Nadogradnja članstva u AD grupi bez ponovnog pokretanja / prijave

Činjenica koja je poznata svim administratorima je da nakon dodavanja računala ili korisnika u Active Directory grupu, kako biste ažurirali članstvo u grupi i primijenili dodijeljena prava / pravila, trebate ponovno pokrenuti računalo (ako je računski račun dodan grupi domena) ili ponovno ući u sustav (za korisnika). To je zato što se članstvo u AD grupi ažurira kada se stvori Kerberos karta, što se događa kada se sustav pokrene i kad se korisnik prijavi..

U nekim slučajevima ponovno pokretanje sustava ili odjava korisnika iz operativnih razloga nije izvediva. I sada trebate koristiti stečena prava, pristupiti ili primijeniti nova pravila. Članstvo na računu u AD grupama je moguće obnoviti bez ponovnog pokretanja ili ponovne registracije korisnika u sustavu.

primjedba. Tehnika opisana u ovom članku funkcionirat će samo za mrežne usluge koje podržavaju Kerberos provjeru autentičnosti. Usluge koje rade samo s NTLM provjerom autentičnosti zahtijevaju prijavu korisnika + prijavu korisnika ili ponovno pokretanje sustava Windows.

Popis grupa u kojima se nalazi trenutni korisnik može se dobiti iz naredbenog retka pomoću naredbe:

whoami / grupe

ili GPresult

gpresult / r

Popis grupa kojima je korisnik član nalazi se u Korisnik je dio sljedećih sigurnosnih skupina.

Alat može resetirati trenutne Kerberos karte bez ponovnog pokretanja klist.exe . Klist je u sustav Windows uključen još od Windows 7, za XP i Windows Server 2003 instaliran je u sklopu alata Windows Server 2003 Resource Kit.

Da biste resetirali cijelu predmemoriju ulaznica Kerberos na računalu (lokalni sustav) i ažurirali članstvo računala u AD grupama, morate pokrenuti naredbu u naredbenom retku s administratorskim pravima:

klist -lh 0 -li 0x3e7 pročišćavanje

primjedba. 0x3E7 -  poseban identifikator koji označava sesiju lokalnog računala (lokalni sustav).

Nakon izvršavanja naredbe i ažuriranja pravila, sva pravila dodijeljena grupi AD putem sigurnosnog filtriranja primijenit će se na računalo..

Što se tiče korisnika. Pretpostavimo da je korisnički račun domene dodan grupi aktivnog imenika za pristup resursima datoteke. Prirodno, korisnik neće imati pristup katalogu bez prijave.

Poništite sve korisničke karte Kerberos naredbom:

klist čistilište

Da biste vidjeli ažurirani popis grupa, morate pokrenuti novi prozor naredbenog retka i kroz rune kako bi se stvorio novi postupak s novim sigurnosnim tokenom.

Pretpostavimo da je korisničkoj grupi dodijeljena AD grupa radi pružanja pristupa mrežnom imeniku. Pokušaj s njim kontaktirati FQDN ime (na primjer, \\ msk-fs1.winitpro.loc \ distr) i provjerite je li TGT karta ažurirana:

klist tgt

Mrežni direktorij kojem je odobren pristup putem AD grupe trebao bi se otvoriti bez korisničke prijave (!!! obavezno koristite FQDN ime).