Ich befinde mich in einer Active Directory-Domäne und bin per Remotezugriff auf einem Server angemeldet, auf dem sich mein Domänenkonto in der Gruppe „Administratoren“ befindet.
Jemand anderes entfernt mich aus dieser Administratorgruppe, während ich noch angemeldet bin. Ich behalte jedoch weiterhin alle meine Administratorrechte, bis ich mich abmelde.
Das scheint kontraintuitiv, also frage ich mich, ob ich etwas übersehen habe? Ich habe die Frage zuNotfallabmeldung– ist dies meine einzige Wahl oder gibt es andere Möglichkeiten, dem Benutzer zumindest eine Aktualisierung der Berechtigung zu erzwingen, sodass er zwar weiterhin angemeldet sein kann, aber zumindest keine Administratorrechte mehr hat?
Antwort1
Nein, die Adminrechte sind auf eine Gruppenmitgliedschaft zurückzuführen.
Eine Gruppenmitgliedschaft wird im Kerberos-Ticket eines Benutzers gespeichert und bleibt bestehen, bis dieser sich abmeldet oder das Ticket abläuft und erneuert wird (die Lebensdauer beträgt standardmäßig 10 Stunden, kann aber in Ihrer Domäne angepasst werden).
Nur durch Abmelden oder das Abwarten des Ablaufs können die Gruppenmitgliedschaften, die Administratorrechte verleihen, entzogen werden.