Dejstvo, ki ga poznajo vsi skrbniki, je, da morate po dodajanju računalnika ali uporabnika v skupino Active Directory, da posodobite članstvo v skupini in uporabiti dodeljene pravice / politike, računalnik znova zagnati (če je bil v skupino domen dodan računalniški račun) ali znova vnesti v sistem (za uporabnika). Razlog je, da se članstvo v skupini AD posodobi, ko je ustvarjena vozovnica Kerberos, kar se zgodi, ko se sistem zažene in ko se uporabnik prijavi..
V nekaterih primerih ponovni zagon sistema ali odjava uporabnika iz operativnih razlogov ni izvedljiv. Do pridobljenih pravic morate zdaj uporabiti, dostopati ali uporabljati nove pravilnike. Članstvo na računu v skupinah AD je mogoče obnoviti brez ponovnega zagona ali ponovne registracije uporabnika v sistemu.
Opomba. Tehnika, opisana v tem članku, bo delovala samo za omrežne storitve, ki podpirajo preverjanje pristnosti Kerberos. Storitve, ki delujejo samo z avtentikacijo NTLM, še vedno zahtevajo uporabniško prijavo + prijavo uporabnika ali ponovni zagon sistema Windows.Seznam skupin, v katerih je trenutni uporabnik, je mogoče dobiti iz ukazne vrstice z ukazom:
whoami / skupine
ali GPresult
gpresult / r
Seznam skupin, v katerih je uporabnik član, je vsebovan v Uporabnik je del naslednjih varnostnih skupin.
Utility lahko ponastavi trenutne karte Kerberos brez ponovnega zagona klist.exe . Klist je v sistem Windows vključen od sistema Windows 7, za XP in Windows Server 2003 je nameščen kot del orodij za Windows Server 2003 Resource Kit.
Če želite ponastaviti celoten predpomnilnik vozovnic Kerberos v računalniku (lokalni sistem) in posodobiti članstvo računalnika v AD skupinah, morate v ukaznem pozivu zagnati ukaz s skrbniškimi pravicami:
klist -lh 0 -li 0x3e7 čiščenje
Po izvedbi ukaza in posodobitvi pravilnikov bodo vse politike, dodeljene skupini AD prek varnostnega filtriranja, dodeljene računalniku..
Kar se tiče uporabnika. Predpostavimo, da je bil uporabniški račun domene dodan skupini Active Directory za dostop do vira datoteke. Uporabnik seveda ne bo imel dostopa do kataloga brez prijave.
Ponastavite vse uporabniške karte Kerberos z ukazom:
klist čisti
Če si želite ogledati posodobljen seznam skupin, morate zagnati novo okno ukaznega poziva in skozi rune, tako da se ustvari nov postopek z novim varnostnim žetonom.
Recimo, da je bila uporabniku dodeljena skupina AD, ki je omogočila dostop do omrežnega imenika. Poskusite ga kontaktirati FQDN ime (na primer \\ msk-fs1.winitpro.loc \ distr) in preverite, ali je bila vozovnica TGT posodobljena:
klist tgt
Omrežni imenik, do katerega je bil odobren dostop prek skupine AD, bi se moral odpreti brez uporabniškega prijavljanja (!!! ne pozabite uporabiti imena FQDN).
