Я работаю с контроллером домена Windows Server 2012 R2, который в основном используется как файловый сервер. Клиенты в этой сети в основном не являются пользователями домена, а вместо этого используют учетные записи пользователей домена для аутентификации сопоставления сетевого диска с общими ресурсами файлового сервера.
Эти учетные записи пользователей домена, в свою очередь, предоставляют различные уровни разрешений на доступ NTFS для различных папок в общих ресурсах файлового сервера. Для этого разрешения на доступ NTFS устанавливаются на уровне группы пользователей домена, и пользователи домена временно добавляются или удаляются из этих групп по мере необходимости.
Я заметил, что когда пользователь добавляется в группу, которая предоставляет ему дополнительные права доступа (или когда он удаляется из группы и теряет права доступа), эти изменения в привилегиях не вступают в силу до тех пор, пока клиентский компьютер (наблюдаемый в Windows 7 Professional) не будет перезагружен (и, предположительно, не будет обновлен кэшированный маркер доступа для соответствующего сопоставленного диска).
Администратору было бы полезно принудительно обновлять эти токены доступа сразу после добавления или удаления пользователя из группы, чтобы его новые права доступа вступали в силу немедленно, без необходимости перезагружать компьютер.
Возможно ли это обеспечить? И если да, то как?
решение1
Прямой ответ — нет. Я не знаю определенного способа обновить токен доступа Kerberos без выхода из системы/входа из системы или перезагрузки. SID новой группы необходимо добавить в токен, и это делается только в этих событиях.
Вы можете попробовать воспользоваться klist purgeрекомендациями многочисленных статей в Интернете, но мои попытки сделать это не увенчались успехом.
решение2
klist purgeдействительно работает для большинства вещей, особенно для изменения прав на общие папки. Вам нужно быть осторожным с этим. Поскольку это касается сеанса, выполнение этого из учетной записи другого пользователя - даже в той же системе - не сработает. Вам следует запустить это в контексте вошедшего в систему пользователя. Я бы лично использовал это только когда сижу за чьим-то столом (предполагая, что это для ситуаций службы поддержки), чтобы это было легко проверить.