В Active Directory вновь созданные учетные записи пользователей и учетные записи компьютеров помещаются в контейнеры (CN,Containers) по умолчанию. Для компьютеров это контейнер Computers, для пользователей — Users. Недостатком такого подхода является то, что в отличие от подразделения (OU,Organization Unit) к контейнерам применить отдельную политику безопасности нельзя, только дефолтную политику домена. Поскольку это не очень удобно, попробуем изменить существующий порядок вещей.
Контейнеры по умолчанию для пользователей и компьютеров определяются в контексте именования домена(Domain NC), в атрибуте wellKnownObjects.
Чтобы посмотреть его содержимое, запускаем оснастку ADSIEdit, подключаемся к контексту именования домена по умолчанию, открываем свойства домена и находим нужный атрибут. Однако при попытке открыть его нам выдается сообщение о том, что для данного типа объектов нет зарегистрированного редактора. Видимо этот атрибут защищен от ручного внесения изменений.
Итак, ADSIEdit нам не поможет, поэтому воспользуемся утилитой AD Explorer, которая предназначена для просмотра и редактирования Active Directory. Утилита абсолютно бесплатна и не требует установки, достаточно просто скачать ее, запустить и подключиться к домену.
Так выглядит содержимое атрибута wellKnownObjects. А вот и значения контейнеров по умолчанию.
Найдя нужные параметры попробуем их изменить. Как уже было сказано, атрибут wellKnownObjects защищен от изменения и вручную отредактировать его не удастся. Для его изменения в Windows есть специальные утилиты redircmp.exe и redirusr.exe , находящиеся в папке C:\Windows\System32. Как видно из их названия, первая служит для перенаправления компьютеров, а вторая — пользователей.
Примечание. Перед использованием утилит надо не забыть создать новые OU, которые будут назначены по умолчанию. Для примера я создал OU Workstations для компьютеров и Peoples для пользователей.
Для назначения OU Workstations контейнером по умолчанию в домене Contoso.com открываем командную консоль и вводим команду:
redircmp OU=Workstations, DC=contoso, DC=com
Для назначения OU Peoples по умолчанию вводим:
redirusr OU=Peoples, DC=contoso, DC=com
Еще раз откроем атрибут wellKnownObjects и посмотрим, как изменились его свойства.
Ну и проверим на практике внесенные изменения. Я взял компьютер WKS1 и добавил его в домен. Как видите, он оказался в подразделении Workstations.
Теперь добавим пользователя c помощью командлета New-ADUser из оснастки Powershell, в этом случае он должен попасть в контейнер по умолчанию. Проверяем — так и есть, он в OU Peoples.
Чтобы операция перенаправления прошла успешно, надо соблюсти следующие требования:
• Функциональный уровень домена не ниже Windows Server 2003;
• Должен быть доступен контролер домена с ролью PDC Emulator;
• Все действия должны производится с правами администратора домена.
Привет
А можно ли каким-то образом отфильтровать по операционной системе вводимого в домен компьютера, в какую OU он должен попасть? Чтобы серверные ОС попадали в одну OU, а клиентские — в другую…