Estou em um domínio do Active Directory, remoto em um servidor no qual minha conta de domínio está no grupo Administradores.
Alguém me remove desse grupo de administradores enquanto ainda estou conectado. No entanto, ainda mantenho todos os meus direitos de administrador até fazer logoff.
Isso parece contra-intuitivo, então me pergunto se há algo que estou perdendo? Eu vi a pergunta sobrelogoff de emergência- esta é minha única opção ou existem outras maneiras de forçar pelo menos uma atualização de permissão para o usuário, para que, embora ele ainda esteja logado, pelo menos não tenha mais direitos de administrador?
Responder1
Não - as permissões de administrador são devidas à associação ao grupo.
A associação ao grupo é armazenada no ticket Kerberos de um usuário, que persistirá até que ele saia ou o ticket expire e seja renovado (sua vida útil é de 10 horas por padrão, mas pode ser personalizada em seu domínio).
Desconectá-los ou aguardar a expiração são as únicas maneiras de retirar as associações de grupos que concedem direitos de administrador.