DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 324949 - Última revisão: quinta-feira, 17 de setembro de 2009 - Revisão: 16.0

 

Nesta página

Sumário

Em uma instalação padrão do Active Directory domínio, contas de usuário, contas de computador e grupos são colocados em CN = recipientes objectclass em vez de que está sendo colocado em um recipiente de classe de unidade organizacional mais desejável. Da mesma forma, contas de usuário, contas de computador e grupos que foram criados usando versões anteriores de APIs são colocados em CN = usuários e CN = computadores recipientes.

Este artigo descreve como usar os utilitários redirusr e redircmp para redirecionar o usuário, computador e contas de grupo que foram criadas por versões anteriores de APIs para que eles são colocados em recipientes de unidade organizacional especificada pelo administrador.

importante Alguns aplicativos requerem objetos de segurança específico a ser localizado em recipientes padrão como CN = usuários ou CN = computadores. Verifique se os aplicativos tem como dependências antes de movê-los fora do CN = usuários e CN = calcula recipientes.

Mais Informações

Os usuários, computadores e grupos que são criados por versões anteriores de APIs colocam objetos em caminho DN que é especificado no atributo WellKnownObjects localizado no domínio NC cabeça. O exemplo de código a seguir mostra os caminhos relevantes no atributo WellKnownObjects do domínio contoso.com cabeça NC.
DN: DC = CONTOSO, DC = COM
wellKnownObjects (11): 
	B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=CONTOSO,DC=COM;	 
	B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=CONTOSO,DC=COM; 
	B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=CONTOSO,DC=COM; 
	B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=CONTOSO,DC=COM; 
	B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=CONTOSO,DC=COM; 
	B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=CONTOSO,DC=COM; 
	B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=CONTOSO,DC=COM; 
	B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=CONTOSO,DC=COM; 
	B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=CONTOSO,DC=COM; 
	B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=CONTOSO,DC=COM;
	B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=GPN,DC=COM; 
Exemplos de operações que usam APIs da versão anterior que responder sobre os caminhos são definidos no atributo WellKnownObjects incluem o seguinte.
Recolher esta tabelaExpandir esta tabela
operação versões de sistema operacional
Associação de domínio da interface do usuário Windows NT version4.0
Windows 2000
Windows XP Professional
Windows XP Ultimate
Windows Server 2003
Windows Server 2003 R2
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
NET COMPUTADORTodas as versões
GRUPO DE REDETodas as versões
NET USUÁRIOTodas as versões
ADD NETDOM, onde o comando/ou não é especificado ou com suporteTodas as versões
É útil tornar uma unidade organizacional o recipiente padrão para o usuário, computador e grupos de segurança para vários motivos, incluindo o seguinte:
  • As diretivas de grupo podem ser aplicadas em recipientes de unidade organizacional mas não em recipientes de classe CN, onde os objetos de segurança são colocados por padrão.
  • A "prática recomendada" é organizar objetos de segurança em uma hierarquia de unidade organizacional que espelha a estrutura organizacional, layout geográfico ou modelo de administração.
Se você estiver redirecionando o CN = usuários e CN = computadores pastas, conhecer os seguintes problemas:
  • O domínio de destino deve ser configurado para ser executado no nível funcional de domínio Windows Server 2003 ou superior. Para o nível funcional do domínio de 2003, isso significa que:
    • Windows Server 2003 ADPREP /FORESTPREP ou mais recente
    • Windows Server 2003 ADPREP /DOMAINPREP ou mais recente
    • Todos os controladores de domínio no domínio de destino devem executar o Windows Server 2003 ou mais recente.
    • Domínio funcional do Windows Server 2003 nível ou superior deve ser habilitado.
  • Ao contrário de CN = USERS e CN = computadores, unidade organizacional recipientes estão sujeitos a exclusões acidentais por contas de usuário privilegiado, incluindo os administradores.

