В моей среде Active Directory Microsoft почти каждая организационная структура является организационной единицей. Есть два распространенных исключения из этого правила: объект «Компьютеры» и объект «Пользователи». Это объекты по умолчанию, которые создаются при настройке Active Directory. Всякий раз, когда я читаю что-нибудь об этих объектах, мне говорят, что они используют «имена контейнеров» для обратной совместимости. Насколько я понимаю, эти объекты были настроены таким образом при настройке Active Directory. Мой главный вопрос такой:
Что сломается, если вы перейдете на использование OU для этих объектов? Я предполагаю, что единственный способ сделать это - создать новые OU, перенаправить активную директорию для использования этих новых OU, а затем удалить старые объекты CN.
Я понимаю, что это не рекомендуемая процедура, но хочу знать, почему.
Бонусные вопросы
Я бы не советовал возиться с этими объектами. Обычно создаются новые OU, а затем перемещаются все необходимые объекты в новые OU. Затем вы можете использовать redircmp (https://technet.microsoft.com/en-us/library/cc770619.aspx), чтобы изменить место создания компьютерных объектов по умолчанию.
Эти контейнеры существуют для обратной совместимости с доменами на основе NT4 при обновлении до доменов Windows 2000 AD, а также для многих других причин, связанных с совместимостью NT4 с Windows 2000.
MS KB 324949 дает хорошее объяснение причин этого из-за устаревших («более ранних версий») вызовов API: https://support.microsoft.com/en-us/help/324949/redirecting-the-users-and-computers-containers-in-active-directory-domains
При установке по умолчанию домена Active Directory учетные записи пользователей, учетные записи компьютеров и группы помещаются в контейнеры CN = objectclass, а не в более желательный контейнер класса организационной единицы. Точно так же учетные записи пользователей, учетные записи компьютеров и группы, созданные с помощью API более ранних версий, помещаются в контейнеры CN = Users и CN = computers.
Пользователи, компьютеры и группы, созданные с помощью API более ранних версий, размещают объекты по пути DN, указанному в атрибуте WellKnownObjects, который находится в заголовке домена NC. В следующем примере кода показаны соответствующие пути в атрибуте WellKnownObjects из заголовка NC домена CONTOSO.COM.