AD日常管理一、新增计算机/用户时重定向AD中默认位置

最新推荐文章于 2025-10-28 14:16:34 发布
原创 最新推荐文章于 2025-10-28 14:16:34 发布 · 3.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何在AD环境中使用redircmp和redirusr命令行工具,重定向新创建的计算机和用户帐户的默认存储位置到特定的组织单元(OU),以方便进行组策略设置。重定向计算机示例:redircmp ""OU=NewComputers"
  AD安装完成后,就可以通过AD管理中心、AD用户和计算机管理或命令行等方式来新建计算机和用户帐户了。默认设置下,新建的计算机帐户会自动分类到Computers容器中,新建的用户帐户会自动归类到Users容器。因为Computers和Users是两个容器,如果我们希望对每个新添加的用户和计算机进行某种组策略设置,那么此时就无能为力。为解决这个情况,MS提供了两个命令行工具:redircmp/redirusr,分别用来设置新增计算机和用户对象默认存储的位置。

一:重定向命令与语法
        重定向计算机:redircmp
        重定向用户:redirusr
redircmp/redirusr:重定向域环境中默认新加入到域中的计算机/用户所存放在OU
 
        示例:重定向计算机OU:redircmp "OU=NewComputers",DC=Hyper-V,DC=COM
                   重定向用户OU:redirUsr "OU=NewUsers",DC=Hyper-V,DC=COM

二、重定向计算机/用户必要条件
        1、有合适的权限
        2、PDC在线且正常
        3、重定向的OU已存在,也就是上述的NewComputers和NewUsers两个OU,需要提前建立
        4、当前的域功能级别为Windows Server 2003及以上
Docker (六):mysql 主从复制、redis集群3主3从【扩缩容案例】
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
09-03 6万+
🟢 Docker (六):mysql 主从复制、redis集群3主3从【扩缩容案例】
SLB负载均衡和DNS协议
ghw15221836342的博客
03-21 3335
SLB负载均衡和DNS协议SLB 负载均衡负载均衡原理负载均衡的组成健康检测HTTP/HTTPS监听健康检查机制健康检测中域名的设置TCP监听健康检查机制健康检查状态对请求转发的影响如下:网络流量路径说明入网流量路径出网流量路径SLB使用实践监听配置选择转发策略DNSDNS基本概述DNS工作流程分布式、层次数据库DNS层次结构DNS查询步骤DNS解析器DNS查询类型DNS缓存DNS缓存的工作流程DNS缓存方式DNS报文报文段首部问题区域资源记录部分DNS安全DNS防火墙参考文献 SLB 负载均衡 负载均衡(
指定AD用户,新计算机帐户默认位置
weixin_33936401的博客
09-18 235
默认新增用户计算机帐户放在AD用户容器与AD计算机容器中,而此两容器不是AD组织单元,无法为此链接GPO,希望更改默认位置,借助Redirusr与Redircmp两命令行工具实现 例:为“test.com”域名为"userou”的OU更改新用户默认位置,命令如下: redirusr ou=userou,dc=test,dc=com 运行命令前确保新的默认容器的存在,同确保域功能级别为2...
如何更改加入域的计算机默认OU
weixin_34205076的博客
04-03 967
计算机加入Windows Domain后,成为域的成员它的默认OU般都是 位于Domain下的Computer里。为了安全的需要我们可能会需要更改到特定的OU, 下面便简单介绍种方法:需求:1. 在域的用户计算机 控制台 打开高级选项,设定好默认OU的拷贝OU的属性。2. 在 PowerShell下敲入命令: redircmp redircmp <Contain...
关于OU重定向需要注意的几点
weixin_33916256的博客
07-23 203
1 什么是OU重定向就是在计算机或账户加入域的候使其不存储在AD默认位置2 什么候需要做OU重定向扩展AD架构比如安装Exchange或Lync的候,Exchange会自动创建安全组OU并做重定向,Lync不会,它需要手动创建和做重定向需要将改变域账号或计算机AD存储位置3 重定向完的目标OU是不能做删除和重命名操作4 重定向过程中需要注意的。在改变默认存储位置的...
