Cserélje ki az alapértelmezett számítógépek OU-t az Active Directory-ban (Active Directory)

Amikor bekapcsol egy számítógépet az Active Directory tartományban a Windows GUI vagy a NETDOM.EXE parancs segítségével, alapértelmezés szerint az újonnan létrehozott objektum a tárolóba (OU) esik. Számítógépek, amely az alapértelmezett tároló az összes újonnan létrehozott "Computer" típusú objektumhoz.

Ennek a megközelítésnek az a hátránya, hogy nem adhat egyetlen tartománycsoport-irányelvet az OU Computers számára, és kiderül, hogy a tartomány új számítógépein (potenciálisan nem biztonságosak) egyszerűen nem lehet speciális biztonsági beállításokat alkalmazni (a teljes tartományhoz tartozó szabványos kiegészítéseken kívül)..

Gondoljuk ki, hogy hol tárolódnak azok a beállítások, amelyek meghatározzák a tartományi számítógépek alapértelmezett OU-ját. Nyissa meg az Active Directory felhasználók és számítógépek konzolt (hogyan telepítse az Active Directory beépülő modult a Windows 7 rendszerben) vagy az ADSI Edit konzolt, használja a helyi menüt a tartomány tulajdonságainak megnyitásához, majd lépjen az Attribútum szerkesztő lapjára.

Az AD tároló, amelybe az új számítógépek alapértelmezés szerint esnek, az attribútumban van meghatározva wellKnownObjects.

Amikor megpróbál duplán kattintani erre az attribútumra, megjelenik egy ablak egy hibaüzenettel, miszerint nincs regisztrált szerkesztő az ilyen típusú attribútum feldolgozására. Feltételezem, hogy ezt az attribútumot egyszerűen védik a kézi változtatásoktól. Ezért ennek a paraméternek a eléréséhez Mark Rusinovich csodálatos segédprogramját fogom használni - az Active Directory Intéző.

A wellKnownObjects attribútum ehhez hasonlót tartalmaz:

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = redircomp.exe NTDS kvóták, DC = LABHOME, DC = helyi

244 190 146 164 199 119 72 94 135 142 148 33 213 48 135 219, CN = Microsoft, CN = programadatok, DC = LABHOME, DC = helyi

9 70 12 8 174 30 74 78 160 246 74 238 125 170 30 90, CN = Programadatok, DC = LABHOME, DC = helyi

34 183 12 103 213 110 78 251 145 233 48 15 202 61 193 170, CN = külföldi biztonsági elvek, DC = LABHOME, DC = helyi

24 226 234 128 104 79 17 210 185 170 0 192 79 121 248 5, CN = Törölt objektumok, DC = LABHOME, DC = helyi

47 186 193 135 10 222 17 210 151 196 0 192 79 216 213 205, CN = infrastruktúra, DC = LABHOME, DC = helyi

171 129 83 183 118 136 17 209 173 237 0 192 79 216 213 205, CN = LostAndFound, DC = LABHOME, DC = helyi

171 29 48 243 118 136 17 209 173 237 0 192 79 216 213 205, CN = rendszer, DC = LABHOME, DC = helyi

163 97 178 255 255 210 210 17 209 170 75 0 192 79 215 216 58, OU = Domain Controllers, DC = LABHOME, DC = helyi

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, CN = Számítógépek, DC = LABHOME, DC = helyi

169 209 202 21 118 136 17 209 173 237 0 192 79 216 213 205, CN = felhasználók, DC = LABHOME, DC = helyi

Most, hogy megértettük, hol tároljuk a szükséges paramétert, próbáljuk megváltoztatni. Mint mondtam, a wellKnownObjects attribútum nem szerkeszthető az AD konzolok segítségével, ami valószínűleg a legjobb). A paraméter módosításához a Microsoft kifejlesztett egy speciális segédprogramot, az úgynevezett redircmp.exe, amelyet a% SystemRoot% \ System32 mappában tárol (a Windows Server 2003/2008 rendszereken).

A redircmp.exe segédprogram használata előtt létrehozunk egy új szervezeti egységet, amelybe a számítógépes objektumok később esnek. Például létrehoztam az OU-t StagedComputers. Futtassa a következő parancsot:

redircmp OU = StagedComputers, DC = LABHOME, DC = helyi

Aztán az Active Directory Explorer segítségével megvizsgáljuk a wellKnownObjects attribútum tartalmát (amint látni fogod, megváltozott):

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, OU = StagedComputers, DC = LABHOME, DC = helyi

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = NTDS kvóták, DC = LABHOME, DC = helyi