În unele cazuri, o repornire a sistemului sau de utilizator nu este Deconectarea fezabilă din motive de producție. Și utilizarea de acces privilegiu sau de a aplica politici noi nevoie acum. Este posibil să se actualizeze calitatea de membru în grupul AD conturi fără a restarta sau re-înregistrare a utilizatorului în sistem.
Notă. Acest articol descrie metoda va lucra pentru servicii de rețea suportă doar autentificarea Kerberos. Serviciul funcționează numai cu autentificare NTLM este încă necesară logofa + conectare utilizator sau reporniți Windows.
Lista de grupuri care include utilizatorul curent poate fi obținut din linia de comandă, folosind comanda:
Pentru a reseta calculatorul întregul cache Kerberos bilet (sistem local) și să actualizeze statutul de membru al computerului în grupul AD, executați următoarea comandă la un prompt de comandă cu drepturi de administrator:
klist -LH 0 0x3e7 purge-Li
Notă. 0x3e7 - un identificator care indică sesiunea de calculator locală (Local System).
După politicile de comandă și de actualizare pentru toate politicile vor aplica un calculator atribuit grupului AD prin Filtering de securitate.
În ceea ce privește utilizatorul. Să presupunem că uchetki utilizator de domeniu a fost adăugat la grupul Active Directory pentru a avea acces la cota de fișiere. Desigur, accesul la directorul fără logout utilizatorul nu apare.
Pentru a vedea o listă actualizată a grupurilor pe care doriți să înceapă o fereastră nouă Linie de comandă și prin runas, la un nou proces a fost creat cu un nou simbol de securitate.
Să presupunem că un grup de utilizator AD este alocat pentru a oferi acces la directorul de rețea. Încearcă să-l accesa pe FQDN (de exemplu, \\ MSK-fs1.winitpro.loc \ distr) și verificați dacă biletul TGT a fost actualizat:
Catalogul on-line, care a fost acordat accesul prin AD Group, care urmează să fie deschise fără logout utilizatorului (. Asigurați-vă că pentru a utiliza FQDN).
- Completați descrierea calculatoarele din Active Directory
- Kerberos dimensiune bilet de avion și problemele creșterii sale
- Adăugați o coloană suplimentară în consola ADUC
- Salvate interogări LDAP în consola utilizator Active Directory și Calculatoare
- Cum pot lăsa utilizatorii obișnuiți PDR acces la controlerul de domeniu