Zmeňte OU pre predvolené počítače v službe Active Directory (Active Directory)

Keď zapnete počítač v doméne služby Active Directory pomocou príkazu Windows GUI alebo príkazu NETDOM.EXE, novo vytvorený objekt v predvolenom nastavení spadá do kontajnera (OU) Počítače, čo je predvolený kontajner pre všetky novo vytvorené objekty typu "Počítač".

Nevýhodou tohto prístupu je, že nemôžete priradiť politiku jednej skupiny k počítačom OU a ukázalo sa, že na nové počítače v doméne (potenciálne nebezpečné) jednoducho nemôžete použiť špeciálne nastavenia zabezpečenia (okrem štandardných nastavení pre celú doménu)..

Poďme zistiť, kde sú uložené nastavenia, ktoré určujú predvolené OU pre doménové počítače. Otvorte konzolu Active Directory Users and Computers (ako nainštalovať modul snap-in Active Directory v systéme Windows 7) alebo konzolu ADSI Edit, pomocou kontextovej ponuky prejdite na vlastnosti domény a potom prejdite na kartu Editor atribútov..

Kontajner AD, do ktorého nové počítače v predvolenom nastavení spadajú, je definovaný v atribúte wellKnownObjects.

Keď sa však pokúsite dvakrát kliknúť na tento atribút, zobrazí sa okno s chybou, v ktorej sa uvádza, že neexistuje žiadny registrovaný editor na spracovanie tohto typu atribútu. Predpokladám, že tento atribút je jednoducho chránený pred ručnými zmenami. Preto na prístup k tomuto parametru použijem nádherný nástroj od Mark Rusinovich - Active Directory Explorer.

Atribút wellKnownObjects obsahuje niečo podobné:

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = redircomp.exe NTDS Kvóty, DC = LABHOME, DC = local

244 190 146 164 199 119 72 94 135 142 148 33 213 48 135 219, CN = Microsoft, CN = Programové dáta, DC = LABHOME, DC = local

9 70 12 8 174 30 74 78 160 246 74 238 125 170 30 90, CN = programové dáta, DC = LABHOME, DC = local

34 183 12 103 213 110 78 251 145 233 48 15 202 61 193 170, CN = Zásady zahraničnej bezpečnosti, DC = LABHOME, DC = miestne

24 226 234 128 104 79 17 210 185 170 0 192 79 121 248 5, CN = odstránené objekty, DC = LABHOME, DC = local

47 186 193 135 10 222 17 210 151 196 0 192 79 216 213 205, CN = infraštruktúra, DC = LABHOME, DC = local

171 129 83 183 118 136 17 209 173 237 0 192 79 216 213 205, CN = LostAndFound, DC = LABHOME, DC = local

171 29 48 243 118 136 17 209 173 237 0 192 79 216 213 205, CN = systém, DC = LABHOME, DC = local

163 97 178 255 255 210 17 209 170 75 0 192 79 215 216 58, OU = radiče domén, DC = LABHOME, DC = local

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, CN = Počítače, DC = LABHOME, DC = local

169 209 202 21 118 136 17 209 173 237 0 192 79 216 213 205, CN = Používatelia, DC = LABHOME, DC = local

Keď teraz pochopíme, kde je uložený parameter, ktorý potrebujeme, skúsme ho zmeniť. Ako som už povedal, atribút wellKnownObjects nemožno upravovať pomocou AD konzol, čo je pravdepodobne najlepšie)). Na úpravu tohto parametra vyvinula spoločnosť Microsoft špeciálny nástroj s názvom Redircmp.exe, ktorý je uložený v priečinku% SystemRoot% \ System32 (v systémoch Windows Server 2003/2008).

Pred použitím pomôcky redircmp.exe vytvoríme novú organizačnú jednotku, do ktorej budú postupne spadať počítačové objekty. Napríklad som vytvoril OU StagedComputers. Spustite nasledujúci príkaz:

redircmp OU = StagedComputers, DC = LABHOME, DC = local

A potom pomocou nástroja Active Directory Explorer sa pozrieme na obsah atribútu wellKnownObjects (ako uvidíte, zmenilo sa):

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, OU = predstavené počítače, DC = LABHOME, DC = local

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = kvóty NTDS, DC = LABHOME, DC = miestne