在我的 Microsoft Active Directory 环境中,几乎每个组织结构都是一个组织单位。此规则有两个常见例外,即计算机对象和用户对象。这些是设置 Active Directory 时创建的默认对象。每当我阅读有关这些对象的任何内容时,我都会被告知它们使用“容器名称”来实现向后兼容。据我所知,这些对象是在设置 Active Directory 时以这种方式配置的。我的主要问题是:
如果将这些对象转换为使用 OU,会发生什么情况?我假设唯一的方法是创建新的 OU,重定向活动目录以使用这些新的 OU,然后删除旧的 CN 对象。
我知道这不是一个推荐的程序,但我想知道为什么。
奖励问题
- 活动目录开发人员是否给出了使用 CN 而不是普通 OU 创建计算机和用户对象的原因?
- 是否可以删除默认对象?
答案1
这些容器的存在是为了在升级到 Windows 2000 AD 域时与基于 NT4 的域保持向后兼容,以及由于 NT4 与 Windows 2000 兼容的许多其他原因。
MS KB 324949 很好地解释了由于遗留(“早期版本”)api 调用导致此问题的原因: https://support.microsoft.com/en-us/help/324949/redirecting-the-users-and-computers-containers-in-active-directory-domains
在 Active Directory 域的默认安装中,用户帐户、计算机帐户和组被放入 CN=objectclass 容器中,而不是放入更合适的组织单位类容器中。同样,使用早期版本 API 创建的用户帐户、计算机帐户和组被放入 CN=Users 和 CN=computers 容器中。
由早期版本 API 创建的用户、计算机和组将对象放置在域 NC 头中的 WellKnownObjects 属性中指定的 DN 路径中。以下代码示例显示了 CONTOSO.COM 域 NC 头中的 WellKnownObjects 属性中的相关路径。
答案2
我建议不要弄乱这些对象。通常的做法是创建新的 OU,然后将任何必要的对象移动到新的 OU。然后,您可以使用 redircmp (https://technet.microsoft.com/en-us/library/cc770619.aspx)来更改默认创建计算机对象的位置。