    CN = USERS e CN = computadores recipientes são objetos de sistema protegido que não é possível e não devem, ser removidos para compatibilidade com versões anteriores. No entanto, eles podem ser renomeados. Unidades organizacionais, por outro lado, estão sujeitos a exclusões de árvore acidental por administradores.

    Siga as etapas em versões do Windows Server 2003 do snap-in usuários e computadores do Active Directory"Protect an Organizational Unit from Accidental Deletion (http://gallery.technet.microsoft.com/ScriptCenter/en-us/c307540f-bd91-485f-b27e-995ae5cea1e2) . "

    Windows Server 2008 e versões mais recentes do snap-in Active Directory Users and Computers apresentam uma caixa de seleção "Objeto de proteger contra exclusão acidental" que você pode clicar para selecionar quando você cria um novo recipiente de unidade organizacional. Você também pode selecionar esta caixa de seleção na guia objeto da caixa de diálogo Propriedades para um recipiente de unidade organizacional existente.

    Uma opção de script está documentada no "Script to Protect Organizational Units (OUs) from Accidental Deletion (http://gallery.technet.microsoft.com/ScriptCenter/en-us/c307540f-bd91-485f-b27e-995ae5cea1e2) ."
  • Exchange 2000 e 2003 setup /domainprep falhar com erros. Esse problema estiver documentado nos seguintes artigos da Base de dados de Conhecimento Microsoft:
    • 260914  (http://support.microsoft.com/kb/260914/ ) Utilitário domainprep não funcionará se grupo Exchange Enterprise Servers e o grupo Exchange Domain Servers movidos para um novo recipiente
    • 818470  (http://support.microsoft.com/kb/818470/ ) Instalação do Exchange Server 2003 retorna código de erro 0x80072030 ao executar setup.exe /domainprep

Redirecionando CN = usuários para uma unidade organizacional especificada pelo administrador

  1. Faça logon com credenciais de administrador de domínio no domínio z onde o CN = usuários contêiner está sendo redirecionado.
  2. Transição o domínio para o nível funcional do domínio Windows Server 2003 ou mais recente ou o Active Directory Users and Computers snap-in (DSA.msc) ou os domínios e relações de confiança (Domains.msc) snap-in. Para obter mais informações sobre como aumentar o nível funcional do domínio, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    322692  (http://support.microsoft.com/kb/322692/ ) Como aumentar níveis funcionais do domínio e da floresta no Windows Server 2003
  3. Crie o recipiente de unidade organizacional onde deseja que os usuários que são criados com APIs de versões anteriores para ser localizado, se o contêiner da unidade de organização que você deseja já não existir.
  4. Execute o Redirusr.exe arquivo no prompt de comando usando a sintaxe a seguir, onde o container-dn é o nome distinto da unidade organizacional que se tornará o local padrão para objetos de usuário recém-criado criado por APIs de nível inferior:
    c:\windows\system32\redirusr < caminho DN para alternativo OU >
    Redirusr é instalado na pasta % systemroot%\System32 em computadores baseados no Windows Server 2003 ou mais recentes. Por exemplo, para alterar o local padrão para os usuários são criados com APIs de nível inferior, como usuário de rede para a OU = MYUsers OU recipiente no domínio contoso.com, use a seguinte sintaxe:
    c:\windows\system32 > ou redirusr = myusers, DC = contoso, dc = com

Redirecionando CN = computadores para uma unidade organizacional especificada pelo administrador

