Чињеница која је позната свим администраторима је да након додавања рачунара или корисника у Ацтиве Дирецтори групу, да бисте ажурирали чланство у групи и примењивали додељена права / смернице, морате поново покренути рачунар (ако је рачунски рачун додан групи домена) или поново ући у систем (за корисника). То је зато што се чланство у АД групи ажурира када се креира Керберос карта, што се догађа када се систем покрене и када се корисник пријави..
У неким случајевима, поновно покретање система или одјава са корисника није могуће из оперативних разлога. И сада треба да користите стечена права, приступите или примените нове смернице. Чланство на рачуну у АД групама је могуће обновити без поновног покретања или поновне регистрације корисника у систему.
Напомена. Техника описана у овом чланку радиће само за мрежне сервисе који подржавају Керберос провјеру аутентичности. Услуге које раде само са НТЛМ аутентификацијом и даље захтевају пријаву корисника + пријаву корисника или поновно покретање система Виндовс.Списак група у којима се налази тренутни корисник може се добити из командне линије помоћу наредбе:
вхоами / гроупс
или ГПресулт
гпресулт / р
Листа група којима је корисник члан налази се у Корисник је део следећих безбедносних група.
Услужни програми могу ресетирати тренутне Керберос карте без поновног покретања клист.еке . Клист је укључен у Виндовс од Виндовс 7, за КСП и Виндовс Сервер 2003 инсталиран је као део Виндовс Сервер 2003 Ресоурце Кит алата.
Да бисте ресетовали целокупни кеш керберос рачунара (локални систем) и ажурирали чланство рачунара у АД групама, морате да покренете команду у командној линији са администраторским правима:
клист -лх 0 -ли 0к3е7 прочишћавање
Након извршења команде и ажурирања смерница, све политике додељене АД групи путем филтрирања сигурности ће се применити на рачунар..
Што се тиче корисника. Претпоставимо да је налог корисника домена додан групи активног директорија за приступ ресурсима датотеке. Наравно, корисник неће имати приступ каталогу без пријаве.
Ресетујте све Керберос корисничке карте наредбом:
клист пурге
Да бисте видели ажурирану листу група, морате да покренете нови прозор наредбеног ретка и кроз руне како би се створио нови процес са новим безбедносним токеном.
Претпоставимо да је АД група додељена кориснику да омогући приступ мрежном директорију. Покушајте да га контактирате ФКДН име (на пример, \\ мск-фс1.винитпро.лоц \ дистр) и проверите да ли је ТГТ карта ажурирана:
клист тгт
Мрежни директориј коме је одобрен приступ путем АД групе требало би да се отвори без корисничког пријављивања (обавезно користите ФКДН име).
