Změnit OU pro výchozí počítače ve službě Active Directory (Active Directory)

Při zapnutí počítače v doméně Active Directory pomocí Windows GUI nebo příkazu NETDOM.EXE ve výchozím nastavení nově vytvořený objekt spadá do kontejneru (OU) Počítače, což je výchozí kontejner pro všechny nově vytvořené objekty typu "Počítač".

Nevýhoda tohoto přístupu spočívá v tom, že OU Computers nelze přiřadit zásadu skupiny jedné domény a ukáže se, že na nových počítačích v doméně (potenciálně nebezpečné) jednoduše nemůžete použít zvláštní nastavení zabezpečení (kromě standardních pro celou doménu).

Pojďme zjistit, kde jsou uložena nastavení určující výchozí OU pro doménové počítače. Otevřete konzolu Uživatelé a počítače služby Active Directory (jak nainstalovat modul snap-in Active Directory v systému Windows 7) nebo konzolu pro úpravy ADSI, pomocí místní nabídky přejděte do vlastností domény a poté přejděte na kartu Editor atributů..

Kontejner AD, do kterého nové počítače ve výchozím nastavení spadají, je definován v atributu wellKnownObjects.

Když se však pokusíte dvakrát kliknout na tento atribut, zobrazí se okno s chybou, která uvádí, že neexistuje žádný registrovaný editor pro zpracování tohoto typu atributu. Předpokládám, že tento atribut je jednoduše chráněn před manuálními změnami. Proto k přístupu k tomuto parametru použiji skvělý nástroj od Mark Rusinovich - Active Directory Explorer.

Atribut wellKnownObjects obsahuje něco podobného:

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = redircomp.exe NTDS Kvóty, DC = LABHOME, DC = local

244 190 146 164 199 119 72 94 135 142 148 33 213 48 135 219, CN = Microsoft, CN = programová data, DC = LABHOME, DC = local

9 70 12 8 174 30 74 78 160 246 74 238 125 170 30 90, CN = programová data, DC = LABHOME, DC = local

34 183 12 103 213 110 78 251 145 233 48 15 202 61 193 170, CN = Zásady zahraniční bezpečnosti, DC = LABHOME, DC = místní

24 226 234 128 104 79 17 210 185 170 0 192 79 121 248 5, CN = odstraněné objekty, DC = LABHOME, DC = local

47 186 193 135 10 222 17 210 151 196 0 192 79 216 213 205, CN = infrastruktura, DC = LABHOME, DC = místní

171 129 83 183 118 136 17 209 173 237 0 192 79 216 213 205, CN = LostAndFound, DC = LABHOME, DC = local

171 29 48 243 118 136 17 209 173 237 0 192 79 216 213 205, CN = Systém, DC = LABHOME, DC = místní

163 97 178 255 255 210 17 209 170 75 0 192 79 215 216 58, OU = řadiče domény, DC = LABHOME, DC = local

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, CN = Počítače, DC = LABHOME, DC = místní

169 209 202 21 118 136 17 209 173 237 0 192 79 216 213 205, CN = Uživatelé, DC = LABHOME, DC = local

Nyní, když jsme pochopili, kde je uložen požadovaný parametr, zkusme to změnit. Jak jsem řekl, atribut wellKnownObjects nelze upravovat pomocí AD konzolí, což je pravděpodobně nejlepší)). K úpravě tohoto parametru vyvinula společnost Microsoft speciální nástroj s názvem redircmp.exe, který je uložen ve složce% SystemRoot% \ System32 (v systémech Windows Server 2003/2008).

Před použitím obslužného programu redircmp.exe vytvoříme novou organizační jednotku, do které následně spadnou počítačové objekty. Například jsem vytvořil OU Postupné počítače. Spusťte následující příkaz:

redircmp OU = StagedComputers, DC = LABHOME, DC = local

A potom pomocí nástroje Active Directory Explorer se podíváme na obsah atributu wellKnownObjects (jak uvidíte, změnil se):

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, OU = počítačů představených po et, DC = LABHOME, DC = local

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = kvóty NTDS, DC = LABHOME, DC = místní