我来帮你搞定这个重复操作的自动化问题，咱们分步骤拆解，把命令行操作和脚本整合都讲清楚：

一、用dsmod group正确添加用户到域组 #

你之前用这个命令没成功，大概率是参数格式没搞对。这个命令需要明确组和用户的标识，推荐用「域\账号」的简化格式，比写完整DN更省心：

基础命令格式 #

dsmod group mydom\mydomgroup1 -addmbr mydom\userh01

特殊场景处理 #

• 如果你的域控制器不在本地，或者需要指定特定DC，加上-s参数：

  dsmod group -s DC01.mydom.com mydom\mydomgroup1 -addmbr mydom\userh01
  

• 不确定组的准确位置？先运行dsquery确认组的存在：

  dsquery group -name mydomgroup1
  

  输出的完整DN（比如CN=mydomgroup1,OU=Security Groups,DC=mydom,DC=com）也可以替换到dsmod group的第一个参数里。

注意：必须以域管理员或具备组修改权限的账号运行命令提示符（右键选「以管理员身份运行」）

二、用icacls配置文件夹NTFS权限 #

Windows自带的icacls是批量配置权限的神器，完全满足自动化需求：

示例命令（给用户添加修改权限） #

假设目标文件夹是D:\TeamFiles\SpecialFolder，给mydom\userh01添加递归修改权限：

icacls "D:\TeamFiles\SpecialFolder" /grant mydom\userh01:(M) /T /C

参数解释：

• (M)：代表修改权限（常用权限还有(R)读取、(F)完全控制，输入icacls /?可查看全部权限标识）
• /T：递归处理所有子文件夹和文件
• /C：遇到单个文件权限错误时继续执行，避免中断整个流程

如果要给目标组mydom\mydomgroup1配置权限，把命令里的用户名换成组名即可。

三、整合为一键执行的批处理脚本 #

把两个操作放到.bat文件里，以后双击就能完成所有步骤：

@echo off
echo 正在将userh01添加到域组mydomgroup1...
dsmod group mydom\mydomgroup1 -addmbr mydom\userh01

if %errorlevel% equ 0 (
    echo 用户添加成功！
) else (
    echo 用户添加失败，请检查权限或账号名称！
)

echo.
echo 正在配置文件夹权限...
icacls "D:\TeamFiles\SpecialFolder" /grant mydom\userh01:(M) /T /C

if %errorlevel% equ 0 (
    echo 权限配置完成！
) else (
    echo 权限配置失败，请检查文件夹路径或权限！
)

pause

记得把文件夹路径替换成你实际的路径，保存为AddUserAndSetPerms.bat，右键以管理员身份运行即可。

常见问题排查 #

• dsmod报错「找不到对象」：检查组名/用户名是否拼写正确，或者用dsquery确认AD对象存在
• icacls报错「拒绝访问」：确保运行脚本的账号对目标文件夹有修改权限
• 操作后权限未生效：运行gpupdate /force刷新AD组策略，或者重启文件服务器（如果文件夹在远程）

内容的提问来源于stack exchange，提问作者Tak