私は主にファイル サーバーとして使用されている Windows Server 2012 R2 ドメイン コントローラーを使用しています。このネットワーク上のクライアントのほとんどはドメイン ユーザーではありませんが、代わりにドメイン ユーザー アカウントを使用して、ファイル サーバー共有へのネットワーク ドライブ マッピングを認証します。
これらのドメイン ユーザー アカウントは、ファイル サーバーの共有内のさまざまなフォルダーに対して、さまざまなレベルの NTFS アクセス許可を提供します。これを行うには、NTFS アクセス許可をドメイン ユーザー グループ レベルで設定し、必要に応じてドメイン ユーザーがこれらのグループに一時的に追加または削除されます。
私が気づいたのは、ユーザーがグループに追加され、追加のアクセス権限が付与された場合 (またはグループから削除されてアクセス権限を失った場合)、これらの権限の変更は、クライアント コンピューター (Windows 7 Professional で確認) が再起動されるまで有効にならない (したがって、対応するマップされたドライブのキャッシュされたアクセス トークンが更新されると考えられます) ということです。
管理者としては、ユーザーがグループに追加されたりグループから削除されたりしたらすぐにこれらのアクセス トークンを強制的に更新し、コンピューターを再起動せずに新しいアクセス権限をすぐに有効にすると便利です。
これを強制することは可能でしょうか? もし可能であれば、どのようにすればよいでしょうか?
答え1
率直な答えは「いいえ」です。ログオフ/ログオンや再起動を行わずに Kerberos アクセス トークンを更新する確実な方法は、私の知る限りありません。新しいグループの SID をトークンに追加する必要があり、これはこれらのイベントでのみ実行されます。
klist purgeウェブ上の多くの記事で提案されているように、それを試してみることもできますが、これを試してみたところうまくいきませんでした。
答え2
klist purge確かに、ほとんどの作業、特に共有フォルダの権限変更には有効です。ただし、これには注意が必要です。これはセッション固有のため、別のユーザーのアカウントから実行しても (同じシステムであっても) 機能しません。ログオンしたユーザーのコンテキストで実行する必要があります。個人的には、誰かのデスクに座っているときのみ (ヘルプデスクの状況を想定して)、テストが簡単なときにのみこれを使用します。