AD用户配置系列三】文件夹重定向用户登录与注销加速
weixin_34037515的博客
02-09 392
在前面两篇文章中(让IT省心省力的漫游配置文件和批量修改漫游配置文件路径),跟大家介绍了漫游配置文件在企业IT基础环境管理中的使用方法。通过漫游配置文件实现了用户配置文件的集中管理:这对企业IT部门来说,大大了简化了用户数据资料的管理步骤,尤其减少了在每次系统版本更新和平台迁移的工作量;对于企业员工来说,也提高了重要业务资料的可靠性,减少了意外加班的几率,让每天的工作更轻松;对于企业管理层来说,...
AD对象的迁移
weixin_34082695的博客
11-15 207
AD对象的迁移 (2007-11-08 22:13:21) 转载▼ 标签: 知识/探索 在DC上进行对象(用户、组、OU、计算机)的导入与导出,对于网络管理员来说是件比较繁锁的任务。管理员常的工具有ADMT、V1、V2、LDIFDE、Addusers等,但各个工具使用的环境及操作的简易程序却大不相同。ADMT工具主要选用于不同域之...
22、Windows用户数据与设置管理解决方案
最新发布
pytorch8learner的博客
10-28 1
本文详细介绍了Windows环境下用户数据与设置的管理解决方案,涵盖DFS命名空间的使用、不同用户场景下的数据配置策略,以及如何通过脚本自动化创建和保护服务器端用户数据存储。重点包括漫游配置文件与文件夹重定向的适用场景、NTFS权限配置最佳实践,并提供了可执行的批处理脚本(UDS_DataRoot_ACL.bat)用于高效、安全地管理用户数据存储根文件夹。文章还探讨了笔记本用户、旅行用户等特殊场景的优化方案,旨在提升数据可用性、安全性和管理效率。
【LVM管理技巧】:高级用户指南,创建和管理Ubuntu中的逻辑卷
[【LVM管理技巧】:高级用户指南,创建和管理Ubuntu中的逻辑卷](https://static1.howtogeekimages.com/wordpress/wp-content/uploads/2012/11/sys-cf-lvm3.png) # 摘要 本文旨在全面介绍逻辑卷管理(LVM)的基础...
虚拟桌面环境(VDI)中C368驱动兼容性挑战:持久化配置与重定向策略优化(Citrix_VMware双平台适配)
![虚拟桌面环境(VDI)中C368驱动兼容性挑战:持久化...重点探讨了虚拟化USB设备重定向模型、驱动加载路径及多会话句柄管理等核心挑战,提出了基于持久化配置存储、跨平台策略统化和自动化部署的优化方案。通过FSL
ad用户计算机的使用方法,AD技巧之指定用户登录和指定计算机登陆
weixin_42351910的博客
06-16 2311
在域环境中我们往往默认情况下,域用户是可以在非域控机器上进行本地登录的,这里就涉及个域安全问题今天有人问我能否限制 某个用户只能登陆某台计算机?某台计算机只能由某个用户登录?某个用户只能登陆某台计算机这个可以通过AD用户计算机用户属性来指定用户可以登录的计算机假设我们这让用户甲登陆xp-a,但是禁止登陆xp-b打开账号选项卡,点击登陆到,将允许登陆计算机添加进去打开xp-a,用户甲登陆很正常...
加入域 计算机&帐号重定向
枫的专栏
10-14 807
重定向命令与语法        重定向计算机:redircmp        重定向用户:redirusr redircmp/redirusr:重定向域环境中默认新加入到域中的计算机/用户所存放在OU          示例:   重定向计算机OU:   redircmp OU=AllComputers,DC=fx,DC=cn 重定向用户OU:       redirUsr O
AD DS 2 定义用户、组和计算机
郑禄的博客
03-16 996
许多应用都包含托管程序的服务器上安装的服务。这些服务通常在服务器启动运行,或由其他事件触发。服务通常在后台运行,无需任何用户交互。为了让服务能够启动和进行身份验证,需要使用服务帐户。服务帐户可以是计算机的本地帐户,如内置本地服务、网络服务或本地系统帐户。还可以将服务帐户配置为使用位于 AD DS 的基于域的帐户。为了帮助进行集中管理和满足程序要求,许多组织选择使用基于域的帐户来运行程序服务。可能需要额外的管理工作来安全地管理服务帐户密码。确定在什么位置将基于域的帐户用作服务帐户有会比较困难。
从入门到精通AD域之重要文件SYSVOL修复、重建、转移
u013218421的博客
10-31 7605
上节已经大概述说了SYSVOL的重要性,那么本节来说明下,假如SYSVOL损坏了,会影响什么呢!例如会影响用户登录 了,无法同步复制域信息,无法升级域控制器等等。 Sysvol修复(此刻为结构尚存,共享文件消失) 1.模拟故障,删除默认共享 net share 2.验证共享已经丢失 3.检查结构是否尚存 tree c:\windows\sysvol 4. 故障说明 Sysvol结构中的...
