在我的 Microsoft 活动目录环境中,几乎每个组织结构都是一个组织单位。此规则有两个常见的例外,即计算机对象和用户对象。这些是设置 Active Directory 时创建的默认对象。每当我读到关于这些对象的任何内容时,我都会被告知它们使用“容器名称”来实现向后兼容性。据我了解,这些对象是在设置活动目录时以这种方式配置的。我的主要问题是:
如果您转换为对这些对象使用 OU,会出现什么问题?我假设这样做的唯一方法是创建新的 OU,重定向活动直接以使用这些新的 OU,然后删除旧的 CN 对象。
我意识到这不是推荐的程序,但我想知道为什么。
奖金问题
- Active Directory 开发人员是否说明了使用 CN 而不是普通 OU 创建计算机和用户对象的原因?
- 甚至可以删除默认对象吗?
我建议不要弄乱这些对象。通常会创建新的 OU,然后将任何必要的对象移动到新的 OU。然后,您可以使用 redircmp ( https://technet.microsoft.com/en-us/library/cc770619.aspx ) 更改默认创建计算机对象的位置。
这些容器的存在是为了在升级到 Windows 2000 AD 域时向后兼容基于 NT4 的域,以及由于 NT4 与 Windows 2000 兼容的许多其他原因。
MS KB 324949 很好地解释了由于遗留(“早期版本”)api调用而导致的原因:https: //support.microsoft.com/en-us/help/324949/redirecting-the-users-and -computers-containers-in-active-directory-domains