Gibt es eine Möglichkeit, die Mitgliedschaft in Computergruppen ohne Neustart zu aktualisieren?

17

Ich verwende Windows Server 2008 R2 und habe einen Windows-Dienst, der unter dem Konto "Netzwerkdienst" in Computer ComputerA ausgeführt wird. Dieser Windows-Dienst möchte auf ein Freigabeverzeichnis (auf einem anderen Computer ComputerB) zugreifen, das einer Gruppe GroupA Leseberechtigung erteilt. Ich muss also das Computerkonto von ComputerA zur GruppeA hinzufügen und den ComputerA neu starten.

Meine Frage ist: Gibt es eine Möglichkeit, die Gruppenmitgliedschaft sofort wirksam werden zu lassen, ohne den ComputerA neu zu starten?

pkuneal
quelle

Antworten:

24
For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7  

-- Purge the session 0 tickets  
klist -lh 0 -li 0x3e7 purge  

Should display:  

Current LogonId is 0:0x3e7  
        Deleting all tickets:  
        Ticket(s) purged!  

PSExec ist ein kostenloser SysInternals-Download von Microsoft.


Um Unklarheiten zu beseitigen, werden durch diesen Vorgang die Gruppenmitgliedschaften eines Computers auf jeden Fall aktualisiert, und es wird ermöglicht, dass eine für eine Sicherheitsgruppe geltende Gruppenrichtlinie jetzt auf den Computer angewendet wird, ohne dass der Computer neu gestartet werden muss. Dies wurde unter Windows Server 2012 R2 und Windows Server 2008 R2 und einer universellen Sicherheitsgruppe getestet und überprüft. Die Kurzversion wäre:

  • psexec -s -i -d cmd.exe
  • klist tgt (Zeigen Sie das aktuelle Ticket an, und notieren Sie sich die Größe. Beachten Sie außerdem, dass die aktuelle Anmelde-ID 0x3e7 lautet, da Sie als System ausgeführt werden.)
  • Fügen Sie den Computer der Sicherheitsgruppe hinzu. (Gegebenenfalls Zeit zum Replizieren einplanen)
  • klist purge
  • nltest /dsgetdc:domain.com (Führen Sie diesen oder einen anderen Befehl aus, der eine Verbindung zu einer Netzwerkressource herstellt und eine TGT-Anforderung erzwingt.)
  • klist tgt (Sehen Sie sich das aktuelle Ticket an und notieren Sie sich die Größe. Es sollte etwas größer sein. Beachten Sie, dass whoami / groups nicht die neue Mitgliedschaft widerspiegeln.)

Zu diesem Zeitpunkt kann die System-Eingabeaufforderung beendet werden.

  • gpupdate /force
  • gpresult /h gpresult.html

Zeigen Sie den gpreport an. Dieser sollte nun anzeigen, dass die Gruppenrichtlinie angewendet wurde.

Greg Askew
quelle
Ich kann bestätigen, dass dies gerade auf Server 2012 R2 und Server 2016
KellCOMnet,
Funktioniert unter Windows Server 2012 R2 nicht (für Mitgliedsserver, Domänencontroller, Domäne und Gesamtstruktur): Ich kann die Kerberos-Tickets bereinigen, habe jedoch nie die neue Gruppe erhalten (weder die klist tgtGröße ändert sich noch whoami /groupsspiegelt sie die neue Gruppe wider). . Ich habe überprüft, ob die Änderung in der Gruppe über alle Domänencontroller repliziert wird.
Curropar
Nun, laut shellandco.net/blog/2016/07/07/… habe ich festgestellt, dass keine dieser Überprüfungen die neue Mitgliedschaft widerspiegelt, aber sie ist tatsächlich gültig. Dies gilt für meinen Fall: Ich kann die Aktion nun abhängig von der neuen Gruppe ausführen, danke !!
Curropar
2

Ich denke, dass das Zurücksetzen des Anmeldedienstes dasselbe bewirkt, nicht sicher, wie sich dies insgesamt auswirken würde. Ich bin mir ziemlich sicher, dass Benutzer die Verbindung vorübergehend trennen.

Tony Roth
quelle
Für eine Windows 7-Workstation ist dies eine Lösung ohne Neustart
321X
Nach meiner Erfahrung hatte ein Neustart des Dienstes keine Auswirkungen auf die Gruppenmitgliedschaft.
PHLiGHT
-1

Auf meiner Domain funktioniert das nur für ein Netzlaufwerk:

@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M:
Diego Sebastian
quelle