  1. Faça logon com credenciais de administrador de domínio no domínio onde o CN = computadores recipiente está sendo redirecionado.
  2. O domínio para o domínio do Windows Server 2003 no Active Directory Users snap-in e computadores (DSA.msc) ou em domínios e relações de confiança de transição (Domains.msc) snap-in.Para obter mais informações sobre como aumentar o nível funcional do domínio, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    322692  (http://support.microsoft.com/kb/322692/ ) Como aumentar níveis funcionais do domínio e da floresta no Windows Server 2003
  3. Crie o recipiente de unidade organizacional onde deseja que computadores que são criadas com APIs de versões anteriores para ser localizado, se o recipiente de unidade organizacional desejada ainda não existir.
  4. Execute Redircmp.exe arquivo no prompt de comando usando a sintaxe a seguir, onde o container-dn é o nome distinto da unidade organizacional que se tornará o local padrão para computador recém-criado objetos que são criados por APIs de nível inferior:
    recipiente de container-dn Redircmp - dn
    Redircmp.exe é instalado na pasta % systemroot%\System32 em computadores baseados no Windows Server 2003 ou mais recentes. Por exemplo, para alterar o local padrão para um computador que é criado com APIs de versões anteriores, como usuário de rede para a OU = mycomputers recipiente no domínio contoso.com, use a seguinte sintaxe:
    C:\Windows\System32 > ou redircmp = mycomputers, DC = contoso, dc = com
    Observação Quando Redircmp.exe é executado para redirecionar o CN = recipiente computadores para uma unidade organizacional que é especificada pelo administrador, CN = computadores recipiente deixará de ser um objeto protegido. Isso significa que o recipiente Computers pode agora ser movido, excluído ou renomeado. Se você usar ADSIEDIT para exibir os atributos em CN = computadores recipiente, você verá que o atributo systemflags foi alterado de-1946157056 para 0. Isso ocorre por design.

Descrição das mensagens de erro

Mensagens de erro que você recebe se o PDC estiver off-line

Redircmp e Redirusr altere o atributo wellKnownObjects no controlador de domínio primário (PDC). Se o PDC do domínio que está sendo alterado está off-line ou inacessível, você receberá as seguintes mensagens de erro.
Mensagem de erro 1
D:\>Redirusr OU = userOU, DC = udc, dc = jkcertcontoso, dc = loc com
Erro, não foi possível localizar o controlador de domínio primário para o domínio atual: O domínio especificado não existe ou não pôde ser contatado. Redirecionamento não foi bem-sucedida.
Mensagem de erro 2
D:\>Redircmp OU = computerOU, DC = contoso, dc = com DC = udc, dc = jkcert, dc = loc
Erro, não foi possível localizar o controlador de domínio primário para o domínio atual: O domínio especificado não existe ou não pôde ser contatado. Redirecionamento não foi bem-sucedida.

Mensagens de erro que você recebe se o nível funcional do domínio não for o Windows Server 2003

Se você tenta redirecionar os usuários ou unidade organizacional do computador em um domínio que não tem transição para o nível funcional de domínio Windows Server 2003, você receberá as seguintes mensagens de erro.
Mensagem de erro 1
C:\>Redirusr OU = usersou, DC = contoso, dc = comDC = empresa, DC = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é pelo menos Windows Server 2003: redirecionamento de executar relutando não foi bem-sucedida.
Mensagem de erro 2
Ou C:\>REDIRCMP = computersou, DC = contoso, dc = comdc = empresa, dc = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é pelo menos Windows Server 2003: relutando para executar

Mensagens de erro que você recebe se você efetuar logon sem as permissões necessárias

Se você tentar redirecionar os usuários ou unidade organizacional do computador usando as credenciais incorretas no domínio de destino, você pode receber as seguintes mensagens de erro.
Mensagem de erro 1
C: > OU REDIRCMP = computersou, DC = contoso, dc = comDC = empresa, DC = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é pelo menos Windows Server 2003: redirecionamento de direitos insuficientes não foi bem-sucedida.
Mensagem de erro 2
: \>redirusr OU = usersou, DC = contoso, dc = comDC = empresa, DC = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é pelo menos Windows Server 2003: redirecionamento de direitos insuficientes não foi bem-sucedida.

Mensagens de erro que você recebe se redirecionar para uma unidade organizacional não existe

Se você tentar redirecionar os usuários ou unidade organizacional do computador a uma unidade organizacional não existe, você pode receber as seguintes mensagens de erro.
Mensagem de erro 1
OU C:\>REDIRCMP = nonexistantou, DC = contoso, dc = com dc = rendom, dc = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é pelo menos Windows Server 2003: não tal objeto redirecionamento não foi bem-sucedida.
Mensagem de erro 2
C:\>Redirusr OU = nonexistantou, DC = contoso, dc = com DC = empresa, DC = com
Erro, não é possível modificar o atributo wellKnownObjects. Verifique se o nível funcional do domínio do domínio é pelo menos Windows Server 2003: não tal objeto redirecionamento não foi bem-sucedida.

