Обновление членства в группах AD без перезагрузки / перелогина

Известный всем администраторам факт, что после добавления компьютера или пользователя в группу Active Directory, для обновления членства в группах и применения назначенных прав / политик, нужно перезагрузить компьютер (если в доменную группу добавлялась учетная запись компьютера) или перезайти в систему (для пользователя). Это связано с тем, что членство в группах AD обновляется при создании билета Kerberos, которое происходит при загрузке системы и при входе пользователя.

В некоторых случаях перезагрузка системы или logoff пользователя не выполним по производственным причинам. А воспользоваться полученным правами, доступом или  применить новые политики нужно уже сейчас. Есть возможность  обновить членство учетной записи в группах AD без перезагрузки или перерегистрации пользователя в системе.

Примечание. Описанная в данной статье методика будет работать только для сетевых сервисов, поддерживающих Kerberos аутентификацию. Службы, работающие только с  NTLM аутентификацией по-прежнему требуют логофа + логона пользователя или перезагрузки Windows.

Список групп, в которых состоит текущий пользователь можно получить из командной строки с помощью команды:

whoami /groups

или GPresult

gpresult /r

gpresult - The user is a part of the following security groupsСписок групп, в которых состоит пользователь содержится в разделе The user is a part of the following security groups.

Сбросить текущие тикеты Kerberos без перезагрузки может утилита klist.exe . Klist включена в ОС Windows начиная с Windows 7, для XP и Windows Server 2003 устанавливается в составе Windows Server 2003 Resource Kit Tools.

Чтобы сбросить весь кэш тикетов Kerberos компьютера (локальной системы) и обновить членство компьютера в группах AD, нужно в командной строке с правами администратора выполнить команду:

klist -lh 0 -li 0x3e7 purge
klist -lh 0 -li 0x3e7 purge - сбросить тикет Kerberos компьютера

Примечание. 0x3e7 —  специальный идентификатор, указывающий на сессию локального компьютера (Local System).

После выполнения команды и обновления политик к компьютеру будут применены все политики, назначенные группе AD через Security Filtering.

Что касается пользователя. Допустим, доменная учетка пользователя была добавлена в группу Active Directory для доступа к файловому ресурсу. Естественно, доступ к каталогу без перелогина у пользователя не появится.

доступ к сетевому каталогу запрещенСбросим все тикеты Kerberos пользователя командой:

klist purge

Сброс тикета kerberos пользователяЧтобы увидеть обновлённый список групп, нужно запустить новое окно командной строк и через runas, чтобы новый процесс был создан с новым токеном безопасности.

Допустим, группа AD пользователю назначалась для предоставления доступа к сетевому каталогу. Попробуйте обратиться к нем по FQDN имени (к примеру, \\msk-fs1.winitpro.loc\distr) и проверьте, что TGT тикет был обновлен:

klist tgt

Сетевой каталог, к которому был предоставлен доступ через группу AD, должен открыться  без перелогина пользователя (!!! обязательно использовать FQDN имя).

доступ к каталогу по FQDN имени


Предыдущая статья Следующая статья

Комментариев: 8 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)