Spremenite OU za privzete računalnike v Active Directory (Active Directory)

Ko vklopite računalnik v domeno Active Directory z uporabniškim vmesnikom Windows ali ukazom NETDOM.EXE, privzeto novo ustvarjeni predmet pade v vsebnik (OU) Računalniki, ki je privzeti vsebnik za vse novo ustvarjene predmete vrste "Computer".

Pomanjkljivost tega pristopa je, da ne morete dodeliti ene same politike skupin domen OU Computers, in izkaže se, da na novih računalnikih v domeni (potencialno nevarni) preprosto ne morete uporabiti posebnih varnostnih nastavitev (poleg standardnih za celotno domeno).

Ugotovimo, kje so shranjene nastavitve, ki določajo privzeti OU za računalnike domene. Odprite konzolo Uporabniki in računalniki Active Directory (kako namestiti priključek Active Directory v Windows 7) ali konzolo ADSI Uredi, s kontekstnim menijem pojdite do lastnosti domene in nato na zavihek Urejevalnik atributov..

V atributu je določen vsebnik AD, v katerega novi računalniki privzeto sodijo dobro znani predmeti.

Ko pa poskusite dvoklikniti ta atribut, se prikaže okno z napako, ki navaja, da za obdelavo te vrste atributa ni registriranega urejevalnika. Predvidevam, da je ta atribut preprosto zaščiten pred ročnimi spremembami. Zato bom za dostop do tega parametra uporabil čudovit pripomoček Marka Rusinoviča - Active Directory Explorer.

Atribut wellKknownObjects vsebuje nekaj takega:

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = kvote redircomp.exe NTDS, DC = LABHOME, DC = lokalno

244 190 146 164 199 119 72 94 135 142 148 33 213 48 135 219, CN = Microsoft, CN = Podatki o programu, DC = LABHOME, DC = lokalno

9 70 12 8 174 30 74 78 160 246 74 238 125 170 30 90, CN = Podatki o programu, DC = LABHOME, DC = lokalno

34 183 12 103 213 110 78 251 145 233 48 15 202 61 193 170, CN = tuja načela varnosti, DC = LABHOME, DC = lokalno

24 226 234 128 104 79 17 210 185 170 0 192 79 121 248 5, CN = izbrisani predmeti, DC = LABHOME, DC = lokalni

47 186 193 135 10 222 17 210 151 196 0 192 79 216 213 205, CN = Infrastruktura, DC = LABHOME, DC = lokalno

171 129 83 183 118 136 17 209 173 237 0 192 79 216 213 205, CN = LostAndFound, DC = LABHOME, DC = lokalno

171 29 48 243 118 136 17 209 173 237 0 192 79 216 213 205, CN = sistem, DC = LABHOME, DC = lokalno

163 97 178 255 255 210 17 209 170 75 0 192 79 215 216 58, OU = krmilniki domen, DC = LABHOME, DC = lokalni

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, CN = Računalniki, DC = LABHOME, DC = lokalno

169 209 202 21 118 136 17 209 173 237 0 192 79 216 213 205, CN = uporabniki, DC = LABHOME, DC = lokalno

Zdaj, ko razumemo, kje je shranjen parameter, ki ga potrebujemo, poskusimo ga spremeniti. Kot sem že rekel, atributa wellK knownObjects ni mogoče urejati s konzolami AD, kar je verjetno najbolje)). Za spremembo tega parametra je Microsoft razvil poseben pripomoček, imenovan redircmp.exe, ki je shranjena v mapi% SystemRoot% \ System32 (v sistemih Windows Server 2003/2008).

Pred uporabo pripomočka redircmp.exe bomo ustvarili novo organizacijsko enoto, v katero bodo pozneje padli računalniški predmeti. Na primer, ustvaril sem OU Postopni računalniki. Zaženite naslednji ukaz:

redircmp OU = StagedComputers, DC = LABHOME, DC = lokalni

Nato bomo s pomočjo Active Directory Explorerja pogledali vsebino atributa wellK knownObjects (kot boste videli, da se je spremenilo):

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, OU = Enostavni računalniki, DC = LABHOME, DC = lokalni

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = Kvote NTDS, DC = LABHOME, DC = lokalno