在我的 Microsoft Active Directory 环境中,几乎每个组织结构都是一个组织单位。此规则有两个常见的例外,即计算机对象和用户对象。这些是设置 Active Directory 时创建的默认对象。每当我阅读有关这些对象的任何内容时,我都会被告知它们使用“容器名称”来实现向后兼容性。据我了解,这些对象是在设置活动目录时以这种方式配置的。我的主要问题是:
如果您转换为对这些对象使用 OU 会破坏什么?我假设唯一的方法是创建新的 OU,重定向活动目录以使用这些新的 OU,然后删除旧的 CN 对象。
我意识到这不是推荐的程序,但我想知道为什么。
奖金问题
小智 5
我建议不要弄乱这些对象。通常先创建新的 OU,然后将任何必要的对象移动到新的 OU。然后,您可以使用 redircmp ( https://technet.microsoft.com/en-us/library/cc770619.aspx ) 更改默认情况下创建计算机对象的位置。
小智 4
这些容器的存在是为了在升级到 Windows 2000 AD 域时向后兼容基于 NT4 的域,以及由于 NT4 与 Windows 2000 的兼容性而导致的许多其他原因。
MS KB 324949 很好地解释了由于遗留(“早期版本”)api 调用而导致此问题的原因: https://support.microsoft.com/en-us/help/324949/redirecting-the-users-and -活动目录域中的计算机容器
在 Active Directory 域的默认安装中,用户帐户、计算机帐户和组被放入 CN=objectclass 容器中,而不是放入更理想的组织单元类容器中。同样,使用早期版本 API 创建的用户帐户、计算机帐户和组也放置在 CN=Users 和 CN=computers 容器中。
由早期版本 API 创建的用户、计算机和组将对象放置在位于域 NC 头的 WellKnownObjects 属性中指定的 DN 路径中。以下代码示例显示 CONTOSO.COM 域 NC 头的 WellKnownObjects 属性中的相关路径。
| 归档时间: |
|
| 查看次数: |
8776 次 |
| 最近记录: |