Чи є спосіб оновити членство в комп'ютерній групі без перезавантаження?

17

Я використовую Windows Server 2008 R2 і маю службу Windows, що працює під обліковим записом "послуга мережі" в комп'ютері ComputerA. Ця служба Windows хоче отримати доступ до папки обміну (на іншому комп'ютері ComputerB), яка надає дозвіл на читання групі GroupA. Тому мені потрібно додати обліковий запис комп’ютера ComputerA до GroupA і перезапустити ComputerA.

Моє запитання: чи є спосіб дозволити негайному вступу в групу, не перезавантажуючи ComputerA?

windows  active-directory  groups 
пкунеаль
джерело

Відповіді:

24 
For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7  

-- Purge the session 0 tickets  
klist -lh 0 -li 0x3e7 purge  

Should display:  

Current LogonId is 0:0x3e7  
        Deleting all tickets:  
        Ticket(s) purged!

PSExec - це безкоштовне завантаження SysInternals з Microsoft.

Щоб усунути будь-яку плутанину, цей процес абсолютно оновить членство в групі на комп’ютері та дозволить груповій політиці, яка застосовується до групи безпеки, тепер застосовуватися до комп'ютера, не перезавантажуючи комп'ютер. Це було протестовано та перевірено на Windows Server 2012 R2 та Windows Server 2008 R2 та універсальній групі безпеки. Коротка версія буде:

  • psexec -s -i -d cmd.exe
  • klist tgt (переглянути поточний квиток, зазначити розмір. Також зверніть увагу, що оскільки ви працюєте як система, поточний ідентифікатор входу становить 0x3e7)
  • Додайте комп'ютер до групи безпеки. (Дайте час для копіювання, якщо це можливо)
  • klist purge
  • nltest /dsgetdc:domain.com (запустіть цю або будь-яку іншу команду, яка підключиться до мережевого ресурсу та змусить запит TGT)
  • klist tgt (переглянути поточний квиток, зазначити розмір. Він повинен бути трохи більшим. Зверніть увагу, що whoami / групи не відображають нове членство)

У цей момент може бути закрита системна командна строка.

  • gpupdate /force
  • gpresult /h gpresult.html

Перегляньте gpreport, тепер він повинен показувати, що застосовується групова політика.

Грег Аскеу
джерело
Я можу підтвердити це щойно працював на Server 2012 R2 та Server 2016
KellCOMnet
Не працює для мене на Windows Server 2012 R2 (як для сервера-учасника, DC, доменного та лісового функціонального рівня): я можу очистити квитки Kerberos, але ніколи не отримав нову групу (ні klist tgtрозмір, ні зміна, ні whoami /groupsвідображення нової групи) . Я перевірив, що зміна групи реплікується через усі постійні токи.
curropar
Що ж, відповідно до shellandco.net/blog/2016/07/07/… , я виявив, що жоден із цих чеків не відображає нове членство, але він фактично застосовується. Це справедливо для мого випадку: я тепер можу виконати дію залежно від нової групи, дякую !!
curropar
2

Я думаю, що повторне обслуговування Netlogon робить те саме, не впевнений, який буде загальний вплив. Ми впевнені, що користувачі тимчасово відключать користувачів.

тоні рот
джерело
Для робочої станції Windows 7 це рішення без перезавантаження
321X
На мій досвід перезапуск сервісу не вплинув на членство в групі.
PHLiGHT
-1

У моєму домені працює це лише для мережевого накопичувача:

@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M:
Дієго Себастьян
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.