Mensagens de erro que você recebe no Exchange 2000 "setup /domainprep" quando CN = Users é redirecionada

Se o Exchange 2000 e o Exchange 2003 setup /domainprep não tiver êxito, você receber a seguinte mensagem de erro:
Falha na instalação durante a instalação permissões subcomponente em nível de domínio com código de erro 0x80072030) (consulte os logs de instalação para obter uma descrição detalhada). Você pode cancelar a instalação ou tentar novamente a etapa que falhou. (Repetir / Cancelar)
Os seguintes dados aparecem no log de instalação do Exchange 2000 é analisado com analisador de log. Exchange 2003 deve ser semelhante.
[HH: MM: SS] Concluída Componente de DomainPrep do Microsoft Exchange 2000
[HH: MM: SS] Código de erro ScGetExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:301) 0X80072030 (8240): está objeto inexistente no servidor.
[HH: MM: SS] Código de erro ScCreateExchangeServerGroups (K:\admin\src\libs\exsetup\dsmisc.cxx:373) 0X80072030 (8240): está objeto inexistente no servidor.
[HH: MM: SS] CAtomPermissions::ScAddDSObjects 0X80072030 (8240) de código (K:\admin\src\udog\exsetdata\components\domprep\a_permissions.cxx:144) erro: está objeto inexistente no servidor.
[Hh: mm: ss] modo = 'DomainPrep' (61966) CBaseAtom::ScSetup código de erro (K:\admin\src\udog\setupbase\basecomp\baseatom.cxx:775) 0X80072030 (8240): está objeto inexistente no servidor.
[HH: MM: SS] O programa de instalação encontrou um erro durante Microsoft Exchange domínio preparação do DomainPrep tarefa do componente. CBaseComponent::ScSetup código de erro (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1031) 0X80072030 (8240): está objeto inexistente no servidor.
[HH: MM: SS] CBaseComponent::ScSetup código de erro (K:\admin\src\udog\setupbase\basecomp\basecomp.cxx:1099) 0X80072030 (8240): está objeto inexistente no servidor.
[HH: MM: SS] CCompDomainPrep::ScSetup 0X80072030 (8240) de código (K:\admin\src\udog\exsetdata\components\domprep\compdomprep.cxx:502) erro: está objeto inexistente no servidor.
[HH: MM: SS] Código de erro CComExchSetupComponent::Install (K:\admin\src\udog\BO\comboifaces.cxx:694) 0X80072030 (8240): está objeto inexistente no servidor.
[HH: MM: SS] Instalação foi concluída

Referências

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
818470  (http://support.microsoft.com/kb/818470/ ) Instalação do Exchange Server 2003 retorna código de erro 0x80072030 ao executar setup.exe /domainprep
260914  (http://support.microsoft.com/kb/260914/ ) Utilitário domainprep não funcionará se grupo Exchange Enterprise Servers e o grupo Exchange Domain Servers movidos para um novo recipiente

Script para impedir a exclusão acidental de unidades organizacionais:
http://gallery.technet.microsoft.com/ScriptCenter/en-us/c307540f-bd91-485f-b27e-995ae5cea1e2 (http://gallery.technet.microsoft.com/ScriptCenter/en-us/c307540f-bd91-485f-b27e-995ae5cea1e2)
Para obter mais informações sobre como criar uma infra-estrutura de diretiva de grupo, visite o seguinte site:
http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx (http://technet2.microsoft.com/windowsserver/en/library/c75e3e6f-c322-4220-b205-46c6e9ba76741033.mspx)

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
Palavras-chave: 
kbmt kbinfo KB324949 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 324949  (http://support.microsoft.com/kb/324949/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store