Ich arbeite mit einem Windows Server 2012 R2-Domänencontroller, der hauptsächlich als Dateiserver verwendet wird. Die Clients in diesem Netzwerk sind meist keine Domänenbenutzer, sondern verwenden Domänenbenutzerkonten, um eine Netzlaufwerkzuordnung zu den Dateiserverfreigaben zu authentifizieren.
Diese Domänenbenutzerkonten wiederum bieten unterschiedliche NTFS-Zugriffsberechtigungen für unterschiedliche Ordner in den Freigaben des Dateiservers. Zu diesem Zweck werden die NTFS-Zugriffsberechtigungen auf der Ebene der Domänenbenutzergruppe festgelegt, und Domänenbenutzer werden bei Bedarf vorübergehend zu diesen Gruppen hinzugefügt oder aus ihnen entfernt.
Was mir auffällt, ist, dass, wenn ein Benutzer zu einer Gruppe hinzugefügt wird, die ihm zusätzliche Zugriffsrechte gewährt (oder auch wenn er aus einer Gruppe entfernt wird und so seine Zugriffsrechte verliert), diese Berechtigungsänderungen erst wirksam werden, nachdem ein Client-Computer (beobachtet unter Windows 7 Professional) neu gestartet wurde (und so vermutlich der zwischengespeicherte Zugriffstoken für das entsprechende zugeordnete Laufwerk aktualisiert wurde).
Für Sie als Administrator wäre es sinnvoll, eine Aktualisierung dieser Zugriffstoken zu erzwingen, sobald ein Benutzer zu einer Gruppe hinzugefügt oder aus einer Gruppe entfernt wurde, sodass seine neuen Zugriffsrechte sofort wirksam werden, ohne dass er seinen Computer neu starten muss.
Kann dies durchgesetzt werden? Und wenn ja, wie?
Antwort1
Die einfache Antwort lautet nein. Mir ist keine definitive Möglichkeit bekannt, das Kerberos-Zugriffstoken ohne Abmeldung/Anmeldung oder Neustart zu aktualisieren. Die SID der neuen Gruppe muss dem Token hinzugefügt werden und wird nur bei diesen Ereignissen durchgeführt.
Sie könnten es mit klist purgeso vielen Artikeln im Internet versuchen, wie Sie empfehlen, aber meine Versuche hatten keinen Erfolg.
Antwort2
klist purgefunktioniert tatsächlich für die meisten Dinge, insbesondere für Rechteänderungen an freigegebenen Ordnern. Sie müssen dabei vorsichtig sein. Da dies sitzungsspezifisch ist, funktioniert es nicht, es vom Konto eines anderen Benutzers aus auszuführen – selbst auf demselben System. Sie sollten dies im Kontext des angemeldeten Benutzers ausführen. Ich persönlich würde dies nur verwenden, wenn ich an jemandes Schreibtisch sitze (vorausgesetzt, dies ist für Helpdesk-Situationen), damit es leicht zu testen ist.