Estou trabalhando com um controlador de domínio do Windows Server 2012 R2 que está sendo usado principalmente como servidor de arquivos. A maioria dos clientes nesta rede não são usuários de domínio, mas usam contas de usuário de domínio para autenticar um mapeamento de unidade de rede para os compartilhamentos do servidor de arquivos.
Essas contas de usuário de domínio, por sua vez, fornecem diferentes níveis de permissões de acesso NTFS para diferentes pastas nos compartilhamentos do servidor de arquivos. Para fazer isso, as permissões de acesso NTFS são definidas no nível do grupo de usuários do domínio e os usuários do domínio são temporariamente adicionados ou removidos desses grupos, conforme necessário.
O que estou notando é que, quando um usuário é adicionado a um grupo que lhe concede privilégios de acesso adicionais (ou mesmo quando ele é removido de um grupo e perde privilégios de acesso), essas alterações de privilégio não entram em vigor até depois de um o computador cliente (observado no Windows 7 Professional) foi reiniciado (e, portanto, presumivelmente, o token de acesso em cache da unidade mapeada correspondente foi atualizado).
Como administrador, seria útil forçar uma atualização desses tokens de acesso assim que um usuário fosse adicionado ou removido de um grupo, de modo que seus novos privilégios de acesso entrassem em vigor imediatamente, sem a necessidade de reiniciar o computador.
Isso é possível de ser aplicado? E se sim, como?
Responder1
A resposta direta é não. Não há nenhuma maneira definitiva que eu conheça para atualizar o token de acesso Kerberos sem fazer logoff/logon ou reinicialização. O SID do novo grupo precisa ser adicionado ao token e isso só é feito nesses eventos.
Você poderia tentar usar klist purgequantos artigos na web sugerirem, mas meus esforços para tentar isso não funcionaram.
Responder2
klist purgede fato funciona para a grande maioria das coisas, especialmente alterações de direitos em pastas compartilhadas. Você precisa ter cuidado com isso. Como esta é uma sessão específica, fazê-lo a partir da conta de outro usuário - mesmo no mesmo sistema - não funcionará. Você gostaria de executar isso no contexto do usuário conectado. Pessoalmente, eu usaria isso apenas quando estiver sentado na mesa de alguém (presumindo que seja para situações de suporte técnico), por isso é fácil de testar.