При включенні комп’ютера в домен Active Directory за допомогою GUI Windows або команди NETDOM.EXE, за замовчуванням новостворений об’єкт потрапляє в контейнер (OU) Комп’ютери, Який є контейнером за замовчуванням для всіх новостворений об’єктів типу «Computer».

Недолік такого підходу полягає в тому, що ви не можете призначити жодної доменної групової політики на OU Computers, і виходить, що на нових комп’ютерах домену (потенційно небезпечних) ви просто не зможете застосувати спеціальні параметри безпеки (крім стандартних для всього домену).

Розберемося, де ж зберігаються настройки, що визначають OU за замовчуванням для комп’ютерів домена. Відкрийте консоль Active Directory Users and Computers (як встановити оснащення Active Directory в Windows 7), або ж консоль ADSI Edit, за допомогою контекстного меню перейдіть в властивості домену, а потім перейдіть на вкладку Attribute Editor.

Контейнер AD, в який потрапляють по-замовчуванню нові комп’ютери, визначаються в атрибуті wellKnownObjects.

опис: зображення

Але при спробі двічі клацнути по цьому атрибуту, з’явиться вікно з помилкою про те, що немає зареєстрованого редактора для обробки такого типу атрибутів. Я припускаю, що даний атрибут просто захищений від ручного внесення змін. Тому для доступу до даного параметру, я скористаюся чудовою утилітою від Марка Русиновича – Провідник Active Directory.

Атрибут wellKnownObjects містить приблизно таку інформацію:

98 39240175 31 194 65 13142 59177 6 21 187 91 15, CN = redircomp.exeNTDS Квоти, DC = LABHOME, DC = локальний

244 190 146164 199 119 72 94 135 142 148 33213 48 135 219, CN = Microsoft, CN = Дані програми, DC = LABHOME, DC = локальний

9 70 12 8174 30 74 78160246 7423812530 30 30 90, CN = дані програми, DC = LABHOME, DC = локальний

34 183 12 103 213 110 78 251 145 233 48 15 202 61 193 170, CN = ForeignSecurityPrincipals, DC = LABHOME, DC = local

24 226 234 128 104 79 17 210 185 170 0 192 79 121 248 5, CN = Видалені об’єкти, DC = LABHOME, DC = локальний

47 186 193 135 10 222 17 210 151 196 0 192 79 216 213 205, CN = Інфраструктура, DC = LABHOME, DC = локальний

171 129 83 183 118 136 17 209 173 237 0 192 79 216 213 205, CN = LostAndFound, DC = LABHOME, DC = local

171 29 48243118136 17209173 237 0 192 79 216 213 205, CN = Система, DC = LABHOME, DC = локальний

163 97 178 255 255 210 17 209 170 75 0 192 79 215 216 58, OU = Контролери домену, DC = LABHOME, DC = локальний

170 49 40 37 118 136 17209173 237 0 192 79 216 213 205, CN = Комп’ютери, DC = LABHOME, DC = локальний

169 209 202 21 118 136 17 209 173 237 0 192 79 216 213 205, CN = Користувачі, DC = LABHOME, DC = локальний

Тепер, коли ми зрозуміли, де зберігається потрібний нам параметр, спробуємо змінити його. Як я вже говорив, атрибут wellKnownObjects не можна відредагувати за допомогою консолей AD, напевно, це й на краще)). Для модифікації цього параметра Microsoft розробила спеціальну утиліту, яка називається redircmp.exe, Яка зберігається в папці% SystemRoot% System32 (на системах Windows Server 2003/2008).

Перед використанням утиліти redircmp.exe, створимо новий Organizational Unit, в який в подальшому будуть потрапляти об’єкти Computer. Для прикладу я створив OU ПоетапніКомп’ютери. Виконаємо наступну команду:

redircmp OU=StagedComputers,DC=LABHOME,DC=local

опис: зображення

А потім за допомогою Active Directory Explorer переглянемо вміст атрибута wellKnownObjects (як ви побачите, воно змінилося):

170 49 40 371181 136 17209173 237 0 192 79 216 213 205, OU = Поетапні комп’ютери, DC = LABHOME, DC = локальний

98 39240175 31 194 65 13 142 59177 6 21 187 91 15, CN = квоти NTDS, DC = LABHOME, DC = локальний

244 190 146164 199 119 72 94 135 142 148 33213 48 135 219, CN = Microsoft, CN = Дані програми, DC = LABHOME, DC = локальний

9 70 12 8174 30 74 78160246 7423812530 30 30 90, CN = дані програми, DC = LABHOME, DC = локальний

34 183 12 103 213 110 78 251 145 233 48 15 202 61 193 170, CN = ForeignSecurityPrincipals, DC = LABHOME, DC = local

24 226 234 128 104 79 17 210 185 170 0 192 79 121 248 5, CN = Видалені об’єкти, DC = LABHOME, DC = локальний

47 186 193 135 10 222 17 210 151 196 0 192 79 216 213 205, CN = Інфраструктура, DC = LABHOME, DC = локальний

171 129 83 183 118 136 17 209 173 237 0 192 79 216 213 205, CN = LostAndFound, DC = LABHOME, DC = local

171 29 48243118136 17209173 237 0 192 79 216 213 205, CN = Система, DC = LABHOME, DC = локальний

163 97 178 255 255 210 17 209 170 75 0 192 79 215 216 58, OU = Контролери домену, DC = LABHOME, DC = локальний

169 209 202 21 118 136 17 209 173 237 0 192 79 216 213 205, CN = Користувачі, DC = LABHOME, DC = локальний

І нарешті, з метою тестування, я спробував включити Windows XP (ім’я ПК VMXP-001) в домен LABHOME, дійсно новий об’єкт типу Computer з’явився в контейнері StagedComputers.

опис: зображення

Leave a Reply

Your email address will not be published. Required fields are marked *