Зміна OU для комп'ютерів за замовчуванням в Active Directory (Active Directory)

При включенні комп'ютера в домен Active Directory за допомогою GUI Windows або команди NETDOM.EXE, за замовчуванням новостворений об'єкт потрапляє в контейнер (OU) Computers, який є контейнером за замовчуванням для всіх новостворений об'єктів типу "Computer".

Недолік такого підходу полягає в тому, що ви не можете призначити жодної доменної групової політики на OU Computers, і виходить, що на нових комп'ютерах домену (потенційно небезпечних) ви просто не зможете застосувати спеціальні параметри безпеки (крім стандартних для всього домену).

Розберемося, де ж зберігаються настройки, що визначають OU за замовчуванням для комп'ютерів домена. Відкрийте консоль Active Directory Users and Computers (як встановити оснащення Active Directory в Windows 7), або ж консоль ADSI Edit, за допомогою контекстного меню перейдіть в властивості домену, а потім перейдіть на вкладку Attribute Editor.

Контейнер AD, в який потрапляють по-замовчуванню нові комп'ютери, визначаються в атрибуті wellKnownObjects.

Але при спробі двічі клацнути по цьому атрибуту, з'явиться вікно з помилкою про те, що немає зареєстрованого редактора для обробки такого типу атрибутів. Я припускаю, що даний атрибут просто захищений від ручного внесення змін. Тому для доступу до даного параметру, я скористаюся чудовою утилітою від Марка Русиновича - Active Directory Explorer.

Атрибут wellKnownObjects містить приблизно таку інформацію:

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = redircomp.exeNTDS Quotas, DC = LABHOME, DC = local

244 190 146 164 199 119 72 94 135 142 148 33 213 48 135 219, CN = Microsoft, CN = Program Data, DC = LABHOME, DC = local

9 70 12 8 174 30 74 78 160 246 74 238 125 170 30 90, CN = Program Data, DC = LABHOME, DC = local

34 183 12 103 213 110 78 251 145 233 48 15 202 61 193 170, CN = ForeignSecurityPrincipals, DC = LABHOME, DC = local

24 226 234 128 104 79 17 210 185 170 0 192 79 121 248 5, CN = Deleted Objects, DC = LABHOME, DC = local

47 186 193 135 10 222 17 210 151 196 0 192 79 216 213 205, CN = Infrastructure, DC = LABHOME, DC = local

171 129 83 183 118 136 17 209 173 237 0 192 79 216 213 205, CN = LostAndFound, DC = LABHOME, DC = local

171 29 48 243 118 136 17 209 173 237 0 192 79 216 213 205, CN = System, DC = LABHOME, DC = local

163 97 178 255 255 210 17 209 170 75 0 192 79 215 216 58, OU = Domain Controllers, DC = LABHOME, DC = local

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, CN = Computers, DC = LABHOME, DC = local

169 209 202 21 118 136 17 209 173 237 0 192 79 216 213 205, CN = Users, DC = LABHOME, DC = local

Тепер, коли ми зрозуміли, де зберігається потрібний нам параметр, спробуємо змінити його. Як я вже говорив, атрибут wellKnownObjects не можна відредагувати за допомогою консолей AD, напевно, це й на краще)). Для модифікації цього параметра Microsoft розробила спеціальну утиліту, яка називається redircmp.exe, яка зберігається в папці% SystemRoot% \ System32 (на системах Windows Server 2003/2008).

Перед використанням утиліти redircmp.exe, створимо новий Organizational Unit, в який в подальшому будуть потрапляти об'єкти Computer. Для прикладу я створив OU StagedComputers. Виконаємо наступну команду:

redircmp OU = StagedComputers, DC = LABHOME, DC = local

А потім за допомогою Active Directory Explorer переглянемо вміст атрибута wellKnownObjects (як ви побачите, воно змінилося):

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, OU = StagedComputers, DC = LABHOME, DC = local

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = NTDS Quotas, DC = LABHOME, DC = local