使用 Active Directory,我可以手动创建新用户。每次我这样做时,我都会使用right click -> Copy该用户,然后修改一些内容,例如姓名、姓氏和 SamAccountName。此过程会创建一个具有与复制用户共同属性的新用户,并在我们的 NAS 中创建一个主文件夹(带有路径$NAS_path)。我创建了一个脚本来自动执行此操作,并且它可以正常工作。它的基本部分是
$templateUser = Get-ADUser -Identity $usertocopy -Properties ObjectCategory, ObjectClass, PrincipalsAllowedToDelegateToAccount
New-ADUser -Name "$($user_name) $($user_surname)" -GivenName $user_name -Surname $user_surename -Description "employee" -SamAccountName $user_domain_name -UserPrincipalName "$($user_domain_name)@myorg" -HomeDirectory "$($NAS_path)\$($user_domain_name)" -HomeDrive "W:" -Accountpassword $password -ChangePasswordAtLogon $true -Instance $templateUser
大部分情况下,我对结果都满意。但它只是创建了一个新用户,我如何在 NAS 中为新用户创建具有“类似”权限的文件夹?“类似”的意思是,新用户可以对其新文件夹执行旧用户可以对其文件夹执行的相同操作。这些是\\NASPATH\test.test具有 SamAccountName 的用户的文件夹的权限test.test:
Get-Acl \\NASPATH\test.test | Format-List
Path : Microsoft.PowerShell.Core\FileSystem::\\NASPATH\test.test
Owner : BUILTIN\Administrators
Group : MYORG\Domain Users
Access : BUILTIN\Administrators Allow 268435456
BUILTIN\Administrators Allow FullControl
MYORG\test.test Allow 268435456
MYORG\test.test Allow FullControl
BUILTIN\Administrators Allow FullControl
NT AUTHORITY\SYSTEM Allow FullControl
CREATOR OWNER Allow FullControl
MYORG\ouradmin Allow FullControl
Audit :
Sddl : O:BAG:DUD:AI(A;OICIIO;GA;;;BA)(A;;FA;;;BA)(A;OICIIO;GA;;;S-1-5-21-2801405462-3170940757-3729986713-3219)(A;;FA
;;;S-1-5-21-2801405462-3170940757-3729986713-3219)(A;OICIID;FA;;;BA)(A;OICIID;FA;;;SY)(A;OICIIOID;FA;;;CO)(A;O
ICIID;FA;;;S-1-5-21-2801405462-3170940757-3729986713-1530)
答案1
如果您创建该文件夹的用户,-HomeDirectory "\\Server\Share\%username%"则将在登录时以该用户作为所有者来创建该文件夹。
用户需要能够在 上创建文件夹\\Server\Share\。您可以将此权限授予“all_users”之类的组,每个用户在创建时都会被放入该组。给予创建文件/写入数据和创建文件夹/附加数据权限。
据我所知,大多数系统管理员都是保持这种状态。