Powershell / Nieuwe gebruiker aanmaken en rechten toekennen

vrijdag 20 januari 2017 13:13

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Een vraag m.b.t. een powershell script dat ik aan het maken ben om mappen aan te maken op een server t.b.v. de homedrives voor gebruikers.

Wanneer ik onderstaande code uitvoer, wordt de gebruiker aangemaakt, de map aangemaakt en de rechten toegekend aan de map. Wanneer ik de rechten controleer heeft de betreffende gebruiker volledige rechten op de map, echter mag de gebruiker de map niet openen. Wanneer ik in Windows de rechten middels de standaard gui verwijder en opnieuw toevoeg, werkt het wel.
Heeft iemand van jullie een idee waar dit mis zou kunnen gaan?
Onderstaand mijn code, het is niet de volledige code, maar wel het deel waarin alle "magie" plaatsvindt.

PowerShell:

Function Create-User
{
    
    param ($username = $x_username.Text,
        $password = $x_password.Text,
        $firstname = $x_firstname.Text,
        $lastname = $x_lastname.Text,
        $administratie = $x_administratie.Text,
        $company = $x_company.Text,
        $radar = $x_radar.Text
    );
    
    $error.clear()
    try { $userexists = Get-ADUser -Identity $username }
    catch
    {
        
        $password = ConvertTo-SecureString $password -AsPlainText -Force
        $HomeDirectory = "\\servername\HomeFolderName\$username"
        NEW-ITEM &#8211;path $HomeDirectory -type directory -force
        Set-ItemProperty $HomeDirectory -name IsReadOnly -value $false
        New-ADUser -Name $username -SamAccountName $username -Path "OU=***,OU=***,DC=***,DC=***" -GivenName $firstname -Surname $lastname -DisplayName "$firstname $lastname" -AccountPassword $password -Enabled $true -PasswordNeverExpires $true -Description "$administratie - $radar" -Company $company -HomeDrive "H:" -HomeDirectory $HomeDirectory
        $Acl = Get-Acl $HomeDirectory
        $Ar = New-Object system.Security.AccessControl.FileSystemAccessRule($username, "FullControl", "ContainerInherit, ObjectInherit", "None", "Allow")
        $Acl.Setaccessrule($Ar)
        Set-Acl $HomeFolder $Acl

vrijdag 20 januari 2017 13:49

Acties:

+1 Henk 'm!

ElCondor

Geluk is Onmisbaar

Dit heb ik ook wel eens meegemaakt, weet alleen niet meer precies of ik het toen ook opgelost heb.

Is het mogelijk dat het met AD replicatie te maken heeft? Dat er wat tijd overheen moet gaan voordat je de rechten op de homefolder toekent? Wellicht een sleep voor een minuut inbouwen tussen het aanmaken van het account en het aanmaken van de homefolder en het toekennen van de rechten?

Ik heb wel vaker dat ik een AD object aanmaak en dan met dat object iets wil doen, maar dat AD het object dan nog niet kent. Ligt er ook een beetje aan hoe ingewikkeld je AD infra is.

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

vrijdag 20 januari 2017 14:09

Acties:

+1 Henk 'm!

Killah_Priest

De eerste stap mbt het achterhalen van de oorzaak is je script (of in ieder geval het deel waar het mis gaat) regel voor regel uit te voeren. In ISE kan dat natuurlijk met F8 en dan regel voor regel de boel uitvoeren ; wat ook een optie is is gewoon de debugger aanzetten in ISE en een breakpoint gebruiken.
Als het dan wel werkt dan is het hoogstwaarschijnlijk - zoals ElCondor al zei - een probleem met je "timing". Als het dan ook niet de gewenste ACL entry oplevert dan moet je de ACL object in je script controleren.

vrijdag 20 januari 2017 14:19

Acties:

+1 Henk 'm!

Verwijderd

Topicstarter

Een kleine update: Het probleem is inmiddels opgelost door in plaats van het set-acl commando het icacls commando te gebruiken, het laatste deel van de code dat de rechten toepast ziet er dan als volgt uit:

PowerShell:

1 2	icacls $HomeDirectory /inheritance:d &icacls $($HomeDirectory) /grant *.*\$($username):"(oi)(ci)m"

Hiermee worden (op het oog) exact dezelfde rechten toegepast, alleen werkt het nu wel.
Bedankt voor jullie reacties!

Vraag

Alle reacties