Факт е известен на всички администратори, че след добавяне на компютър или потребител към групата на Active Directory, за да подновите членството в групата и да приложите определените права / политики, трябва да рестартирате компютъра (ако в групата на домейни е добавен компютърен акаунт) или да въведете отново системата (за потребителя). Това е така, защото членството в AD групата се актуализира при създаване на билет за Kerberos, което се случва, когато системата се стартира и когато потребител влезе в системата..
В някои случаи рестартирането на системата или излизането от потребителя не е възможно по оперативни причини. И сега трябва да използвате получените права, достъп или прилагане на нови правила. Възможно е да се поднови членството на акаунта в AD групите без рестартиране или пререгистриране на потребителя в системата.
забележка. Техниката, описана в тази статия, ще работи само за мрежови услуги, които поддържат удостоверяване на Kerberos. Услугите, които работят само с удостоверяване на NTLM, все още изискват потребителско влизане + потребителско влизане или рестартиране на Windows.Списъкът с групи, в които се намира текущият потребител, може да бъде получен от командния ред с помощта на командата:
whoami / групи
или GPresult
gpresult / r
Списъкът с групи, в които потребителят е член, се съдържа в Потребителят е част от следните групи за сигурност.
Помощната програма може да нулира текущите билети за Kerberos без рестартиране klist.exe . Klist е включен в Windows от Windows 7, за XP и Windows Server 2003 е инсталиран като част от инструменти за Windows Server 2003 Resource Kit.
За да нулирате целия кеш на кешер на компютър (локална система) и да актуализирате членството на компютъра в AD групите, трябва да стартирате командата в командния ред с права на администратор:
klist -lh 0 -li 0x3e7 продухване
След изпълнение на командата и актуализиране на правилата, всички политики, присвоени на AD групата чрез филтриране на сигурност, ще бъдат приложени към компютъра..
Що се отнася до потребителя. Да предположим, че потребителски акаунт на домейн е добавен към групата на Active Directory за достъп до файлов ресурс. Естествено, потребителят няма да има достъп до каталога без влизане.
Нулирайте всички билети на Kerberos с командата:
klist чистка
За да видите актуализирания списък с групи, трябва да стартирате нов прозорец на командния ред и през руни, така че да се създаде нов процес с нов маркер за сигурност.
Да предположим, че на потребителя е зададена AD група, за да осигури достъп до мрежова директория. Опитайте да се свържете с него от FQDN име (например \\ msk-fs1.winitpro.loc \ distr) и проверете дали билетът за TGT е актуализиран:
klist tgt
Мрежовата директория, до която е предоставен достъп чрез AD групата, трябва да се отвори без потребителско вход (!!! не забравяйте да използвате името FQDN).
