В Active Directory новостворені облікові записи користувачів і облікові записи комп'ютерів поміщаються в контейнери (CN, Containers) за замовчуванням. Для комп'ютерів це контейнер Computers, для користувачів - Users. Недоліком такого підходу є те, що на відміну від підрозділу (OU, Organization Unit) до контейнерів застосувати окрему політику безпеки не можна, тільки дефолтну політику домену.Оскільки це не дуже зручно, спробуємо змінити існуючий порядок речей.

Контейнери за замовчуванням для користувачів і комп'ютерів визначаються в контексті іменування домену (Domain NC), в атрибуті wellKnownObjects.
Щоб подивитися його вміст, запускаємо оснащення ADSIEdit, підключаємося до контексту іменування домену за замовчуванням, відкриваємо властивості домену і знаходимо потрібний атрибут.Однак при спробі відкрити його нам видається повідомлення про те, що для даного типу об'єктів немає зареєстрованого редактора. Мабуть цей атрибут захищений від ручного внесення змін.

Отже, ADSIEdit нам не допоможе, тому скористаємося утилітою AD Explorer, яка призначена для перегляду і редагування Active Directory.Утиліта абсолютно безкоштовна і не вимагає установки, досить просто завантажити її, запустити і підключитися до домену.

Так виглядає вміст атрибута wellKnownObjects. А ось і значення контейнерів за умовчанням.

Знайшовши потрібні параметри спробуємо їх змінити.Як вже було сказано, атрибут wellKnownObjects захищений від зміни та вручну відредагувати його не вдасться. Для його зміни в Windows є спеціальні утиліти redircmp.exe і redirusr.exe, що знаходяться в папці C: \ Windows \ System32. Як видно з їх назви, перша служить для перенаправлення комп'ютерів, а друга - користувачів.

Примітка. Перед використанням утиліт треба не забути створити нові OU, які будуть призначені за замовчуванням. Для прикладу я створив OU Workstations для комп'ютерів і Peoples для користувачів.

Для призначення OU Workstations контейнером за замовчуванням в домені Contoso.com відкриваємо командний консоль і вводимо команду:

redircmp OU = Workstations , DC = contoso, DC = com

Для призначення OU Peoples за замовчуванням вводимо:

redirusr OU = Peoples, DC = contoso, DC = com

Ще раз відкриємо атрибут wellKnownObjects і подивимося, як змінилися його властивості.

Ну і перевіримо на практиці внесені зміни. Я взяв комп'ютер WKS1 і додав його в домен. Як бачите, він виявився в підрозділі Workstations.

Тепер додамо користувача c допомогою командлета New-ADUser з оснащення Powershell, в цьому випадку він повинен потрапити в контейнер за умовчанням.Перевіряємо - так і є, він у OU Peoples.

Щоб операція перенаправлення пройшла успішно, треба дотримати наступні вимоги:

• Функціональний рівень домену не нижче Windows Server 2003;
• Повинен бути доступний контролер домену з роллю PDC Emulator;
• Всі дії повинні проводиться з правами адміністратора домену..