AD批量创建计算机
weixin_34197488的博客
03-01 1576
、创建计算机账号在使用AD账号登陆之前,电脑必须加入域。计算机账号和用户账号类似,也有登录名(sAMAccountName)和密码(这个密码由服务器自动维护)及安全标示符(SID)。有了这些凭据,计算机可以在AD中进行身份验证,并创建安全关系,AD用户才能登陆到这些计算机。如果计算机AD之间的凭据出现问题,用户在登录则会提示“此工作站与主域之间的信任关系失败”。1.创建...
ad用户绑定计算机,Windows 2008 AD域账户与计算机名批量绑定
weixin_34308792的博客
06-18 1038
最近在绑定计算机AD账户和计算机名的候,发现用户账户过多,手动绑定手都抽筋了。所以找朋友要了个脚本,朋友只在2003上面执行过,不知道2008上面执行是否有问题,所以就测试了把。完美执行;1.复制下代码保存为xx.ps1## www.sivarajan.com# blogs.sivarajan.com# You can use this PowerShell script to update...
如何在AD重定向电脑加域后默认保存位置
weixin_34238642的博客
09-06 1641
如何在AD重定向电脑加域后默认保存位置? ©Lander Zhang 专注外企按需IT基础架构运维服务,IT Helpdesk 实战培训践行者https://blog.51cto.com/lander 2018/09/6 7:30 问题描述 默认加域后的电脑会保存在AD中的 Computers 目录下面,如果我想实现加域后的电脑默认保存到我自定义的组织单元(OU)上是否可以呢?因为OU最大的...
活动目录Users和Computers默认位置变更
wudkit的专栏
12-31 1118
<br />将 CN=Users 重定向管理员指定的组织单位<br /><br />    1. 使用域管理员凭据登录到 CN=Users 容器将被重定向到的 z 域中。<br />    2. 在“Active Directory 用户计算机管理单元 (Dsa.msc) 或“域和信任关系”管理单元 (Domains.msc) 中,将该域转换到 Windows Server 2003 域功能级别。 有关提高域功能级别的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
MOSS系列之四用户组和用户[转帖]
weixin_30588675的博客
11-27 184
SharePoint 2003的用户身份验证必须以活动目录AD为基础。这意味着SharePoint2003无法创建互联网上的网站。这点极大阻碍了SharePoint2003 的发展。MOSS2007中的用户身份验证比起SharePoint2003来说有了个质的飞跃。MOSS2007支持自定义的用户身份验证提供程序。可以根据实际业务情况,按照些规则自行构建用户身份验证程序,并且可以使用SQ...
