Bilgisayar grubu üyeliğini yeniden başlatmadan yenilemenin bir yolu var mı?

17

Windows Server 2008 R2 kullanıyorum ve ComputerA bilgisayarında "ağ hizmeti" hesabı altında çalışan bir windows hizmetim var. Bu windows hizmeti, bir grup GroupA'ya okuma izni veren bir paylaşım folduna (başka bir ComputerB bilgisayarında) erişmek istiyor. Bu yüzden ComputerA bilgisayar hesabını GroupA'ya eklemem ve ComputerA'yı yeniden başlatmam gerekiyor.

Sorum şu: Grup üyeliğinin ComputerA'yı yeniden başlatmadan hemen yürürlüğe girmesine izin vermenin bir yolu var mı?

windows  active-directory  groups 
pkuneal
kaynak

Yanıtlar:

24 
For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7  

-- Purge the session 0 tickets  
klist -lh 0 -li 0x3e7 purge  

Should display:  

Current LogonId is 0:0x3e7  
        Deleting all tickets:  
        Ticket(s) purged!

PSExec ücretsiz ve popüler bir oyunu ve Microsoft.

Herhangi bir karışıklığı gidermek için, bu işlem kesinlikle bir bilgisayarın grup üyeliklerini yenileyecek ve bir güvenlik grubuna uygulanan bir grup ilkesinin bilgisayarı yeniden başlatmadan şimdi bilgisayara uygulanmasına izin verecektir. Bu, Windows Server 2012 R2 ve Windows Server 2008 R2 ve evrensel bir güvenlik grubunda test edilmiş ve doğrulanmıştır. Kısa sürüm:

  • psexec -s -i -d cmd.exe
  • klist tgt (geçerli bileti görüntüleyin, boyutu not edin. Ayrıca sistem olarak çalıştığınız için Geçerli Oturum Açma Kimliği 0x3e7'dir)
  • Bilgisayarı güvenlik grubuna ekleyin. (Varsa çoğaltılması için zaman tanıyın)
  • klist purge
  • nltest /dsgetdc:domain.com (bunu veya bir ağ kaynağına bağlanacak ve bir TGT isteğini zorlayacak başka bir komutu çalıştırın)
  • klist tgt (mevcut bileti görüntüleyin, büyüklüğünü not edin. Biraz daha büyük olmalıdır. Whoami / grupların yeni üyeliği yansıtmayacağını unutmayın)

Bu noktada, sistem komut isteminden çıkılabilir.

  • gpupdate /force
  • gpresult /h gpresult.html

Gpreport'u görüntüleyin, artık grup ilkesinin uygulandığını göstermelidir.

Greg Askew
kaynak
Bunun Server 2012 R2 ve Server 2016'da çalıştığını doğrulayabilirim
KellCOMnet
Windows Server 2012 R2'de benim için çalışmıyor (hem üye sunucu, DC'ler, etki alanı ve orman işlev düzeyi için): Kerberos biletlerini temizleyebilirim, ancak yeni grubu alamadım (ne klist tgtboyut değişiklikleri ne whoami /groupsde yeni grubu yansıtıyor) . Gruptaki değişikliğin tüm DC'ler üzerinden çoğaltıldığını kontrol ettim.
curropar
Eh, başına shellandco.net/blog/2016/07/07/... , ben bu çeklerin hiçbiri yeni üyelik yansıtmak yapmak buldum, ama aslında uygulandığında. Bu benim durumum için geçerli: Şimdi yeni gruba bağlı olarak eylemi yürütebilirim, teşekkürler !!
curropar
2

Netlogon hizmetinin yeniden başlatılması aynı şeyi yapar, genel etkinin ne olacağından emin değilim. Yine de kullanıcıların geçici olarak kullanıcıların bağlantısını keseceğinden emin olabilirsiniz.

tony roth
kaynak
Windows 7 iş istasyonu için bu yeniden başlatmadan bir çözümdür
321X
Deneyimlerime göre, hizmeti yeniden başlatmanın grup üyeliği üzerinde hiçbir etkisi olmadı.
PHLiGHT
-1

Alan adımda bu yalnızca bir ağ sürücüsü için çalışıyor:

@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M:
Diego Sebastian
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.