使用新用戶帳戶的廣告權限

Question

具有用於創建新用戶帳戶（包括主目錄）的腳本。 帳戶設置工作正常，但是當我嘗試在主目錄上分配權限時，它在Set-ACL命令上收到錯誤消息，指定找不到用戶。 我們確實有多個域控制器，所以我可以理解在創建用戶時如何命中一個DC，而在嘗試拉取權限時又如何命中另一個DC，但是在腳本頂部，我使用“ Set-ADServerSettings -PreferredServer”來指定要交談的DC至。 我原以為這可以解決問題，但並不高興。

該腳本太大，無法在此處發布，但流程如下：
*加載AD模塊
*解析CSV文件以獲取用戶信息
*創建用戶帳戶
*在托管主文件夾的服務器上創建主目錄
*在目錄上設置權限-error

設置權限的代碼片段為：

# get current permissions of the newly created home folder
$acl = Get-Acl $newHomeFolder
# allow inherited rules from parent folder
$acl.SetAccessRuleProtection($False, $True)

$newAcl = "<domain>\$logonName", "FullControl", "ContainerInherit,ObjectInherit", "None", "Allow"
$objNewAcl = New-Object System.Security.AccessControl.FileSystemAccessRule($newAcl)
$acl.AddAccessRule($objNewAcl)

Set-Acl -Path $newHomeFolder -AclObject $acl

關於如何解決此問題的任何想法都可以設置允許權限？

Answer 1

我在學校里也有過類似的事情。 經過多次試驗和許多錯誤之后，我得出以下結論：

$acl = Get-Acl $newHomeFolder
$inherit = [system.security.accesscontrol.InheritanceFlags]"ObjectInherit",[system.security.accesscontrol.InheritanceFlags]"ContainerInherit"
$propagation = [system.security.accesscontrol.PropagationFlags]"None"
$accessrule = New-Object system.security.AccessControl.FileSystemAccessRule("[domain\$username", "FullControl", $inherit, $propagation, "Allow")
$acl.AddAccessRule($accessrule)
set-acl -aclobject $acl $directory

希望這可以幫助。