По умолчанию новые компьютеры при добавлении в домен через графическую панель System Properties ( sysdm.cpl ) создаются в контейнере Computers. Это контейнер по умолчанию для всех новых объектов типа computer в домене.
Технически корневой контейнер Computers не является организационным подразделением (Organizational Unit, OU), и вы не можете назначить на него отдельные групповые политики (хотя на него действуют корневые доменные GPO, включая Default Domain Policy). Это может быть потенциально небезопасно, т.к. на новые компьютеры могут сразу не действовать необходимые политики безопасности, которые применяются на продуктивные OU. Администраторы домена должны следить за появлением новых учетных записей компьютеров в контейнере Computers и вручную перемещать объекты в другие OU.
Администратор домена может изменить OU для новых компьютеров с помощью встроенной утилиты redircmp.exe.
Вывести текущий контейнер по-умолчанию для компьютеров:
Get-ADDomain | select ComputersContainer
Чтобы изменить этот контейнер на другой OU, укажите его distinguishedName в следящей команде:
redircmp.exe "OU=Workstations,OU=HQ,DC=reslab,DC=local"
Проверьте, что дефолтный контейнер для компьютеров изменился.
Аналогичным образом можно узнать контейнер по умолчанию для учетных записей пользователей. При создании нового пользователя с помощью New-ADUser (или других cli инструментов) без указания OU, учетные записи создаются в корневом контейнере CN=User .
Get-ADDomain | select usersContainer
Задать новую OU по умолчанию для новых пользователей можно командой redirusr:
redirusr "OU=Users,OU=HQ,DC=reslab,DC=local"
Добавить комментарий