Skutečnost známá všem správcům je, že po přidání počítače nebo uživatele do skupiny služby Active Directory, za účelem aktualizace členství ve skupině a použití přiřazených práv / zásad, musíte restartovat počítač (pokud byl do skupiny domény přidán účet počítače) nebo znovu zadat systém (pro uživatele). Důvodem je, že členství ve skupině AD je aktualizováno, když je vytvořen lístek Kerberos, ke kterému dochází při spouštění systému a při přihlášení uživatele..
V některých případech není restartování systému nebo odhlášení uživatele z provozních důvodů možné. A nyní musíte používat získaná práva, přistupovat nebo uplatňovat nové zásady. Je možné obnovit členství v účtu ve skupinách AD bez restartování nebo nové registrace uživatele v systému.
Poznámka:. Technika popsaná v tomto článku bude fungovat pouze pro síťové služby, které podporují ověřování Kerberos. Služby, které pracují pouze s ověřováním NTLM, stále vyžadují přihlášení uživatele + přihlášení uživatele nebo restart systému Windows.Seznam skupin, ve kterých se aktuální uživatel nachází, lze získat z příkazového řádku pomocí příkazu:
whoami / skupiny
nebo GPresult
gpresult / r
Seznam skupin, ve kterých je uživatel členem, je obsažen v Uživatel je součástí následujících skupin zabezpečení.
Nástroj může obnovit aktuální vstupenky Kerberos bez restartu klist.exe . Klist je součástí systému Windows od systému Windows 7, pro XP a Windows Server 2003 je nainstalován jako součást nástrojů Windows Server 2003 Resource Kit Tools.
Chcete-li obnovit celou mezipaměť počítače Kerberos v počítači (místní systém) a aktualizovat členství počítače ve skupinách AD, musíte spustit příkaz z příkazového řádku s právy správce:
klist -lh 0 -li 0x3e7 čištění
Po provedení příkazu a aktualizaci zásad budou na počítač použity všechny zásady přiřazené skupině AD pomocí filtrování zabezpečení..
Pokud jde o uživatele. Předpokládejme, že uživatelský účet domény byl přidán do skupiny Active Directory pro přístup k prostředku souboru. Uživatel samozřejmě nebude mít přístup do katalogu bez přihlášení.
Obnovte všechny uživatelské lístky Kerberos příkazem:
klist očistit
Chcete-li zobrazit aktualizovaný seznam skupin, musíte spustit nové okno příkazového řádku a pomocí run, aby byl vytvořen nový proces s novým bezpečnostním tokenem.
Předpokládejme, že uživateli byla přidělena skupina AD, která poskytuje přístup k síťovému adresáři. Zkuste ho kontaktovat FQDN jméno (například \\ msk-fs1.winitpro.loc \ distr) a zkontrolujte, zda byl lístek TGT aktualizován:
klist tgt
Síťový adresář, do kterého byl přístup udělen prostřednictvím skupiny AD, by se měl otevřít bez přihlašovacího jména uživatele (!!! nezapomeňte použít název FQDN).