Zmień jednostkę organizacyjną dla domyślnych komputerów w usłudze Active Directory (Active Directory)

Po włączeniu komputera w domenie Active Directory za pomocą graficznego interfejsu użytkownika systemu Windows lub polecenia NETDOM.EXE domyślnie nowo utworzony obiekt wpada do kontenera (OU) Komputery, który jest domyślnym kontenerem dla wszystkich nowo tworzonych obiektów typu „Komputer”.

Wadą tego podejścia jest to, że nie można przypisać zasady grupy pojedynczej domeny do komputerów OU, i okazuje się, że na nowych komputerach w domenie (potencjalnie niebezpieczne) po prostu nie można zastosować specjalnych ustawień bezpieczeństwa (oprócz standardowych dla całej domeny).

Zobaczmy, gdzie są przechowywane ustawienia określające domyślną jednostkę organizacyjną dla komputerów w domenie. Otwórz konsolę Użytkownicy i komputery usługi Active Directory (jak zainstalować przystawkę usługi Active Directory w systemie Windows 7) lub konsolę Edycja ADSI, użyj menu kontekstowego, aby przejść do właściwości domeny, a następnie przejdź do karty Edytor atrybutów.

Kontener AD, do którego domyślnie należą nowe komputery, jest zdefiniowany w atrybucie wellKnownObjects.

Ale gdy spróbujesz dwukrotnie kliknąć ten atrybut, pojawi się okno z błędem informującym, że nie ma zarejestrowanego edytora do przetwarzania tego typu atrybutu. Zakładam, że ten atrybut jest po prostu chroniony przed ręcznymi zmianami. Dlatego, aby uzyskać dostęp do tego parametru, użyję wspaniałego narzędzia od Marka Rusinowicza - Active Directory Explorer.

Atrybut wellKnownObjects zawiera coś takiego:

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = redircomp.exe Przydziały NTDS, DC = LABHOME, DC = lokalnie

244 190 146 164 199 119 72 94 135 142 148 33 213 48 135 219, CN = Microsoft, CN = Dane programu, DC = LABHOME, DC = lokalny

9 70 12 8 174 30 74 78 160 246 74 238 125 170 30 90, CN = dane programu, DC = LABHOME, DC = lokalnie

34 183 12 103 213 110 78 251 145 233 48 15 202 61 193 170, CN = zasady bezpieczeństwa zagranicznego, DC = LABHOME, DC = lokalny

24 226 234 128 104 79 17 210 185 170 0 192 79 121 248 5, CN = Usunięte obiekty, DC = LABHOME, DC = lokalny

47 186 193 135 10 222 17 210 151 196 0 192 79 216 213 205, CN = infrastruktura, DC = LABHOME, DC = lokalny

171 129 83 183 118 136 17 209 173 237 0 192 79 216 213 205, CN = LostAndFound, DC = LABHOME, DC = lokalny

171 29 48 243 118 136 17 209 173 237 0 192 79 216 213 205, CN = System, DC = LABHOME, DC = lokalnie

163 97 178 255 255 210 17 209 170 75 0 192 79 215 216 58, OU = kontrolery domeny, DC = LABHOME, DC = lokalny

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, CN = Komputery, DC = LABHOME, DC = lokalny

169 209 202 21 118 136 17 209 173 237 0 192 79 216 213 205, CN = Użytkownicy, DC = LABHOME, DC = lokalny

Teraz, gdy rozumiemy, gdzie jest przechowywany parametr, którego potrzebujemy, spróbujmy go zmienić. Jak powiedziałem, atrybutu wellKnownObjects nie można edytować za pomocą konsol AD, co prawdopodobnie jest najlepsze)). Aby zmodyfikować ten parametr, Microsoft opracował specjalne narzędzie o nazwie redircmp.exe, który jest przechowywany w folderze% SystemRoot% \ System32 (w systemach Windows Server 2003/2008).

Przed użyciem narzędzia redircmp.exe utworzymy nową jednostkę organizacyjną, do której następnie wpadną obiekty komputerowe. Na przykład utworzyłem jednostkę organizacyjną Komputery etapowe. Uruchom następujące polecenie:

redircmp OU = StagedComputers, DC = LABHOME, DC = local

Następnie za pomocą Active Directory Explorer przyjrzymy się zawartości atrybutu wellKnownObjects (jak zobaczysz, zmienił się):

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, OU = Komputery przemieszczane, DC = LABHOME, DC = lokalny

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = kontyngenty NTDS, DC = LABHOME, DC = lokalnie