17

私はこのスクリプトを管理者として実行していますが、必要なフォルダーが作成され、適切なアクセス許可が設定されていません。

$Users = Get-Content "D:\New_Users.txt"
ForEach ($user in $users)
{
    $newPath = Join-Path "F:\Users" -childpath $user
    New-Item $newPath -type directory
        
    $UserObj = New-Object System.Security.Principal.NTAccount("DOMAIN",$user)
  
    $acl = Get-Acl $newpath
    $acl.SetAccessRuleProtection($True, $False)
    $accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("O1OAK\$user","AppendData,CreateDirectories,CreateFiles,DeleteSubdirectoriesAndFiles,ExecuteFile,ListDirectory,Modify,Read,ReadAndExecute,ReadAttributes,ReadData,ReadExtendedAttributes,ReadPermissions,Synchronize,Traverse,Write,WriteAttributes,WriteData,WriteExtendedAttributes","ContainerInherit, ObjectInherit","None","Allow")
    $acl.SetAccessRule($accessRule)
    $accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("NT AUTHORITY\SYSTEM","FullControl","ContainerInherit, ObjectInherit","None","Allow")
    $acl.SetAccessRule($accessRule)
    $accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("BUILTIN\Administrators","FullControl","ContainerInherit, ObjectInherit","None","Allow")
    $acl.SetAccessRule($accessRule)
    $accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("1OAK\$user","Delete","ContainerInherit, ObjectInherit","None","Allow")
    $acl.removeAccessRule($accessRule)
    $acl.SetOwner($UserObj)
    $acl | Set-Acl $newpath
}

私が得る3の文字列の最初のエラーは以下のとおりです。私はそれが最も重要であり、他の2つを修正すると思います。

Exception calling "SetAccessRule" with "1" argument(s): "Some or all identity references could not be translated."
At D:\DOMAIN\IT\IT Private\User Drives\user_folders.ps1:12 char:20
+     $acl.SetAccessRule <<<< ($accessRule)
    + CategoryInfo          : NotSpecified: (:) [], MethodInvocationException
    + FullyQualifiedErrorId : DotNetMethodException
4

4 に答える 4

28

エラーはかなり自明です:Some or all identity references could not be translated.

これは、アカウントが見つからなかったことを意味します。したがって、あなたがしなければならないことはあなたのアカウントを確認することです。4つのACEを追加するため、どちらが無効かを特定する必要があります。

これを行う最も簡単な方法は、ISEまたはPowerGUIを使用して1行ずつデバッグすることです。

「NTAUTHORITY\SYSTEM」と「BUILTIN\Administrators」を使用してコードを試しましたが、動作するので、またはで問題が発生し"O1OAK\$user"ます"1OAK\$user"。テキストファイルに無効なアカウントがある可能性があります。

于 2012-07-12T08:35:16.507 に答える
1

ユーザーIDの問題は、ADがユーザー名を切り捨てることです。そのため、「j_reallylongname」という長い名前のユーザーは、切り捨てられたsamid(Security Account Manager(SAM)アカウント名)を持ちます。(j_reallylong)

したがって、ユーザー名を取得するときは、ADを使用する前に必ずADと照合してください。

upnsを取得したら、dsgetクエリを実行してsamidを取得し、それを使用してID参照を作成します。

于 2014-11-18T03:12:09.887 に答える
1

C#/ ASP.NET開発者がこれを取得した場合に備えて、これを追加します(これは私のシナリオであり、この投稿を見つけました)。

企業環境で.NETCoreを使用していますが、セキュリティの一環としてUserGroupsを確認する必要があります。コードは次のようになります(「user」はClaimsPrincipal):

var windowsIdentity = user.Identity as WindowsIdentity;
if( windowsIdentity is null )
    throw new Exception( $"Invalid Windows Identity {user.Identity.Name}" );
return windowsIdentity.Groups
    .Select( g => g.Translate( typeof( NTAccount ) ).Value );

とにかく、グループの担当者が私が所属していたグループを削除し、ADレプリケーションの遅延によりタイトルにエラーが発生しました。ログオフや再起動は問題なく機能しました。

于 2019-03-05T15:50:48.723 に答える
0

私にとっては、スクリプトの実行がパスワードを知っているかどうかをを使用して確認した場合でした$user = Get-Credential "username"。スクリプトパラメータに期待する値を与えるために、私は自分$userをに変えなければなりませんでした$user.UserName

于 2019-09-06T09:43:09.403 に答える