Оновлення членства в групах ad без перезавантаження

У деяких випадках перезавантаження системи або logoff користувача не виконаємо по виробничим причин. А скористатися отриманим правами, доступом або застосувати нові політики потрібно вже зараз. Є можливість оновити членство облікового запису в групах AD без перезавантаження або перереєстрації користувача в системі.

Примітка. Описана в даній статті методика буде працювати тільки для мережевих сервісів, що підтримують Kerberos аутентифікацію. Служби, що працюють тільки з NTLM аутентифікацією як і раніше вимагають логофа + Логон користувача або перезавантаження Windows.

Список груп, в яких складається поточний користувач можна отримати з командного рядка за допомогою команди:

Оновлення членства в групах ad без перезавантаження
Список груп, в яких створені учасником міститься в розділі The user is a part of the following security groups.

Щоб скинути весь кеш тікетів Kerberos комп'ютера (локальної системи) і відновити членство комп'ютера в групах AD, потрібно в командному рядку з правами адміністратора виконати команду:

klist -lh 0 -li 0x3e7 purge

Оновлення членства в групах ad без перезавантаження

Примітка. 0x3e7 - спеціальний ідентифікатор, який вказує на сесію локального комп'ютера (Local System).

Після виконання команди і поновлення політик до комп'ютера будуть застосовані всі політики, призначені групі AD через Security Filtering.

Що стосується користувача. Припустимо, доменна учетка користувача була додана в групу Active Directory для доступу до файлового ресурсу. Природно, доступ до каталогу без перелогіна у користувача не з'явиться.

Оновлення членства в групах ad без перезавантаження
Скинемо все тікети Kerberos користувача командою:

Щоб побачити оновлений список груп, потрібно запустити нове вікно командного рядків і через runas, щоб новий процес був створений з новим токеном безпеки.

Припустимо, група AD користувачеві призначалася для надання доступу до мережевого каталогу. Спробуйте звернутися до нього по FQDN імені (наприклад, \\ msk-fs1.winitpro.loc \ distr) і перевірте, що TGT тікет був оновлений:

Мережевий каталог, до якого був наданий доступ через групу AD, повинен відкритися без перелогіна користувача (. Обов'язково використовувати FQDN ім'я).

Оновлення членства в групах ad без перезавантаження

  • Заповнюємо опис комп'ютерів в Active Directory
  • Розмір квитка Kerberos і проблеми його зростання
  • Додаємо додаткову колонку в консоль ADUC
  • Збережені LDAP запити в консолі Active Directory User and Computers
  • Як дозволити звичайним користувачам RDP доступ до контролера домену