저는 주로 파일 서버로 사용되는 Windows Server 2012 R2 도메인 컨트롤러를 사용하고 있습니다. 이 네트워크의 클라이언트는 대부분 도메인 사용자가 아니지만 대신 도메인 사용자 계정을 사용하여 파일 서버 공유에 대한 네트워크 드라이브 매핑을 인증합니다.
이러한 도메인 사용자 계정은 파일 서버 공유의 여러 폴더에 대해 서로 다른 수준의 NTFS 액세스 권한을 제공합니다. 이를 위해 도메인 사용자 그룹 수준에서 NTFS 액세스 권한을 설정하고 필요에 따라 도메인 사용자를 해당 그룹에 일시적으로 추가하거나 제거합니다.
내가 주목한 점은 사용자가 추가 액세스 권한을 부여하는 그룹에 추가될 때(또는 실제로 그룹에서 제거되어 액세스 권한을 잃을 때) 이러한 권한 변경은 다음 시간이 지나야 적용된다는 것입니다. 클라이언트 컴퓨터(Windows 7 Professional에서 관찰됨)가 다시 시작되었습니다. 따라서 매핑된 해당 드라이브에 대해 캐시된 액세스 토큰이 새로 고쳐졌을 것입니다.
관리자는 사용자가 그룹에 추가되거나 그룹에서 제거되는 즉시 이러한 액세스 토큰을 강제로 새로 고쳐 컴퓨터를 다시 시작할 필요 없이 새 액세스 권한이 즉시 적용되도록 하는 것이 유용할 것입니다.
시행이 가능한가요? 그렇다면 어떻게?
답변1
간단한 대답은 '아니요'입니다. 로그오프/로그온 또는 재부팅 없이 Kerberos 액세스 토큰을 업데이트하는 확실한 방법은 없습니다. 새 그룹의 SID는 토큰에 추가되어야 하며 해당 이벤트에서만 수행됩니다.
klist purge웹에서 제안하는 만큼 많은 기사를 사용해 볼 수 있지만 이를 시도하려는 나의 노력은 효과가 없었습니다.
답변2
klist purge실제로 대부분의 작업, 특히 공유 폴더에 대한 권한 변경에 작동합니다. 이것을 조심해야합니다. 이것은 다른 사용자의 계정에서 수행하는 세션별 작업이므로 동일한 시스템에서도 작동하지 않습니다. 로그온한 사용자의 컨텍스트에서 이를 실행하려고 합니다. 나는 개인적으로 누군가의 책상에 앉아 있을 때만 이것을 사용하므로(헬프 데스크 상황을 위한 것이라고 가정) 테스트하기 쉽습니다.