Existe-t-il un moyen d'actualiser l'appartenance à un groupe d'ordinateurs sans redémarrer?

17

J'utilise Windows Server 2008 R2 et j'ai un service Windows exécuté sous le compte "service réseau" dans l'ordinateur ComputerA. Ce service Windows souhaite accéder à un dossier partagé (sur un autre ordinateur ComputerB) qui accorde une autorisation de lecture à un groupe GroupA. J'ai donc besoin d'ajouter le compte d'ordinateur de ComputerA au GroupA et de redémarrer ComputerA.

Ma question est: existe-t-il un moyen de laisser l'appartenance au groupe prendre effet sans redémarrer ComputerA?

windows active-directory groups pkuneal
la source

Réponses:

24 
For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7  

-- Purge the session 0 tickets  
klist -lh 0 -li 0x3e7 purge  

Should display:  

Current LogonId is 0:0x3e7  
        Deleting all tickets:  
        Ticket(s) purged!

PSExec est un téléchargement gratuit de SysInternals de Microsoft.

Pour éliminer toute confusion, ce processus actualisera absolument les appartenances aux groupes d'un ordinateur et permettra à une stratégie de groupe qui s'applique à un groupe de sécurité de s'appliquer maintenant à l'ordinateur, sans redémarrer l'ordinateur. Cela a été testé et vérifié sur Windows Server 2012 R2 et Windows Server 2008 R2 et un groupe de sécurité universel. La version courte serait:

  • psexec -s -i -d cmd.exe
  • klist tgt (affichez le ticket actuel, notez la taille. Notez également que puisque vous exécutez en tant que système, l'ID de connexion actuel est 0x3e7)
  • Ajoutez l'ordinateur au groupe de sécurité. (Prévoyez du temps pour répliquer, le cas échéant)
  • klist purge
  • nltest /dsgetdc:domain.com (exécutez cette commande ou toute autre commande qui se connectera à une ressource réseau et forcera une requête TGT)
  • klist tgt (voir le billet actuel, notez la taille. Il devrait être légèrement plus grand. Notez que whoami / groupes ne refléteront pas la nouvelle adhésion)

À ce stade, il peut être quitté l'invite de commande système.

  • gpupdate /force
  • gpresult /h gpresult.html

Affichez le gpreport, il devrait maintenant montrer que la stratégie de groupe est appliquée.

Greg Askew
la source
Je peux confirmer que cela vient de fonctionner sur Server 2012 R2 et Server 2016
KellCOMnet
Ne fonctionne pas pour moi sur Windows Server 2012 R2 (pour le serveur membre, les contrôleurs de domaine, le domaine et le niveau fonctionnel de la forêt): je peux purger les tickets Kerberos, mais je n'ai jamais obtenu le nouveau groupe (ni la klist tgttaille ne change ni ne whoami /groupsreflète le nouveau groupe) . J'ai vérifié que le changement sur le groupe est répliqué sur tous les contrôleurs de domaine.
curropar
Eh bien, selon shellandco.net/blog/2016/07/07/… , je n'ai trouvé aucun de ces contrôles ne reflète la nouvelle adhésion, mais il est en fait appliqué. C'est vrai pour mon cas: je peux maintenant exécuter l'action en fonction du nouveau groupe, merci !!
curropar
2

Je pense que la restauration du service netlogon fait la même chose, je ne sais pas quel serait l'impact global. Je suis presque sûr que les utilisateurs déconnecteront temporairement les utilisateurs.

Tony Roth
la source
Pour une station de travail Windows 7 est-ce une solution sans redémarrage
321X
D'après mon expérience, le redémarrage du service n'a eu aucun effet sur l'appartenance au groupe.
PHLiGHT
-1

Sur mon domaine, cela ne fonctionne que pour un lecteur réseau:

@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M:
Diego Sebastian
la source