¿Hay alguna manera de actualizar la membresía del grupo de computadoras sin reiniciar?

17

Estoy usando Windows Server 2008 R2 y tengo un servicio de Windows ejecutándose bajo la cuenta de "servicio de red" en la computadora ComputerA. Este servicio de Windows desea acceder a una carpeta compartida (en otra computadora ComputerB) que otorga permiso de lectura a un grupo GroupA. Entonces necesito agregar la cuenta de computadora de ComputerA al GroupA y reiniciar ComputerA.

Mi pregunta es: ¿hay alguna manera de permitir que la membresía del grupo surta efecto inmediatamente sin reiniciar ComputerA?

pkuneal
fuente

Respuestas:

24
For Windows 2008 and higher:

psexec -s -i -d cmd.exe

C:\Windows\system32>whoami
nt authority\system

-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7  

-- Purge the session 0 tickets  
klist -lh 0 -li 0x3e7 purge  

Should display:  

Current LogonId is 0:0x3e7  
        Deleting all tickets:  
        Ticket(s) purged!  

PSExec es una descarga gratuita de SysInternals de Microsoft.


Para aclarar cualquier confusión, este proceso actualizará absolutamente las membresías grupales de una computadora y permitirá que una política de grupo que se aplica a un grupo de seguridad ahora se aplique a la computadora, sin reiniciar la computadora. Esto ha sido probado y verificado en Windows Server 2012 R2 y Windows Server 2008 R2 y un grupo de seguridad universal. La versión corta sería:

  • psexec -s -i -d cmd.exe
  • klist tgt (vea el ticket actual, tome nota del tamaño. Tenga en cuenta también que, dado que está ejecutando como sistema, el ID de inicio de sesión actual es 0x3e7)
  • Agregue la computadora al grupo de seguridad. (Permita tiempo para replicar, si corresponde)
  • klist purge
  • nltest /dsgetdc:domain.com (ejecute este o cualquier otro comando que se conectará a un recurso de red y forzará una solicitud de TGT)
  • klist tgt (vea el boleto actual, tome nota del tamaño. Debería ser un poco más grande. Tenga en cuenta que whoami / groups no reflejará la nueva membresía)

En este punto, se puede salir del símbolo del sistema.

  • gpupdate /force
  • gpresult /h gpresult.html

Ver el gpreport, ahora debería mostrar que la política de grupo se aplica.

Greg Askew
fuente
Puedo confirmar que esto funcionó en Server 2012 R2 y Server 2016
KellCOMnet
No funciona para mí en Windows Server 2012 R2 (tanto para el servidor miembro, los DC, el dominio y el nivel funcional del bosque): puedo purgar los tickets de Kerberos, pero nunca obtuve el nuevo grupo (ni el klist tgttamaño cambia ni whoami /groupsrefleja el nuevo grupo) . Verifiqué que el cambio en el grupo se replica en todos los DC.
curropar
Bueno, según shellandco.net/blog/2016/07/07/… , he encontrado que ninguno de esos controles refleja la nueva membresía, pero en realidad se aplica. Esto es cierto para mi caso: ahora puedo ejecutar la acción dependiendo del nuevo grupo, ¡gracias!
curropar
2

Creo que reiniciar el servicio netlogon hace lo mismo, no estoy seguro de cuál sería el impacto general. Sin embargo, estoy bastante seguro de que los usuarios desconectarán temporalmente a los usuarios.

Tony Roth
fuente
Para una estación de trabajo con Windows 7, esta es una solución sin reiniciar
321X
En mi experiencia, reiniciar el servicio no tuvo ningún efecto en la membresía del grupo.
PHLiGHT
-1

En mi dominio solo funciona esto para una unidad de red:

@echo off
net use M: /d /y
gpupdate /force
net use M: \\10.11.12.233\Archivos /persistent:Yes
explorer.exe M:
Diego Sebastian
fuente