C'è un modo per aggiornare l'appartenenza al gruppo di computer senza riavviare?

17

Sto utilizzando Windows Server 2008 R2 e ho un servizio Windows in esecuzione con l'account "servizio di rete" nel computer ComputerA. Questo servizio di Windows desidera accedere a una cartella condivisa (su un altro computer ComputerB) che concede l'autorizzazione di lettura a un gruppo GroupA. Quindi devo aggiungere l'account computer di ComputerA al GroupA e riavviare ComputerA.

La mia domanda è: esiste un modo per rendere immediatamente effettiva l'appartenenza al gruppo senza riavviare ComputerA?

windows  active-directory  groups 
pkuneal
fonte

Risposte:

24 
For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7  

-- Purge the session 0 tickets  
klist -lh 0 -li 0x3e7 purge  

Should display:  

Current LogonId is 0:0x3e7  
        Deleting all tickets:  
        Ticket(s) purged!

PSExec è un download gratuito di SysInternals da Microsoft.

Per eliminare qualsiasi confusione, questo processo aggiornerà assolutamente le appartenenze ai gruppi di un computer e consentirà a un criterio di gruppo che si applica a un gruppo di sicurezza di applicarsi ora al computer, senza riavviare il computer. Questo è stato testato e verificato su Windows Server 2012 R2 e Windows Server 2008 R2 e un gruppo di sicurezza universale. La versione breve sarebbe:

  • psexec -s -i -d cmd.exe
  • klist tgt (visualizza il ticket corrente, prendi nota delle dimensioni. Nota inoltre che poiché stai eseguendo come sistema, l'ID di accesso corrente è 0x3e7)
  • Aggiungi il computer al gruppo di sicurezza. (Concedi il tempo di replicare, se applicabile)
  • klist purge
  • nltest /dsgetdc:domain.com (esegui questo o qualsiasi altro comando che si collegherà a una risorsa di rete e imporrà una richiesta TGT)
  • klist tgt (visualizza il ticket corrente, prendi nota delle dimensioni. Dovrebbe essere leggermente più grande. Nota che whoami / gruppi non rifletterà la nuova iscrizione)

A questo punto, è possibile uscire dal prompt dei comandi di sistema.

  • gpupdate /force
  • gpresult /h gpresult.html

Visualizza gpreport, ora dovrebbe mostrare la politica di gruppo applicata.

Greg Askew
fonte
Posso confermare che ha funzionato su Server 2012 R2 e Server 2016
KellCOMnet il
Non funziona per me su Windows Server 2012 R2 (sia per il server membro, controller di dominio, livello funzionale di dominio e foresta): posso eliminare i ticket Kerberos, ma non ho mai ottenuto il nuovo gruppo (né le klist tgtdimensioni cambiano o whoami /groupsriflettono il nuovo gruppo) . Ho verificato che il cambiamento nel gruppo sia replicato in tutti i controller di dominio.
Curropar,
Bene, come da shellandco.net/blog/2016/07/07/… , ho scoperto che nessuno di questi controlli riflette la nuova iscrizione, ma è effettivamente applicato. Questo è vero per il mio caso: ora posso eseguire l'azione a seconda del nuovo gruppo, grazie !!
Curropar,
2

Penso che riavviare il servizio netlogon faccia la stessa cosa, non sono sicuro di quale impatto complessivo avrebbe. Abbastanza sicuro che gli utenti sarebbero temporaneamente disconnettere gli utenti però.

tony roth
fonte
Per una workstation Windows 7 si tratta di una soluzione senza riavvio
321X
Nella mia esperienza, il riavvio del servizio non ha avuto alcun effetto sull'appartenenza al gruppo.
PHLiGHT
-1

Sul mio dominio funziona solo per un'unità di rete:

@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M:
Diego Sebastian
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.