Estoy trabajando con un controlador de dominio de Windows Server 2012 R2 que se utiliza principalmente como servidor de archivos. La mayoría de los clientes de esta red no son usuarios de dominio, sino que utilizan cuentas de usuario de dominio para autenticar una asignación de unidad de red a los recursos compartidos del servidor de archivos.
Estas cuentas de usuario de dominio, a su vez, proporcionan diferentes niveles de permisos de acceso NTFS para diferentes carpetas en los recursos compartidos del servidor de archivos. Para hacer esto, el permiso de acceso NTFS se establece en el nivel del grupo de usuarios del dominio y los usuarios del dominio se agregan o eliminan transitoriamente de estos grupos según sea necesario.
Lo que estoy notando es que, cuando se agrega un usuario a un grupo que le otorga privilegios de acceso adicionales (o incluso cuando se lo elimina de un grupo y, por lo tanto, pierde privilegios de acceso), estos cambios de privilegios no entran en vigor hasta después de un La computadora cliente (observada en Windows 7 Professional) se ha reiniciado (y por lo tanto, presumiblemente, se ha actualizado el token de acceso en caché para la unidad asignada correspondiente).
Como administrador, sería útil forzar una actualización de estos tokens de acceso tan pronto como se agregue o elimine un usuario de un grupo, de modo que sus nuevos privilegios de acceso entren en vigor de inmediato, sin tener que reiniciar su computadora.
¿Es esto posible hacer cumplir? Y si es así, ¿cómo?
Respuesta1
La respuesta sencilla es no. No conozco una forma definitiva de actualizar el token de acceso de Kerberos sin cerrar sesión/iniciar sesión o reiniciar. El SID del nuevo grupo debe agregarse al token y solo se hace en esos eventos.
Podrías intentar utilizar klist purge
tantos artículos en la web como te sugieran, pero mis esfuerzos por intentarlo no funcionaron.
Respuesta2
klist purge
De hecho, funciona para la gran mayoría de las cosas, especialmente los cambios de derechos en carpetas compartidas. Hay que tener cuidado con esto. Dado que esto es específico de la sesión, hacerlo desde la cuenta de otro usuario, incluso en el mismo sistema, no funcionará. Querrá ejecutar esto en el contexto del usuario que inició sesión. Personalmente, usaría esto solo cuando esté sentado en el escritorio de alguien (suponiendo que sea para situaciones de asistencia técnica), por lo que es fácil de probar.