Skutočnosť, ktorú všetci administrátori poznajú, je, že po pridaní počítača alebo používateľa do skupiny Active Directory, aby ste mohli aktualizovať členstvo v skupine a uplatňovať pridelené práva / politiky, musíte reštartovať počítač (ak bol do skupiny domén pridaný účet počítača) alebo znova vstúpiť do systému (pre používateľa). Dôvodom je, že členstvo v skupine AD sa aktualizuje po vytvorení lístka Kerberos, ku ktorému dochádza pri štarte systému a pri prihlásení používateľa..
V niektorých prípadoch reštartovanie systému alebo odhlásenie nie je možné z prevádzkových dôvodov. A teraz musíte využívať získané práva, pristupovať k novým politikám alebo ich uplatňovať. Je možné obnoviť členstvo v účte v AD skupinách bez reštartovania alebo opätovnej registrácie používateľa v systéme.
poznámka. Technika opísaná v tomto článku bude fungovať iba pre sieťové služby, ktoré podporujú autentifikáciu Kerberos. Služby, ktoré pracujú iba s overením NTLM, stále vyžadujú prihlásenie používateľa + prihlásenie používateľa alebo reštart systému Windows.Zoznam skupín, v ktorých sa aktuálny užívateľ nachádza, je možné získať z príkazového riadku pomocou príkazu:
whoami / skupiny
alebo GPresult
gpresult / r
Zoznam skupín, ktorých je užívateľ členom, je obsiahnutý v Používateľ je súčasťou nasledujúcich bezpečnostných skupín.
Obslužný program môže resetovať aktuálne lístky Kerberos bez reštartu klist.exe . Klist je súčasťou systému Windows od systému Windows 7, pre systémy XP a Windows Server 2003 je nainštalovaný ako súčasť nástrojov Windows Server 2003 Resource Kit Tools..
Ak chcete resetovať celú vyrovnávaciu pamäť počítača Kerberos v počítači (miestny systém) a aktualizovať členstvo počítača v skupinách AD, musíte príkaz spustiť z príkazového riadka s oprávneniami správcu:
klist -lh 0 -li 0x3e7 čistenie
Po vykonaní príkazu a aktualizácii politík sa na počítač použijú všetky politiky priradené skupine AD prostredníctvom filtra zabezpečenia..
Pokiaľ ide o používateľa. Predpokladajme, že používateľské konto domény bolo pridané do skupiny Active Directory na prístup k súborovému prostriedku. Používateľ samozrejme nebude mať prístup do katalógu bez prihlásenia.
Vynulujte všetky užívateľské lístky Kerberos príkazom:
klist purge
Ak chcete zobraziť aktualizovaný zoznam skupín, musíte spustiť nové okno príkazového riadka a cez runy, aby sa vytvoril nový proces s novým bezpečnostným tokenom.
Predpokladajme, že používateľovi bola priradená skupina AD, ktorá poskytuje prístup k sieťovému adresáru. Pokúste sa ho kontaktovať FQDN meno (napríklad \\ msk-fs1.winitpro.loc \ distr) a skontrolujte, či bol lístok TGT aktualizovaný:
klist tgt
Sieťový adresár, do ktorého bol povolený prístup prostredníctvom skupiny AD, by sa mal otvoriť bez prihlásenia používateľa (!!! nezabudnite použiť názov FQDN).
