Standard OU von „Computer“ und „Users“ für neue Objekte ändern

AD Standardorte für neue Objekte ändern

Problem

Neue Computer-Objekte im Active Directory werden standardmäßig im „WellKnownObjects“ Container (CN) CN=Computers abgelegt und neue Benutzer-Objekte in CN=Users. In den guten alten SBS-Installationen ist der Ort anders und lautet „SBSComputers“ und „SBSUsers“. Das ist nicht immer perfekt – wie ändert man das?

Lösung

An der (Admin-) Kommandozeile lässt sich ab Server 2008 der Standardpfad ändern. Es empfielt sich, die neue OU vor „unabsichtlichem löschen“ zu schützen. Außerdem benötigt die Änderung ein Domänenfunktionslevel von mindestens „Windows Server 2003“ und Windows Server 2008 als ausführenden DC.

Für Computer

C:\> redircmp OU=NeueComputerOU,DC=domain,dc=tld
Beispiel: redircmp OU=NeueComputerOU,DC=diebestedomain,dc=local

Für Benutzer

C:\> redirusr OU=NeueBenutzerOU,DC=domain,dc=tld
Beispiel: redirusr OU=NeueBenutzerOU,DC=diebestedomain,dc=local

Mögliche Fehler

„Error, could not locate the Primary Domain Controller for the current domain: The specified domain either does not exist or could not be contacted. Redirection was NOT successful.“

Der PDC-Emulator ist in diesem Moment nicht erreichbar oder der SID-Master war (in der Vergangenheit einmal) zu lange nicht erreichbar.

„Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Insufficient Rights Redirection was NOT successful.

Nicht ausreichende Berechtigungen – CMD als Administrator aufgeführt?

„Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: No Such Object Redirection was NOT successful.“

Die angegebene OU existiert nicht – Pfad prüfen.

Mehr Informationen in der KB: https://support…/324949

 

4 Replies to “Standard OU von „Computer“ und „Users“ für neue Objekte ändern”

  1. Den StandartContainer sollte man aus Sicherheitsgründen ohnehin ändern damit normale Benutzer keine Computer zur Domäne hinzufügen können. Die Standarteinstellung erlaubt dem User 10 Computer hinzuzufügen. Mit redircmp schafft man das ab. Zusätzlich sollte man die hinzufügbaren PCs pro Benutzer auf 0 setzen. Das geht im ADSI-Editor -> Eigenschaften auf Domänenknoten -> ms-DS-MachineAccountQuota auf 0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.