Minhas respostas abaixo provavelmente fornecerão o esqueleto de um script para fazer o que você quer que aconteça:
-
Usando o ICACLS para definir permissões em diretórios de usuários
-
Script para redefinir permissões de diretório inicial em um compartilhamento do Windows
Você pode acabar com um pequeno script de provisionamento que cria o diretório de perfil móvel, os diretórios / diretórios home redirecionados e adiciona os atributos / associações de grupo apropriados ao AD para que tudo ocorra.
Eu discordo strongmente do método "preferido" da Microsoft de conceder permissões de usuário de forma que o Windows crie automaticamente esses vários diretórios. As permissões que são adicionadas a esses diretórios criados automaticamente são decididamente abaixo do ideal, e acredito que há um strong potencial de ataque de negação de serviço, permitindo que os usuários tenham acesso de gravação irrestrito a pastas de nível superior em tais hierarquias.