有這類相依性。

其他相關資訊

舊版 API 所建立的使用者、計算機和群組會將物件放在 WellKnownObjects 屬性中指定的 DN 路徑中。 WellKnownObjects 屬性位於網域 NC 前端中。 下列程式代碼範例顯示來自 CONTOSO.COM 網域 NC 前端之 WellKnownObjects 屬性中的相關路徑。

Dn: DC=CONTOSO,DC=COM

wellKnownObjects (11):
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;
B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM;
B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM;
B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM;
B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM;
B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM;
B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM;
B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM;
B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM;
B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM;

例如,下列作業使用舊版 API,其依賴 WellKnownObjects 屬性中定義的路徑:

  • 加入網域 UI
  • NET 電腦
  • NET GROUP
  • NET USER
  • NETDOM ADD,其中 /ou 未指定或支援命令

基於數個原因,將使用者、計算機和安全組的預設容器設為 OU 會很有説明,包括:

  • 組策略可以在 OU 容器上套用,但不適用於 CN 類別容器,其中預設會放置安全性主體。

  • 最佳做法是將安全性主體排列為 OU 階層,以鏡像您的組織結構、地理配置或系統管理模型。

如果您要重新導向 CN=Users 和 CN=Computers 資料夾,請注意下列問題:

  • 目標網域必須設定為在 Windows Server 2003 網域功能等級或更高版本中執行。 針對 Windows Server 2003 網域功能等級,這表示:

    • Windows Server 2003 ADPREP /FORESTPREP 或更新版本
    • Windows Server 2003 ADPREP /DOMAINPREP 或更新版本
    • 目標網域中的所有域控制器都必須執行 Windows Server 2003 或更新版本。
    • 必須啟用 Windows Server 2003 網域功能等級或更高版本。

  • 不同於 CN=USERS 和 CN=COMPUTERS,OU 容器受限於特殊許可權用戶帳戶意外刪除,包括系統管理員。

    CN=USERS 和 CN=COMPUTERS 容器是系統保護的物件,無法且不得移除,以提供回溯相容性。 但是可以重新命名它們。 組織單位受限於系統管理員意外刪除樹狀目錄。

    Windows Server 2008 和更新版本的 Active Directory 使用者和電腦 嵌入式管理單元功能[防止意外刪除] 複選框,您可以在建立新的 OU 容器時選取。 您也可以在現有 OU 容器的 [屬性] 對話框的 [物件] 索引標籤上選取它。

  • 重新導向 CN=USERS 會影響新使用者、群組和信任用戶帳戶的預設位置。 信任使用者帳戶會隱藏在大部分的UI管理工具中,但您可以在LDIFDE和LDP等工具中顯示和移動它們。 帳戶的 CN 是 <下層功能變數名稱>$,例如 “contoso$”。

  • 如果您遇到 Exchange Server Active Directory 準備失敗,請確定您正在執行最新的累積更新和安全性更新。

將 CN=Users 重新導向至系統管理員指定的 OU

  1. 使用 CN=Users 容器重新導向之網域中的網域系統管理員認證登入。

  2. 在 Active Directory 使用者和電腦 嵌入式管理單元 (Dsa.msc) 或 Domains and Trusts (Domains.msc) 嵌入式管理單元中,將網域轉換為 Windows Server 2003 網域功能等級或更新版本。 如需增加網域功能等級的詳細資訊,請參閱 如何提高網域和樹系功能等級

  3. 如果您想要使用舊版 API 建立的使用者和群組,如果想要的 OU 容器不存在,請建立 OU 容器。

  4. 使用下列語法,在命令提示字元中執行Redirusr.exe。 在命令中, container-dn 是 OU 的辨別名稱,將成為新建立使用者和由下層 API 建立之群組對象的預設位置:

    c:\windows\system32\redirusr container-dn

    Redirusr 會安裝在 %SystemRoot%\System32 Windows Server 2003 或更新版本電腦上的資料夾中。 例如,若要將使用下層 API 建立的用戶的預設位置變更為網域中的 CONTOSO.COM OU=MYUsers OU 容器,請使用下列語法:

    c:\windows\system32>redirusr ou=myusers,DC=contoso,dc=com

    注意

    執行 Redirusr.exe 將 CN=Users 容器重新導向至系統管理員指定的 OU 時,CN=Users 容器將不再是受保護的物件。 這表示使用者容器現在可以移動、刪除或重新命名。 如果您使用 ADSIEDIT 來檢視 CN=Users 容器上的屬性,您會看到 systemflags 屬性已從 -1946157056 變更為 0。 這是原廠設定。

    若要刪除容器,您必須將默認使用者和群組移轉至其他 OU 和容器,以及信任用戶帳戶。 這些信任帳戶可以使用 LDIFDE 和 LDP 等工具來顯示和移動。 我們建議將容器維持不變,並保留默認帳戶以保持一致性。

將 CN=電腦重新導向至系統管理員指定的 OU

  1. 在 CN=computers 容器重新導向的網域中,以網域系統管理員認證登入。

  2. 在 Active Directory 使用者和電腦 嵌入式管理單元 (Dsa.msc) 或網域和信任 (Domains.msc) 嵌入式管理單元中,將網域轉換為 Windows Server 2003 網域。 如需增加網域功能等級的詳細資訊,請參閱 如何提高網域和樹系功能等級

