我正在使用 Windows Server 2012 R2 網域控制器,該控制器主要用作文件伺服器。該網路上的客戶端大多不是網域用戶,而是使用網域用戶帳戶來驗證已對應到檔案伺服器共用的網路磁碟機。
這些網域使用者帳戶反過來為檔案伺服器共用中的不同資料夾提供不同層級的 NTFS 存取權限。為此,請在網域使用者群組層級設定 NTFS 存取權限,並根據需要將網域使用者暫時新增至這些群組或從這些群組中刪除。
我注意到的是,當使用者被添加到授予他們額外存取權限的群組時(或實際上當他們從群組中刪除並因此失去存取權限時),這些權限更改只有在客戶端電腦(在Windows 7 Professional 上觀察到)已重新啟動(因此,據推測,相應映射驅動器的快取存取權杖已刷新。)
作為管理員,一旦將用戶新增至群組或從群組中刪除用戶,就強制刷新這些存取令牌,以便他們的新存取權限立即生效,而無需重新啟動電腦。
這可以強制執行嗎?如果是這樣,怎麼辦?
答案1
簡單的答案是否定的。據我所知,沒有明確的方法可以在不登出/登入或重新啟動的情況下更新 Kerberos 存取權杖。新群組的 SID 需要新增到令牌中,並且僅在這些事件中完成。
您可以嘗試使用klist purge網路上盡可能多的文章,但我的嘗試並沒有奏效。
答案2
klist purge確實適用於絕大多數內容,特別是對共用資料夾的權限變更。你需要小心這一點。由於這是特定於會話的,因此從另一個使用者的帳戶執行此操作(即使在同一系統上)也是行不通的。您可能希望在登入使用者的上下文中運行它。我個人只會在坐在某人的辦公桌前時使用它(假設這是針對幫助臺情況),因此很容易測試。