Заметки о Windows и других программных продуктах Microsoft...

Перенаправление пользователей и компьютеров в Active Directory

Перенаправление пользователей и компьютеров в Active Directory

В Active Directory вновь созданные учетные записи пользователей и учетные записи компьютеров помещаются в контейнеры (CN,Containers) по умолчанию. Для компьютеров это контейнер Computers, для пользователей — Users. Недостатком такого подхода является то, что в отличие от подразделения (OU,Organization Unit) к контейнерам применить отдельную политику безопасности нельзя, только дефолтную политику домена. Поскольку это не очень удобно, попробуем изменить существующий порядок вещей.


Контейнеры по умолчанию для пользователей и компьютеров определяются в контексте именования домена(Domain NC), в атрибуте wellKnownObjects.
Чтобы посмотреть его содержимое, запускаем оснастку ADSIEdit, подключаемся к контексту именования домена по умолчанию, открываем свойства домена и находим нужный атрибут. Однако при попытке открыть его нам выдается сообщение о том, что для данного типа объектов нет зарегистрированного редактора. Видимо этот атрибут защищен от ручного внесения изменений.

открытие атрибута wellKnownObjects в ADSIEdit

 

Итак, ADSIEdit нам не поможет, поэтому воспользуемся утилитой  AD Explorer,  которая предназначена для просмотра и редактирования Active Directory. Утилита абсолютно бесплатна и не требует установки, достаточно просто скачать ее, запустить и подключиться к домену.

AD Explorer подключение к домену

 

Так выглядит содержимое атрибута wellKnownObjects. А вот и значения контейнеров по умолчанию.

атрибут wellKnownObjects

 

Найдя нужные параметры попробуем их изменить. Как уже было сказано, атрибут wellKnownObjects защищен от изменения и вручную отредактировать его не удастся. Для его изменения в Windows есть специальные утилиты redircmp.exe и redirusr.exe , находящиеся в папке C:\Windows\System32. Как видно из их названия, первая служит для перенаправления компьютеров, а вторая — пользователей.

Примечание. Перед использованием утилит надо не забыть создать новые OU, которые будут назначены по умолчанию. Для примера я создал OU Workstations для компьютеров и Peoples для пользователей.

Для назначения OU Workstations контейнером по умолчанию в домене Contoso.com открываем командную консоль и вводим команду:

redircmp OU=Workstations, DC=contoso, DC=com

перенаправление компьютеров

 

Для назначения OU Peoples по умолчанию вводим:

redirusr OU=Peoples, DC=contoso, DC=com

перенаправление пользователей

 

Еще раз откроем атрибут wellKnownObjects и посмотрим, как изменились его свойства.

изменения в wellKnownObjects

 

Ну и проверим на практике внесенные изменения. Я взял компьютер WKS1 и добавил его в домен. Как видите, он оказался в подразделении Workstations.

заведение нового компьютера в домен

 

Теперь добавим пользователя c помощью командлета New-ADUser из оснастки Powershell, в этом случае он должен попасть в контейнер по умолчанию. Проверяем — так и есть, он в OU Peoples.

создание новой учетной записи пользователя

 

Чтобы операция перенаправления прошла успешно, надо соблюсти следующие требования:

• Функциональный уровень домена не ниже Windows Server 2003;
• Должен быть доступен контролер домена с ролью PDC Emulator;
• Все действия должны производится с правами администратора домена.

 
 
Комментарии
Алексей

Привет
А можно ли каким-то образом отфильтровать по операционной системе вводимого в домен компьютера, в какую OU он должен попасть? Чтобы серверные ОС попадали в одну OU, а клиентские — в другую…

Нельзя, контейнер по умолчанию для всех компьютеров один.

Чем отличается контейнер от подразделения?

Практически ничем. Подразделение (OU) — это тоже контейнер.

На CN не применяются групповые политик, в отличие от OU.