我正在从命令行 (dsadd) 批量创建 AD 用户,同时将 homedir 和 homedrv 设置为 DFS 位置。我观察到,当我通过 GUI (dsa.msc) 使用所有这些设置创建用户时,homedrv 会在 DFS 共享上创建,并且所有权限都设置正确。但是当使用 dsadd 时,不会创建文件夹。如何在创建用户时通过命令行复制此 GUI 行为?
我真的不想依赖登录脚本来设置它。我是否必须使用 mkdir 和 cacls 以及其他东西来赋予用户所有权?或者也许我错过了一些简单的东西。
任何帮助都非常感谢!
答案1
以下我的回答可能会给你提供足够的脚本骨架来实现你想要的结果:
您最终会得到一个不错的小型配置脚本,它可以创建漫游配置文件目录、重定向文件夹/主目录,并将适当的属性/组成员身份添加到 AD 以实现这一切。
我强烈反对微软“首选”的授予用户权限的方法,即 Windows 自动创建这些不同的目录。添加到这些自动创建的目录中的权限显然不是最理想的,而且我相信,通过让用户对此类层次结构中的顶级文件夹拥有不受限制的写访问权限,存在很强的拒绝服务攻击潜力。
答案2
通常我会编写脚本并从电子表格或 txt 文件中读取用户名列表等。网络上有很多用于创建用户的示例脚本,但请查看这里开始。
关于主文件夹属性有一点:如果你放弃它是一个坏主意(我怀疑它可能只存在于 AD 中以兼容旧版 NT4,并且它并不打算在完全原生的 AD 实现中使用),你可能会发现从长远来看,你的管理开销会更少,并且使用使用组策略进行文件夹重定向反而。
对于文件夹创建,我已经成功使用了权限控制在过去。
答案3
答案4
查看 admodify.net 的命令行版本 admod。它允许批量更改 AD,并且可以编写脚本。我有这样一个脚本,如果您感兴趣请告诉我。