新的Adgroup,Set-ACL和网络文件夹的问题
-
14-12-2019 - |
题
我正在玩一些powershell代码来动态生成广告安全组,然后将它们应用于网络共享的文件夹,但有问题解决新创建的组。
考虑一下:
import-module activedirectory
for ($i = 0; $i -lt 10; $i++) {
$group = New-ADGroup -Path "OU=Groups,OU=Department,DC=Domain,DC=Network" -Name "z-test-group-$i" -GroupScope DomainLocal -GroupCategory Security -PassThru
$acl = Get-Acl C:\Temp
$permission = $group.SID,"FullControl","Allow"
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.SetAccessRule($accessRule)
$acl | Set-Acl C:\Temp
}
.
哪个工作正常。
但是,如果我将文件夹更改为网络文件夹,例如g:\ temp,或\\ domains.network \ dfs \ groupshare \ temp,则使用意外错误代码1337'获得“方法失败”。我厌倦了使用setacl.exe并收到类似的错误:
C:\Temp\SetACL.exe -on "\\domani.network\dfs\GroupShare\Temp" -ot file -actn ace -ace "n:$GroupSID;p:full;s:y"
SetACL finished with error(s):
SetACL error message: The call to SetNamedSecurityInfo () failed
Operating system error message: The security ID structure is invalid.
INFORMATION: Processing ACL of: <\\?\UNC\domain.network\dfs\GroupShare\Temp>
.
如果我等待10到20秒,并再次运行代码的Set-ACL(或SetAcl.exe)部分,它成功完成。
首先,我认为这与域控制器(其中4个是2003年和2008年的混合物的4个)相关联,但它在本地文件夹上工作正常的事实是有趣(和令人讨厌)。
我在执行本地文件夹的代码期间执行了Wireshark跟踪,然后是网络文件夹。主要区别在于尝试将ACL应用于网络文件夹时,我看到LDAP查找和(在其他内容中)以下SMB响应:
NT Trans Response, FID: 0x0040, NT SET SECURITY DESC, Error: STATUS_INVALID_SID
.
我假设是导致我的set-acl命令失败的原因。
底层网络文件系统是emc celerra 6.0.xx.我非常不熟悉这种技术,但是从我理解它持有某种SID缓存,这将解释上述错误(即使广告也尚不知道新组)。
所以我想有两个问题:
解决方案 2
图出了!
在我们的EMC Celerra NAS上修改了 Acl.mappingErroraction 。
设置为0,将其更新为1。
server_param server_2 -facility cifs -modify acl.mappingerraction -value 1
现在,我们在将新创建的安全组设置为网络共享(无延迟)的文件夹中的ACL中没有问题。信息:acl.mapppingerraction
定义ACL设置上的安全性,用户和组标识符(SID / UID / GID)之间未知映射的规则。
可能发生两种错误: ACL中的SID设置为使用的域控制器未知。 用户名尚未映射到UID / GID。
位列表由四个二进制位(位0到3,向左左右)。设置时每个位为1;否则为0.
Bit 0 (0001 or +1): Store unknown SID.
Bit 1 (0010 or +2): Store SID with no UNIX mapping.
Bit 2 (0100 or +4): Enable debug traces.
Bit 3 (1000 or +8): Do lookup only in cache (secmap or global SID cache or per connection SID cache).
.
值:0 - 15 默认值:0
似乎很明显,现在我了解NAS上的底层CIFS / ACL设置,然后我想知道。
rhys。
其他提示
如果问题只是等待缓存的延迟才能更新封锁其他工作脚本需要做的事情,你可以将其发货到后台作业,让您的主脚本继续到其他事情。