Domain

有沒有辦法強制在客戶端上刷新組成員身份更改?

  • October 1, 2015

我正在使用主要用作文件伺服器的 Windows Server 2012 R2 域控制器。此網路上的客戶端大多不是域使用者,而是使用域使用者帳戶來驗證映射到文件伺服器共享的網路驅動器。

反過來,這些域使用者帳戶為文件伺服器共享中的不同文件夾提供不同級別的 NTFS 訪問權限。為此,在域使用者組級別設置 NTFS 訪問權限,並根據需要將域使用者暫時添加到這些組或從這些組中刪除。

我注意到的是,當將使用者添加到授予他們額外訪問權限的組時(或者實際上當他們從組中刪除並因此失去訪問權限時),這些權限更改直到之後才會生效客戶端電腦(在 Windows 7 Professional 上觀察到)已重新啟動(因此,相應映射驅動器的記憶體訪問令牌可能已刷新。)

作為管理員,一旦將使用者添加到組或從組中刪除,強制刷新這些訪問令牌將很有用,這樣他們的新訪問權限立即生效,而無需重新啟動電腦。

這可以強制執行嗎?如果是這樣,怎麼辦?

直接的答案是否定的。我知道沒有明確的方法可以在不註銷/登錄或重新啟動的情況下更新 Kerberos 訪問令牌。新組的 SID 需要添加到令牌中,並且僅在這些事件中完成。

您可以嘗試使用klist purge網路上建議的盡可能多的文章,但我嘗試這樣做的努力沒有奏效。

klist purge確實適用於絕大多數東西,尤其是對共享文件夾的權限更改。你需要小心這個。由於這是特定於會話的,因此從另一個使用者的帳戶(即使在同一系統上)也無法正常工作。您可能希望在登錄使用者的上下文中執行它。我個人只會在坐在某人的辦公桌前使用它(假設這是用於幫助台的情況),因此很容易測試。

引用自:https://serverfault.com/questions/725841