Problem
Neue Computer-Objekte im Active Directory werden standardmäßig im „WellKnownObjects“ Container (CN) CN=Computers abgelegt und neue Benutzer-Objekte in CN=Users. In den guten alten SBS-Installationen ist der Ort anders und lautet „SBSComputers“ und „SBSUsers“. Das ist nicht immer perfekt – wie ändert man das?
Lösung
An der (Admin-) Kommandozeile lässt sich ab Server 2008 der Standardpfad ändern. Es empfielt sich, die neue OU vor „unabsichtlichem löschen“ zu schützen. Außerdem benötigt die Änderung ein Domänenfunktionslevel von mindestens „Windows Server 2003“ und Windows Server 2008 als ausführenden DC.
Für Computer
C:\> redircmp OU=NeueComputerOU,DC=domain,dc=tld
Beispiel: redircmp OU=NeueComputerOU,DC=diebestedomain,dc=local
Für Benutzer
C:\> redirusr OU=NeueBenutzerOU,DC=domain,dc=tld
Beispiel: redirusr OU=NeueBenutzerOU,DC=diebestedomain,dc=local
Mögliche Fehler
„Error, could not locate the Primary Domain Controller for the current domain: The specified domain either does not exist or could not be contacted. Redirection was NOT successful.“
Der PDC-Emulator ist in diesem Moment nicht erreichbar oder der SID-Master war (in der Vergangenheit einmal) zu lange nicht erreichbar.
„Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Insufficient Rights Redirection was NOT successful.“
Nicht ausreichende Berechtigungen – CMD als Administrator aufgeführt?
„Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: No Such Object Redirection was NOT successful.“
Die angegebene OU existiert nicht – Pfad prüfen.
Mehr Informationen in der KB: https://support…/324949
Super Beitrag. 🙂
Den StandartContainer sollte man aus Sicherheitsgründen ohnehin ändern damit normale Benutzer keine Computer zur Domäne hinzufügen können. Die Standarteinstellung erlaubt dem User 10 Computer hinzuzufügen. Mit redircmp schafft man das ab. Zusätzlich sollte man die hinzufügbaren PCs pro Benutzer auf 0 setzen. Das geht im ADSI-Editor -> Eigenschaften auf Domänenknoten -> ms-DS-MachineAccountQuota auf 0
Heißt es nicht „Standard“ ?
Du hast vollkommen recht, ich habe den Artikel korrigiert. Rechtschreibung ist definitiv nicht meine größte Stärke. Danke dir!