我是从命令行(dsadd)批量创buildAD用户,同时这样做是将homedir和homedrv设置为DFS位置。 当我通过GUI(dsa.msc)创build具有所有这些设置的用户时,观察到homedrv是在DFS共享上创build的,所有权限均设置正确。 但是在使用dsadd时,文件夹不会被创build。 创build用户时,如何通过命令行复制此GUI行为?
我真的不想依靠login脚本来设置它。 我必须使用mkdir和cacls以及其他的东西来赋予用户所有权吗? 或者也许我错过了一些容易的事情。
任何帮助非常感谢!
我下面的答案可能会给你足够的脚本的骨架,使你想要发生的事情:
使用ICACLS设置用户目录的权限
在Windows共享上重置主目录权限的脚本
您最终可以创build一个很好的小configuration脚本来创build漫游configuration文件目录,redirect的文件夹/ home目录,并将相应的属性/组成员资格添加到AD中,以使其全部完成。
我强烈反对授予用户权限的Microsoft“首选”方法,以便Windows自动创build这些不同的目录。 被添加到这些自动创build的目录的权限肯定是次优的,我相信通过让用户不受限制地对这些层次结构中的顶级文件夹进行写入访问,存在强烈的拒绝服务攻击的可能性。
通常我会编写脚本,并从电子表格或txt文件中读取用户名称/列表。 Web上有很多用于创build用户的示例脚本,但可以从这里开始。
关于主文件夹属性的一件事情是:如果放弃这个主意,我们可能会发现从长远来看,pipe理开销会减less(我怀疑它可能只存在于AD中,用于传统的NT4兼容性,它并不是真的打算用于完全本地AD实现),而是使用文件夹redirect与组策略 。
对于创build文件夹,我已经成功地使用了过去的xcacls 。
看到这个链接的第二个评论的一些额外的信息:
检出admodify.net的命令行版本admod。 它允许对AD进行批量更改,并且可以编写脚本。 我有这样的脚本,如果你有兴趣,请告诉我。