Promijenite OU za zadana računala u Active Directoryu (Active Directory)

Kad uključite računalo u domenu Active Directory pomoću Windows GUI ili naredbe NETDOM.EXE, novostvoreni objekt po zadanom pada u spremnik (OU) računala, koji je zadani spremnik za sve novostvorene objekte tipa "Computer".

Nedostatak ovog pristupa je što ne možete dodijeliti jednu politiku grupe domena OU Računala, a ispada da na novim računalima u domeni (potencijalno nesigurni) jednostavno ne možete primijeniti posebne sigurnosne postavke (pored standardnih za čitavu domenu).

Let's shvatiti gdje su pohranjene postavke koje određuju zadani OU za računala domene. Otvorite Active Directory korisnike i konzole Active Directory (kako instalirati dodatak Active Directory u Windows 7) ili ADSI Edit console, koristite kontekstni izbornik za otvaranje svojstava domene, a zatim idite na karticu Attribute Editor..

AD atribut u koji nova računala zadano postaju definirani je u atributu wellKnownObjects.

Ali kada pokušate dvokliknite na ovaj atribut, pojavit će se prozor s pogreškom koji navodi da nema registriranog uređivača za obradu ove vrste atributa. Pretpostavljam da je ovaj atribut jednostavno zaštićen od ručnih promjena. Stoga ću za pristup ovom parametru koristiti prekrasan uslužni program Marka Rusinoviča - Active Directory Explorer.

Atribut wellK knownObjects sadrži ovako nešto:

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = redircomp.exe NTDS kvote, DC = LABHOME, DC = lokalno

244 190 146 164 199 119 72 94 135 142 148 33 213 48 135 219, CN = Microsoft, CN = Podaci o programu, DC = LABHOME, DC = lokalni

9 70 12 8 174 30 74 78 160 246 74 238 125 170 30 90, CN = Podaci o programu, DC = LABHOME, DC = lokalni

34 183 12 103 213 110 78 251 145 233 48 15 202 61 193 170, CN = Vanjska načela sigurnosti, DC = LABHOME, DC = lokalno

24 226 234 128 104 79 17 210 185 170 0 192 79 121 248 5, CN = Izbrisani objekti, DC = LABHOME, DC = lokalni

47 186 193 135 10 222 17 210 151 196 0 192 79 216 213 205, CN = Infrastruktura, DC = LABHOME, DC = lokalno

171 129 83 183 118 136 17 209 173 237 0 192 79 216 213 205, CN = LostAndFound, DC = LABHOME, DC = local

171 29 48 243 118 136 17 209 173 237 0 192 79 216 213 205, CN = Sustav, DC = LABHOME, DC = lokalni

163 97 178 255 255 210 17 209 170 75 0 192 79 215 216 58, OU = kontroleri domena, DC = LABHOME, DC = lokalni

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, CN = Računala, DC = LABHOME, DC = lokalno

169 209 202 21 118 136 17 209 173 237 0 192 79 216 213 205, CN = Korisnici, DC = LABHOME, DC = lokalni

Sada kada razumijemo gdje se pohranjuje parametar koji nam treba, pokušajmo ga promijeniti. Kao što rekoh, atribut wellK knownObjects ne može se uređivati pomoću AD konzola, što je vjerojatno najbolje). Da bi izmijenio ovaj parametar, Microsoft je razvio poseban uslužni program pod nazivom redircmp.exe, koja se sprema u mapu% SystemRoot% \ System32 (na sustavima Windows Server 2003/2008).

Prije korištenja uslužnog programa redircmp.exe stvorit ćemo novu organizacijsku jedinicu, u koju će naknadno upadati računalni objekti. Na primjer, stvorio sam OU StagedComputers. Pokrenite sljedeću naredbu:

redircmp OU = StagedComputers, DC = LABHOME, DC = local

A onda ćemo uz pomoć Active Directory Explorera pogledati sadržaj atributa wellK knownObjects (kao što ćete vidjeti, promijenio se):

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, OU = StagedComputers, DC = LABHOME, DC = local

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN = Kvote NTDS, DC = LABHOME, DC = lokalno