Обновление членства в группах AD без перезагрузки / перелогина | Windows для системных администраторов

Обновление членства в группах AD без перезагрузки / перелогина

Известный всем администраторам факт, что после добавления компьютера или пользователя в группу Active Directory, для обновления членства в группах и применения назначенных прав / политик, нужно перезагрузить компьютер (если в доменную группу добавлялась учетная запись компьютера) или перезайти в систему (для пользователя). Это связано с тем, что членство в группах AD обновляется при создании билета Kerberos, которое происходит при загрузке системы и при входе пользователя.

В некоторых случаях перезагрузка системы или logoff пользователя не выполним по производственным причинам. А воспользоваться полученным правами, доступом или  применить новые политики нужно уже сейчас. Есть возможность  обновить членство учетной записи в группах AD без перезагрузки или перерегистрации пользователя в системе.

Примечание. Описанная в данной статье методика будет работать только для сетевых сервисов, поддерживающих Kerberos аутентификацию. Службы, работающие только с  NTLM аутентификацией по-прежнему требуют логофа + логона пользователя или перезагрузки Windows.

Список групп, в которых состоит текущий пользователь можно получить из командной строки с помощью команды:

whoami /groups

или GPresult

gpresult /r

gpresult - The user is a part of the following security groupsСписок групп, в которых состоит пользователь содержится в разделе The user is a part of the following security groups.

Сбросить текущие тикеты Kerberos без перезагрузки может утилита klist.exe . Klist включена в ОС Windows начиная с Windows 7, для XP и Windows Server 2003 устанавливается в составе Windows Server 2003 Resource Kit Tools.

Чтобы сбросить весь кэш тикетов Kerberos компьютера (локальной системы) и обновить членство компьютера в группах AD, нужно в командной строке с правами администратора выполнить команду:

klist -lh 0 -li 0x3e7 purge
klist -lh 0 -li 0x3e7 purge - сбросить тикет Kerberos компьютера

Примечание. 0x3e7 —  специальный идентификатор, указывающий на сессию локального компьютера (Local System).

После выполнения команды и обновления политик к компьютеру будут применены все политики, назначенные группе AD через Security Filtering.

Что касается пользователя. Допустим, доменная учетка пользователя была добавлена в группу Active Directory для доступа к файловому ресурсу. Естественно, доступ к каталогу без перелогина у пользователя не появится.

доступ к сетевому каталогу запрещенСбросим все тикеты Kerberos пользователя командой:

klist purge

Сброс тикета kerberos пользователяЧтобы увидеть обновлённый список групп, нужно запустить новое окно командной строк и через runas, чтобы новый процесс был создан с новым токеном безопасности.

Допустим, группа AD пользователю назначалась для предоставления доступа к сетевому каталогу. Попробуйте обратиться к нем по FQDN имени (к примеру, \\msk-fs1.winitpro.loc\distr) и проверьте, что TGT тикет был обновлен:

klist tgt

Сетевой каталог, к которому был предоставлен доступ через группу AD, должен открыться  без перелогина пользователя (!!! обязательно использовать FQDN имя).

доступ к каталогу по FQDN имени

Еще записи по теме: Active Directory
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 6

Оставить комментарий
  1. Alexander | 20.05.2016

    Было бы здорово, если бы сюда добавили как сделать эти же операции через Powershell.

    Ответить
    • itpro | 20.05.2016

      Прямо в PoSh сессии выполняйте приведенные выше команды

      Ответить
      • Alexander | 20.05.2016

        Я видимо неверно выразил вою мысль.
        Существуют ли штатные командлеты для выполнения описанных в статье операций?

        Ответить
  2. Valeriy | 20.05.2016

    А с чем связано указание полного имени в адресе, почему нельзя использовать сокращенное имя без домена?

    Ответить
    • itpro | 20.05.2016

      Аутентификация Kerberos требует использования FQDN имени хоста.

      Ответить
  3. Валерий | 20.05.2016

    А в связи с чем необходимо указывать полное имя для доступа к сетевому каталогу?

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00107 sec