  3. 如果所需的 OU 容器不存在,請建立您想要使用舊版 API 建立的電腦所在的 OU 容器。

  4. 使用下列語法,在命令提示字元中執行 Redircmp.exe 。 在命令中, container-dn 是 OU 的辨別名稱,將成為下層 API 所建立之新建立之計算機對象的預設位置:

    redircmp container-dn

    Redircmp.exe安裝在 %Systemroot%\System32 Windows Server 2003 或更新版本的資料夾中。 若要將使用舊版 API 所建立之計算機的預設位置變更為 CONTOSO.COM 網域中的 OU=MyComputers 容器,請使用下列語法:

    C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

    注意

    執行 Redircmp.exe 將 CN=Computers 容器重新導向至系統管理員指定的 OU 時,CN=Computers 容器將不再是受保護的物件。 這表示計算機容器現在可以移動、刪除或重新命名。 如果您使用 ADSIEDIT 來檢視 CN=Computers 容器上的屬性,您會看到 systemflags 屬性已從 -1946157056 變更為 0。 這是原廠設定。

錯誤訊息的描述

以下是在某些情況下發生的錯誤訊息。

如果 PDC 離線,您收到的錯誤訊息

Redircmp 和 Redirusr 會變更主要域控制器 (PDC) 上的 wellKnownObjects 屬性。 如果變更之網域的 PDC 已離線或無法存取,您會收到下列錯誤訊息。

  • 錯誤訊息 1:

    C:>redirusr OU=userOU,DC=udc,dc=jkcertcontoso,dc=loc com

    錯誤,找不到目前網域的主要域控制器:指定的網域不存在或無法連絡。 重新導向未成功。

  • 錯誤訊息 2:

    C:>redircmp OU=computerOU,DC=contoso,dc=com DC=udc,dc=jkcert,dc=loc

    錯誤,找不到目前網域的主要域控制器:指定的網域不存在或無法連絡。 重新導向未成功。

如果網域功能等級不是 Windows Server 2003,您收到的錯誤訊息

您嘗試將網域中的使用者或計算機 OU 重新導向尚未轉換為 Windows Server 2003 網域功能等級。 在這裡情況下,您會收到下列錯誤訊息:

  • 錯誤訊息 1:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    錯誤,無法修改 wellKnownObjects 屬性。 確認網域的網域功能等級至少為 Windows Server 2003:不願意執行重新導向未成功。

  • 錯誤訊息 2:

    C:>redircmp ou=computersou,DC=contoso,dc=comdc=company,dc=com

    錯誤,無法修改 wellKnownObjects 屬性。 確認網域的網域功能等級至少為 Windows Server 2003:不願意執行

如果您在沒有必要許可權的情況下登入,就會收到錯誤訊息

如果您嘗試使用目標網域中的不正確認證來重新導向使用者或電腦 OU,您可能會收到下列錯誤訊息:

  • 錯誤訊息 1

    C:>redircmp OU=computersou,DC=contoso,dc=comDC=company,DC=com

    錯誤,無法修改 wellKnownObjects 屬性。 確認網域的網域功能等級至少為 Windows Server 2003:許可權重新導向不足未成功。

  • 錯誤訊息 2:

    C:>redirusr OU=usersou,DC=contoso,dc=comDC=company,DC=com

    錯誤,無法修改 wellKnownObjects 屬性。 確認網域的網域功能等級至少為 Windows Server 2003:許可權重新導向不足未成功。

如果您重新導向至不存在的 OU,您收到的錯誤訊息

您嘗試將使用者或電腦 OU 重新導向至不存在的 OU。 在這裡情況下,您可能會收到下列錯誤訊息:

  • 錯誤訊息 1:

    C:>redircmp OU=nonexistantou,DC=contoso,dc=com dc=rendom,dc=com

    錯誤,無法修改 wellKnownObjects 屬性。 確認網域的網域功能等級至少為 Windows Server 2003:沒有這類物件重新導向未成功。

  • 錯誤訊息 2:

    C:>redirusr OU=nonexistantou,DC=contoso,dc=com DC=company,DC=com

    錯誤,無法修改 wellKnownObjects 屬性。 確認網域的網域功能等級至少為 Windows Server 2003:沒有這類物件重新導向未成功。

當 CN=Users 重新導向時,您在 Exchange Server 2000 安裝程式 /domainprep 中收到的錯誤訊息

如果 Exchange Server 2000 和 Exchange Server 2003 setup /domainprep 失敗,您會收到下列錯誤訊息:

安裝子元件網域層級許可權時安裝失敗,錯誤碼0x80072030)(如需詳細描述,請參閱安裝記錄檔)。 您可以取消安裝,或再次嘗試失敗的步驟。 (重試/取消)

下列數據會出現在以記錄剖析器剖析的 Exchange Server 2000 安裝程式記錄檔中。 Exchange Server 2003 應該類似。

[HH:MM:SS] Completed DomainPrep of Microsoft Exchange 2000 component
[HH:MM:SS] ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CAtomPermissions::ScAddDSObjects (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] mode = 'DomainPrep' (61966) CBaseAtom::ScSetup (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup encountered an error during Microsoft Exchange Domain Preparation of DomainPrep component task. CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CBaseComponent::ScSetup (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CCompDomainPrep::ScSetup (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) Error code 0X80072030 (8240): There is no such object on the server.
[HH:MM:SS] Setup completed