使用新用户帐户的广告权限

Question

具有用于创建新用户帐户（包括主目录）的脚本。 帐户设置工作正常，但是当我尝试在主目录上分配权限时，它在Set-ACL命令上收到错误消息，指定找不到用户。 我们确实有多个域控制器，所以我可以理解在创建用户时如何命中一个DC，而在尝试拉取权限时又如何命中另一个DC，但是在脚本顶部，我使用“ Set-ADServerSettings -PreferredServer”来指定要交谈的DC至。 我原以为这可以解决问题，但并不高兴。

该脚本太大，无法在此处发布，但流程如下：
*加载AD模块
*解析CSV文件以获取用户信息
*创建用户帐户
*在托管主文件夹的服务器上创建主目录
*在目录上设置权限-error

设置权限的代码片段为：

# get current permissions of the newly created home folder
$acl = Get-Acl $newHomeFolder
# allow inherited rules from parent folder
$acl.SetAccessRuleProtection($False, $True)

$newAcl = "<domain>\$logonName", "FullControl", "ContainerInherit,ObjectInherit", "None", "Allow"
$objNewAcl = New-Object System.Security.AccessControl.FileSystemAccessRule($newAcl)
$acl.AddAccessRule($objNewAcl)

Set-Acl -Path $newHomeFolder -AclObject $acl

关于如何解决此问题的任何想法都可以设置允许权限？

Answer 1

我在学校里也有过类似的事情。 经过多次试验和许多错误之后，我得出以下结论：

$acl = Get-Acl $newHomeFolder
$inherit = [system.security.accesscontrol.InheritanceFlags]"ObjectInherit",[system.security.accesscontrol.InheritanceFlags]"ContainerInherit"
$propagation = [system.security.accesscontrol.PropagationFlags]"None"
$accessrule = New-Object system.security.AccessControl.FileSystemAccessRule("[domain\$username", "FullControl", $inherit, $propagation, "Allow")
$acl.AddAccessRule($accessrule)
set-acl -aclobject $acl $directory

希望这可以帮助。