登陆遇到问题AADST90044
08-22
<think>嗯,用户遇到了Azure AD登录错误AADST90044,这是个典型的权限配置问题。从错误代码看,核心是权限到期或缺失,需要分步骤排查。 用户可能正在管理企业应用,突然遇到登录中断,情绪会比较焦虑。这类错误通常发生在权限期限设置较短或管理员忘记续期。需要优先解释清楚错误本质——不是账号问题而是权限配置问题,避免用户盲目尝试密码重置。 先拆解三个最常见原因:权限过期、范围不足、配置错误。权限过期是最典型的,Azure AD的应用权限默认有最长效限制;范围不足常见于应用更新后新增API权限但未同步到授权;配置错误则多发生在手动修改应用注册。 解决方案要按用户角色区分:普通用户只需等待管理员处理,而管理员需要逐步操作。特别要注意提醒用户检查"API权限"界面的状态栏,那里会明确显示过期间。对于权限范围问题,必须强调管理员同意步骤不可省略——很多管理员会添加权限后忘记点击那个灰色的"授予管理员同意"按钮。 引用中提到的client_id问题虽然不直接相关,但可以借鉴思路:Azure的权限绑定是多方位的,授权码同关联了client_id、权限范围和重定向URI,任何环不匹配都会导致错误。用户之前遇到的OpenStack下载问题也提示要考虑网络因素,但AADST90044基本是配置问题。 最后生成的三个问题都围绕权限管理延伸:第个帮助用户理解权限生命周期,第二个针对权限变更场景,第三个则是更深层的审计要求。这样既解决当前错误,也预防未来类似问题。</think>以下是针对 Azure AD 登录错误 **AADST90044** 的原因分析和解决方法: --- ### **错误原因** 错误代码 `AADST90044` 表示 **应用程序所需的权限已过期或未授予**,具体可能由以下原因导致: 1. **权限过期** Azure AD 中配置的应用程序权限(如访问用户数据、调用 API)设置了有效期,到期后未续订。 2. **权限范围不足** 应用程序请求的权限(如 `Mail.Read`、`User.ReadWrite`)未被管理员正式授予。 3. **配置错误** 应用注册未正确配置所需的 API 权限,或管理员未完成“授予管理员同意”操作。 --- ### **解决方法** #### **普通用户** 1. **联系管理员** 此错误需管理员干预,普通用户无法自行解决。将错误代码 `AADST90044` 反馈给 IT 支持团队。 #### **管理员操作** > **步骤 1:检查权限有效期** > - 进入 **Azure 门户** → **应用注册** → 选择相关应用 → **API 权限** > - 查看权限状态栏: > - 若显示 **过期间**(如 `Expires on 2024-12-31`),需重新授予权限。 > - 若状态为 **未授予**(灰色感叹号),需点击 **授予管理员同意**。 > > **步骤 2:重新授予权限** > 1. 在 **API 权限** 页面,点击 **添加权限** → 选择所需权限(如 Microsoft Graph)。 > 2. 勾选应用所需权限(如 `User.Read.All`)。 > 3. 点击 **授予管理员同意**(需全局管理员身份),确认操作。 > > **步骤 3:验证权限范围** > - 确保权限范围覆盖用户所需操作(例如:访问邮箱需 `Mail.Read`)。 > - 若应用访问资源变更(如新增 API),需重新添加并授予权限。 > > **步骤 4:检查应用配置** > - 在应用注册的 **清单文件** (`manifest.json`) 中,确认 `requiredResourceAccess` 字段包含正确的资源权限声明。 > - 示例片段: > ```json > "requiredResourceAccess": [ > { > "resourceAppId": "00000003-0000-0000-c000-000000000000", // Microsoft Graph > "resourceAccess": [ > { "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d", "type": "Scope" } // User.Read > ] > } > ] > ``` --- ### **预防措施** 1. **设置权限到期提醒** 在 Azure AD 中启用邮件通知(**企业应用** → **监控** → **续订或撤销证书**)。 2. **定期审计权限** 使用 PowerShell 命令 `Get-AzureADServicePrincipalOAuth2PermissionGrant` 检查所有应用的权限状态。 3. **最小权限原则** 仅授予应用必要的最低权限,减少安全风险[^1]。 > ⚠️ **注意**:若应用使用客户端凭据流(服务间调用),需确保证书/密钥有效且未过期(应用注册 → **证书和密码**)。 --- ### **相关问题** 1. **如何为 Azure AD 应用配置权限的自动续订?** 2. **管理员授予权限后,用户仍遇到 AADSTS90072 错误该如何解决?** 3. **Azure AD 中的“委托权限”与“应用程序权限”有何区别?** [^1]: 权限的精确配置是安全性的核心,过度授权可能导致数据泄露风险,需严格遵循最小化原则。 [^2]: 网络问题通常表现为连接超(如 AADSTS90097),而 AADST90044 明确指向权限配置,需优先检查权限状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值