Gibt es eine Möglichkeit, die Mitgliedschaft in Computergruppen ohne Neustart zu aktualisieren?
17
Ich verwende Windows Server 2008 R2 und habe einen Windows-Dienst, der unter dem Konto "Netzwerkdienst" in Computer ComputerA ausgeführt wird. Dieser Windows-Dienst möchte auf ein Freigabeverzeichnis (auf einem anderen Computer ComputerB) zugreifen, das einer Gruppe GroupA Leseberechtigung erteilt. Ich muss also das Computerkonto von ComputerA zur GruppeA hinzufügen und den ComputerA neu starten.
Meine Frage ist: Gibt es eine Möglichkeit, die Gruppenmitgliedschaft sofort wirksam werden zu lassen, ohne den ComputerA neu zu starten?
For Windows 2008 and higher:
psexec -s -i -d cmd.exe
C:\Windows\system32>whoami
nt authority\system
-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7
-- Purge the session 0 tickets
klist -lh 0 -li 0x3e7 purge
Should display:
Current LogonId is 0:0x3e7
Deleting all tickets:
Ticket(s) purged!
PSExec ist ein kostenloser SysInternals-Download von Microsoft.
Um Unklarheiten zu beseitigen, werden durch diesen Vorgang die Gruppenmitgliedschaften eines Computers auf jeden Fall aktualisiert, und es wird ermöglicht, dass eine für eine Sicherheitsgruppe geltende Gruppenrichtlinie jetzt auf den Computer angewendet wird, ohne dass der Computer neu gestartet werden muss. Dies wurde unter Windows Server 2012 R2 und Windows Server 2008 R2 und einer universellen Sicherheitsgruppe getestet und überprüft. Die Kurzversion wäre:
psexec -s -i -d cmd.exe
klist tgt (Zeigen Sie das aktuelle Ticket an, und notieren Sie sich die Größe. Beachten Sie außerdem, dass die aktuelle Anmelde-ID 0x3e7 lautet, da Sie als System ausgeführt werden.)
Fügen Sie den Computer der Sicherheitsgruppe hinzu. (Gegebenenfalls Zeit zum Replizieren einplanen)
klist purge
nltest /dsgetdc:domain.com (Führen Sie diesen oder einen anderen Befehl aus, der eine Verbindung zu einer Netzwerkressource herstellt und eine TGT-Anforderung erzwingt.)
klist tgt (Sehen Sie sich das aktuelle Ticket an und notieren Sie sich die Größe. Es sollte etwas größer sein. Beachten Sie, dass whoami / groups nicht die neue Mitgliedschaft widerspiegeln.)
Zu diesem Zeitpunkt kann die System-Eingabeaufforderung beendet werden.
gpupdate /force
gpresult /h gpresult.html
Zeigen Sie den gpreport an. Dieser sollte nun anzeigen, dass die Gruppenrichtlinie angewendet wurde.
Ich kann bestätigen, dass dies gerade auf Server 2012 R2 und Server 2016
KellCOMnet,
Funktioniert unter Windows Server 2012 R2 nicht (für Mitgliedsserver, Domänencontroller, Domäne und Gesamtstruktur): Ich kann die Kerberos-Tickets bereinigen, habe jedoch nie die neue Gruppe erhalten (weder die klist tgtGröße ändert sich noch whoami /groupsspiegelt sie die neue Gruppe wider). . Ich habe überprüft, ob die Änderung in der Gruppe über alle Domänencontroller repliziert wird.
Curropar
Nun, laut shellandco.net/blog/2016/07/07/… habe ich festgestellt, dass keine dieser Überprüfungen die neue Mitgliedschaft widerspiegelt, aber sie ist tatsächlich gültig. Dies gilt für meinen Fall: Ich kann die Aktion nun abhängig von der neuen Gruppe ausführen, danke !!
Curropar
2
Ich denke, dass das Zurücksetzen des Anmeldedienstes dasselbe bewirkt, nicht sicher, wie sich dies insgesamt auswirken würde. Ich bin mir ziemlich sicher, dass Benutzer die Verbindung vorübergehend trennen.
klist tgt
Größe ändert sich nochwhoami /groups
spiegelt sie die neue Gruppe wider). . Ich habe überprüft, ob die Änderung in der Gruppe über alle Domänencontroller repliziert wird.Ich denke, dass das Zurücksetzen des Anmeldedienstes dasselbe bewirkt, nicht sicher, wie sich dies insgesamt auswirken würde. Ich bin mir ziemlich sicher, dass Benutzer die Verbindung vorübergehend trennen.
quelle
Auf meiner Domain funktioniert das nur für ein Netzlaufwerk:
quelle