Minden adminisztrátor számára ismert tény, hogy a számítógép vagy a felhasználó hozzáadása az Active Directory csoporthoz a csoporttagság frissítése és a hozzárendelt jogok / irányelvek alkalmazása érdekében újra kell indítania a számítógépet (ha számítógépes fiókot adtak a tartománycsoporthoz), vagy újra be kell lépnie a rendszerbe (a felhasználó számára). Ennek oka az, hogy az AD-csoporttagság frissül a Kerberos jegy létrehozásakor, amikor a rendszer indul és amikor a felhasználó bejelentkezik..
Bizonyos esetekben a rendszer újraindítása vagy a felhasználó kijelentése működési okokból nem lehetséges. Használnia kell a megszerzett jogokat, hozzáférnie kell az új házirendekhez vagy alkalmaznia kell azokat. Meg lehet újítani a fiók tagságát az AD csoportokban anélkül, hogy újraindítanánk vagy újra regisztrálnánk a felhasználót a rendszerben.
megjegyzés. Az ebben a cikkben ismertetett módszer csak a Kerberos hitelesítést támogató hálózati szolgáltatásokra fog működni. A csak NTLM hitelesítéssel működő szolgáltatások továbbra is felhasználói bejelentkezést + felhasználói bejelentkezést vagy a Windows újraindítását igénylik.A jelenlegi felhasználó csoportjainak listáját a parancssorból lehet beszerezni a következő paranccsal:
Whoami / csoportok
vagy GPresult
gpresult / r
A felhasználói csoport azon csoportjainak listája található, amelyekben a felhasználó tagja. A felhasználó a következő biztonsági csoportok része.
A segédprogram újraindítás nélkül visszaállíthatja a jelenlegi Kerberos jegyeket klist.exe . A Klist a Windows 7 óta szerepel a Windows rendszerben, XP és Windows Server 2003 esetén a Windows Server 2003 Resource Kit Tools részeként telepíti..
A számítógép (helyi rendszer) teljes Kerberos jegy-gyorsítótárának visszaállításához és a számítógép tagságának frissítéséhez az AD csoportokban a parancssorban a rendszergazdai jogokkal rendelkező parancsot kell futtatnia:
klist -lh 0 -li 0x3e7 tisztítás
A parancs végrehajtása és a házirendek frissítése után a biztonsági szűrésen keresztül az AD-csoporthoz rendelt összes házirend alkalmazandó lesz a számítógépre..
Ami a felhasználót illeti. Tegyük fel, hogy egy domain felhasználói fiókot hozzáadtak az Active Directory csoporthoz a fájl erőforrás eléréséhez. Természetesen a felhasználó bejelentkezés nélkül nem férhet hozzá a katalógushoz.
Az összes Kerberos felhasználói jegy visszaállítása a következő paranccsal:
klist öblítés
A frissített csoportlista megtekintéséhez el kell indítania egy új parancssori ablakot és a runas rendszeren keresztül, hogy új folyamat jön létre egy új biztonsági tokentel.
Tegyük fel, hogy egy AD-csoportot rendeltek hozzá a felhasználóhoz, hogy hozzáférést biztosítsanak a hálózati könyvtárhoz. Próbáljon vele kapcsolatba lépni FQDN nevet (például \\ msk-fs1.winitpro.loc \ distr) és ellenőrizze, hogy a TGT jegy frissült-e:
klist tgt
A hálózati könyvtárnak, amelyhez hozzáférést kapott az AD csoporton keresztül, felhasználói bejelentkezés nélkül kell nyílnia (!!! feltétlenül használja az FQDN nevet).
