¿Hay alguna manera de actualizar la membresía del grupo de computadoras sin reiniciar?
17
Estoy usando Windows Server 2008 R2 y tengo un servicio de Windows ejecutándose bajo la cuenta de "servicio de red" en la computadora ComputerA. Este servicio de Windows desea acceder a una carpeta compartida (en otra computadora ComputerB) que otorga permiso de lectura a un grupo GroupA. Entonces necesito agregar la cuenta de computadora de ComputerA al GroupA y reiniciar ComputerA.
Mi pregunta es: ¿hay alguna manera de permitir que la membresía del grupo surta efecto inmediatamente sin reiniciar ComputerA?
For Windows 2008 and higher:
psexec -s -i -d cmd.exe
C:\Windows\system32>whoami
nt authority\system
-- List the session 0 tickets (0x3e7 is the machine session 0)
klist -lh 0 -li 0x3e7
-- Purge the session 0 tickets
klist -lh 0 -li 0x3e7 purge
Should display:
Current LogonId is 0:0x3e7
Deleting all tickets:
Ticket(s) purged!
PSExec es una descarga gratuita de SysInternals de Microsoft.
Para aclarar cualquier confusión, este proceso actualizará absolutamente las membresías grupales de una computadora y permitirá que una política de grupo que se aplica a un grupo de seguridad ahora se aplique a la computadora, sin reiniciar la computadora. Esto ha sido probado y verificado en Windows Server 2012 R2 y Windows Server 2008 R2 y un grupo de seguridad universal. La versión corta sería:
psexec -s -i -d cmd.exe
klist tgt (vea el ticket actual, tome nota del tamaño. Tenga en cuenta también que, dado que está ejecutando como sistema, el ID de inicio de sesión actual es 0x3e7)
Agregue la computadora al grupo de seguridad. (Permita tiempo para replicar, si corresponde)
klist purge
nltest /dsgetdc:domain.com (ejecute este o cualquier otro comando que se conectará a un recurso de red y forzará una solicitud de TGT)
klist tgt (vea el boleto actual, tome nota del tamaño. Debería ser un poco más grande. Tenga en cuenta que whoami / groups no reflejará la nueva membresía)
En este punto, se puede salir del símbolo del sistema.
gpupdate /force
gpresult /h gpresult.html
Ver el gpreport, ahora debería mostrar que la política de grupo se aplica.
Puedo confirmar que esto funcionó en Server 2012 R2 y Server 2016
KellCOMnet
No funciona para mí en Windows Server 2012 R2 (tanto para el servidor miembro, los DC, el dominio y el nivel funcional del bosque): puedo purgar los tickets de Kerberos, pero nunca obtuve el nuevo grupo (ni el klist tgttamaño cambia ni whoami /groupsrefleja el nuevo grupo) . Verifiqué que el cambio en el grupo se replica en todos los DC.
curropar
Bueno, según shellandco.net/blog/2016/07/07/… , he encontrado que ninguno de esos controles refleja la nueva membresía, pero en realidad se aplica. Esto es cierto para mi caso: ahora puedo ejecutar la acción dependiendo del nuevo grupo, ¡gracias!
curropar
2
Creo que reiniciar el servicio netlogon hace lo mismo, no estoy seguro de cuál sería el impacto general. Sin embargo, estoy bastante seguro de que los usuarios desconectarán temporalmente a los usuarios.
klist tgt
tamaño cambia niwhoami /groups
refleja el nuevo grupo) . Verifiqué que el cambio en el grupo se replica en todos los DC.Creo que reiniciar el servicio netlogon hace lo mismo, no estoy seguro de cuál sería el impacto general. Sin embargo, estoy bastante seguro de que los usuarios desconectarán temporalmente a los usuarios.
fuente
En mi dominio solo funciona esto para una unidad de red:
fuente