在Active Directory(AD)环境中,要实现当计算机加入域时自动被放置到指定的OU(组织单元),通常需要配置组策略对象(GPO)中的计算机账户默认位置或者使用redircmp命令来重定向新加入域的计算机账户。
以下是两种方法:
方法一:通过组策略设置计算机账户容器
- 登录到域控制器或具有足够权限的管理服务器。
- 打开“组策略管理”工具 (Group Policy Management)。
- 在域级别或者适当的组织单位级别创建一个新的组策略对象(GPO)或编辑现有的GPO。
- 配置以下策略:
- 计算机配置 > 策略 > Windows 设置 > 安全设置 > 帐户策略 > 账户委派 > “计算机帐户的 Kerberos 密钥分发中心(KDC)委派”
- 或者
- 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > "计算机帐户默认容器" 注意:具体路径可能因Windows Server版本不同而有所差异。在较新的AD环境中,“计算机帐户默认容器”这一策略可能不可用,需使用Kerberos委派进行控制。
方法二:使用 redircmp 命令
如果您的环境不支持上述策略设置,或者您希望快速更改域内所有新加入计算机的位置,可以使用 redircmp 命令行工具(在某些旧版本Windows Server中可用):
redircmp <new_ou_dn>这里的 <new_ou_dn> 是指向新目标OU的DN(Distinguished Name)路径,例如:
redircmp "OU=Computers,OU=DepartmentA,DC=example,DC=com"这将把未来加入域的所有计算机重定向到名为“Computers”的OU下,该OU位于“DepartmentA”OU之下,“example.com”域中。
请注意,在执行此操作前,请确保已创建了所需的OU结构,并且了解更改默认计算机OU的影响。在生产环境中,务必谨慎操作并做好相应备份和计划。在更新策略或更改配置后,新加入域的计算机将会按照设定自动放置在指定的OU下。
