Existe-t-il un moyen d'actualiser l'appartenance à un groupe d'ordinateurs sans redémarrer?
17
J'utilise Windows Server 2008 R2 et j'ai un service Windows exécuté sous le compte "service réseau" dans l'ordinateur ComputerA. Ce service Windows souhaite accéder à un dossier partagé (sur un autre ordinateur ComputerB) qui accorde une autorisation de lecture à un groupe GroupA. J'ai donc besoin d'ajouter le compte d'ordinateur de ComputerA au GroupA et de redémarrer ComputerA.
Ma question est: existe-t-il un moyen de laisser l'appartenance au groupe prendre effet sans redémarrer ComputerA?
For Windows 2008 and higher:
psexec -s -i -d cmd.exe
C:\Windows\system32>whoami
nt authority\system
-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7
-- Purge the session 0 tickets
klist -lh 0 -li 0x3e7 purge
Should display:
Current LogonId is 0:0x3e7
Deleting all tickets:
Ticket(s) purged!
PSExec est un téléchargement gratuit de SysInternals de Microsoft.
Pour éliminer toute confusion, ce processus actualisera absolument les appartenances aux groupes d'un ordinateur et permettra à une stratégie de groupe qui s'applique à un groupe de sécurité de s'appliquer maintenant à l'ordinateur, sans redémarrer l'ordinateur. Cela a été testé et vérifié sur Windows Server 2012 R2 et Windows Server 2008 R2 et un groupe de sécurité universel. La version courte serait:
psexec -s -i -d cmd.exe
klist tgt (affichez le ticket actuel, notez la taille. Notez également que puisque vous exécutez en tant que système, l'ID de connexion actuel est 0x3e7)
Ajoutez l'ordinateur au groupe de sécurité. (Prévoyez du temps pour répliquer, le cas échéant)
klist purge
nltest /dsgetdc:domain.com (exécutez cette commande ou toute autre commande qui se connectera à une ressource réseau et forcera une requête TGT)
klist tgt (voir le billet actuel, notez la taille. Il devrait être légèrement plus grand. Notez que whoami / groupes ne refléteront pas la nouvelle adhésion)
À ce stade, il peut être quitté l'invite de commande système.
gpupdate /force
gpresult /h gpresult.html
Affichez le gpreport, il devrait maintenant montrer que la stratégie de groupe est appliquée.
Je peux confirmer que cela vient de fonctionner sur Server 2012 R2 et Server 2016
KellCOMnet
Ne fonctionne pas pour moi sur Windows Server 2012 R2 (pour le serveur membre, les contrôleurs de domaine, le domaine et le niveau fonctionnel de la forêt): je peux purger les tickets Kerberos, mais je n'ai jamais obtenu le nouveau groupe (ni la klist tgttaille ne change ni ne whoami /groupsreflète le nouveau groupe) . J'ai vérifié que le changement sur le groupe est répliqué sur tous les contrôleurs de domaine.
curropar
Eh bien, selon shellandco.net/blog/2016/07/07/… , je n'ai trouvé aucun de ces contrôles ne reflète la nouvelle adhésion, mais il est en fait appliqué. C'est vrai pour mon cas: je peux maintenant exécuter l'action en fonction du nouveau groupe, merci !!
curropar
2
Je pense que la restauration du service netlogon fait la même chose, je ne sais pas quel serait l'impact global. Je suis presque sûr que les utilisateurs déconnecteront temporairement les utilisateurs.
klist tgt
taille ne change ni newhoami /groups
reflète le nouveau groupe) . J'ai vérifié que le changement sur le groupe est répliqué sur tous les contrôleurs de domaine.Je pense que la restauration du service netlogon fait la même chose, je ne sais pas quel serait l'impact global. Je suis presque sûr que les utilisateurs déconnecteront temporairement les utilisateurs.
la source
Sur mon domaine, cela ne fonctionne que pour un lecteur réseau:
la source