Lorsque vous installez Active Directory (AD) sur votre serveur Windows, peu de temps après, vous voudrez joindre des ordinateurs au domaine. Dans une installation par défaut d’AD, les comptes d’ordinateurs sont placés dans le conteneur CN=Computers. Pour de nombreuses installations, ce n’est pas un gros problème.
L’administrateur AD déplace simplement le compte d’ordinateur vers l’unité organisationnelle appropriée une fois que l’ordinateur a été joint au domaine. Cependant, vous avez peut-être remarqué que le conteneur « Computers » par défaut ne permet pas de lier des objets de stratégie de groupe.
Cela peut être très contraignant, surtout si les politiques de sécurité de votre organisation exigent que vous configuriez initialement le système une fois qu’il a rejoint le domaine, éventuellement en appliquant des politiques spécifiques, en installant des logiciels ou en activant des fonctionnalités telles que le pare-feu local de Windows. Une solution consiste à rediriger le conteneur d’ordinateurs.
Conditions préalables
Le domaine doit être configuré pour fonctionner au niveau fonctionnel de domaine Windows Server 2003 ou supérieur. Tous les contrôleurs de domaine du domaine cible doivent exécuter Windows Server 2003 ou une version plus récente.
Remarque : Le conteneur « Computers » est un objet protégé par le système qui ne peut pas être supprimé. Toutefois, le conteneur peut être renommé.
Redirection de CN=Computers vers une unité organisationnelle spécifiée par l’administrateur
Connectez-vous avec des informations d'identification d'administrateur de domaine dans le domaine où le conteneur CN=computers est redirigé. Ouvrez le snap-in Utilisateurs et ordinateurs Active Directory. Créez le conteneur d'unité d'organisation dans lequel vous voulez que les ordinateurs soient automatiquement créés. Exécutez le fichier Redircmp.exe à une invite de commande en utilisant la syntaxe suivante : redircmp DN Exemple : redircmp "ou=myComputers,DC=anITKB,dc=com"
Remarque : Redircmp.exe est installé dans le dossier %Systemroot%\System32 sur les ordinateurs basés sur Windows Server 2003 ou plus récents. Lorsque Redircmp.exe est exécuté pour rediriger le conteneur CN=Computers vers une unité d’organisation spécifiée par un administrateur, le conteneur CN=Computers ne sera plus un objet protégé.
Cela signifie que le conteneur Computers peut maintenant être déplacé, supprimé ou renommé. Si vous utilisez ADSIEDIT pour afficher les attributs du conteneur CN=Computers, vous constaterez que l’attribut systemflags a été modifié de -1946157056 à 0.
Comment rediriger automatiquement les données
C’est un changement délibéré.
Un dernier conseil, le même processus peut être effectué pour rediriger les utilisateurs. La commande à utiliser est redirusr.
Voici une liste de tous les « objets bien connus » utilisés par les API des versions antérieures.
B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users