在我的Microsoft活动目录环境中,几乎每个组织结构都是一个组织单位。 这个规则有两个常见的例外,Computers对象和Users对象。 这些是安装Active Directory时创build的默认对象。 每当我读到关于这些对象的任何信息时,我都被告知他们使用“容器名称”来向后兼容。 据我所知,这些对象是在主动目录安装的时候configuration的。 我的主要问题是这样的:
如果您转换为使用OU的这些对象会破坏什么? 我认为唯一的方法是创build新的OU,redirect活动直接使用这些新的OU,然后删除旧的CN对象。
我意识到这不是一个推荐的程序,但我想知道为什么。
奖金问题
这些容器在升级到Windows 2000 AD域时与基于NT4的域向后兼容,还有许多其他原因是由于NT4与Windows 2000兼容所致。
MS KB 324949对传统(“早期版本”)api调用的原因提供了一个很好的解释: https : //support.microsoft.com/en-us/help/324949/redire- tion-users-and -computers的容器function于有源目录域
在Active Directory域的默认安装中,用户帐户,计算机帐户和组放在CN = objectclass容器中,而不是置于更理想的组织单位类容器中。 同样,通过使用较早版本的API创build的用户帐户,计算机帐户和组都放在CN = Users和CN =个计算机容器中。
由早期版本的API创build的用户,计算机和组将对象放置在位于域NC头中的WellKnownObjects属性中指定的DNpath中。 以下代码示例显示了CONTOSO.COM域NC头的WellKnownObjects属性中的相关path。
我build议不要搞那些东西。 通常会创build新的OU,然后将所有必需的对象移动到新的OU中。 然后,您可以使用redircmp( https://technet.microsoft.com/en-us/library/cc770619.aspx )更改默认情况下创build计算机对象的位置。