Uprawnienia NTFS systemu Windows 10 dla konta usługi Azure AD

Dołączyłem do systemu Windows 10 do usługi Azure Active Directory i zalogowałem się przy użyciu mojego adresu e-mail i hasła usługi Azure AD.

whoamizwraca, AzureAD\<Full Name>a uprawnienia NTFS folderu profilu użytkownika pokazują również właściciela folderu jako AzureAD\<Full Name>. Użytkownik ma folder profilu o nazwie Users\<Full Name>.

Jednak nie mogę w ogóle wybrać tego użytkownika w Select a principaloknie dialogowym, gdy chcę przyznać uprawnienia innym folderom. Jaka jest poprawna składnia dla użytkowników usługi Azure AD?

Gdy używasz tylko kont usługi Azure AD, w ogóle nie ma kont użytkowników Local Users(w przeciwieństwie do konta Microsoft, które jest połączone z użytkownikiem lokalnym).

Nowsze wersje pokazują rzeczywistą nazwę domeny, ale ten sam problem nadal występuje. Możesz użyć programu Powershell, aby ustawić uprawnienia.

    $dir = get-item -Path 'C:\users\jshelby\Desktop\testdir\'    
    $acl = $dir.GetAccessControl('Access')
    $username = 'domain\username'
    $AccessRights = New-Object System.Security.AccessControl.FileSystemAccessRule($Username,'Modify','ContainerInherit,ObjectInherit','None','Allow')
    $Acl.SetAccessRule($AccessRights)
    Set-Acl -path $Path -AclObject $Acl

W skrypcie Jezusa jest literówka.

Set-Acl : Cannot bind argument to parameter 'Path' because it is null.
At line:6 char:19
+     Set-Acl -path $Path -AclObject $Acl
+                   ~~~~~
    + CategoryInfo          : InvalidData: (:) [Set-Acl], ParameterBindingValidationException
    + FullyQualifiedErrorId : ParameterArgumentValidationErrorNullNotAllowed,Microsoft.PowerShell.Commands.SetAclCommand

To jest zaktualizowany skrypt:

    $dir = get-item -Path 'C:\users\jshelby\Desktop\testdir\'    
    $acl = $dir.GetAccessControl('Access')
    $username = 'domain\username'
    $AccessRights = New-Object System.Security.AccessControl.FileSystemAccessRule($Username,'Modify','ContainerInherit,ObjectInherit','None','Allow')
    $Acl.SetAccessRule($AccessRights)
    Set-Acl -path $dir -AclObject $Acl

Próbowałem też tego na PowerShell Core. $dir.GetAccessControl()nie wydaje się istnieć w PowerShell Core, tylko Windows PowerShell.

Możesz użyć tego krótkiego przykładu programu PowerShell, który jest testowany w systemie Windows 10, kompilacja 1809, która jest zarejestrowana w usłudze Azure Active Directory. Zmodyfikuj ścieżkę $ do folderu lokalnego, aby uzyskać pozwolenie $, możesz użyć dowolnego użytkownika usługi Azure AD, ale nazwa użytkownika musi być w formacie AzureAD \ upn (na przykład AzureAD \ smith@company.com)

$path = "C:\myfolder"
$permission = "AzureAD\myuser@mydomain.com","FullControl","Allow"
(Get-Acl $path).SetAccessRule((New-Object System.Security.AccessControl.FileSystemAccessRule $permission)) | Set-Acl $path